211service.com
Contraseñas simples y seguras
Los investigadores de Microsoft han ideado una forma de crear contraseñas fáciles de recordar sin hacer que un sistema sea más vulnerable a los piratas informáticos.
En lugar de imponer contraseñas complejas, como hacen muchas organizaciones, el nuevo esquema asegura que solo unos pocos usuarios puedan tener la misma contraseña, lo que tiene un efecto general similar en la seguridad. Investigaciones adicionales de Microsoft también revelan por qué solo algunas organizaciones insisten en contraseñas muy complejas.
Los requisitos de contraseña cada vez más complejos (las reglas como las contraseñas deben tener 14 caracteres y contener al menos dos letras mayúsculas, dos letras minúsculas y tres símbolos) dificultan que los atacantes adivinen las contraseñas mediante el llamado ataque de diccionario, que implica probar muchas contraseñas en sucesión.
Sin tales restricciones, las personas tienden a elegir contraseñas que son fáciles de recordar, fáciles de escribir y fáciles de adivinar. Por ejemplo, cuando en diciembre pasado se lanzaron 32 millones de contraseñas del sitio web de redes sociales RockYou, se descubrió que casi la mitad eran contraseñas triviales, como dígitos consecutivos, palabras del diccionario o nombres comunes, según un análisis realizado en enero pasado por la firma de seguridad web. Imperva .
Exigir que las contraseñas incluyan números, símbolos y mayúsculas y minúsculas aumenta significativamente la cantidad de contraseñas posibles. Con tales reglas, un ataque de diccionario se vuelve inviable, pero las contraseñas también se vuelven más difíciles de recordar.
Una forma en que los diseñadores de sistemas intentan vencer los ataques de diccionario es deshabilitando temporalmente una cuenta cuando se envía una contraseña incorrecta más de unas pocas veces. Esto se denomina bloqueo de cuenta y, como era de esperar, los atacantes han descubierto una forma sencilla de derrotar el enfoque. En lugar de adivinar miles o millones de contraseñas para una sola cuenta, los atacantes simplemente adivinan las contraseñas más utilizadas para miles, o incluso millones, de cuentas diferentes.
El nuevo esquema de Microsoft Research elimina por completo los requisitos de complejidad al tiempo que protege contra ataques de diccionario y adivinanzas estadísticas. El servicio simplemente cuenta cuántas veces un usuario del servicio elige una contraseña determinada. Cuando más de un pequeño número de usuarios elige una contraseña, la contraseña está prohibida y nadie más puede elegirla. El esquema solo puede ser utilizado por organizaciones con millones de usuarios, sitios web como Hotmail de Microsoft, por ejemplo.
El enfoque se describe en un papel escrito por investigadores de Microsoft Stuart Schechter y Cormac Herley , que se publicará en la conferencia Hot Topics in Security en Washington, DC, en agosto. Michael Mitzenmacher en la Universidad de Harvard también es coautor del artículo.
Reemplazar las reglas de creación de contraseñas con limitaciones de popularidad tiene el potencial de aumentar tanto la seguridad como la usabilidad, escriben los autores. Dado que no se permite que las contraseñas se vuelvan demasiado comunes, los atacantes se ven privados de las contraseñas populares que necesitan para comprometer a una facción significativa de cuentas mediante adivinanzas en línea.
Sin embargo, dice Herley, todavía no hay planes para implementar el nuevo esquema en ningún producto de Microsoft. No podemos especular sobre los planes de productos de Microsoft, dice. En este momento, solo lo estamos publicando para obtener comentarios de la comunidad de investigación de seguridad.
En los últimos años, los investigadores del campo emergente de la seguridad utilizable han examinado detenidamente muchas prácticas de seguridad de la información y han descubierto que muchas de ellas faltan. Por ejemplo, muchos sistemas informáticos bloquearán las cuentas si un usuario escribe mal su contraseña tres veces seguidas. Pero hace siete años, Sascha Brostoff y Angela Sasse, dos investigadoras del University College London en el Reino Unido, mostró que aumentar ese número de tres a 10 reduce drásticamente la cantidad de usuarios legítimos bloqueados y, al mismo tiempo, tiene un impacto insignificante en la seguridad general del sistema.
La semana pasada, más de 200 investigadores de seguridad informática de todo el mundo se reunieron en Redmond, WA, en la reunión anual Simposio sobre privacidad y seguridad utilizables discutir enfoques para hacer que las computadoras sean simultáneamente más seguras y más utilizables.
Otro estudio realizado por investigadores de Microsoft, presentado en el simposio, explica por qué solo algunas organizaciones tienen contraseñas demasiado complicadas. El estudio examinó las políticas de contraseñas en 75 sitios web diferentes, incluidos los 20 sitios mejor clasificados en Internet y sitios web pertenecientes a bancos, grandes universidades y agencias gubernamentales de EE. UU. Los investigadores de Microsoft Dinei Florencio y Cormac Herley no encontraron correlación entre el valor de la cuenta de un consumidor, la cantidad de ataques que sufrió el sitio web y la complejidad de las contraseñas que los operadores del sitio web imponían a sus usuarios.
De acuerdo a el estudio , los sitios web donde los usuarios pueden elegir entre varios proveedores (sitios para bancos y empresas de inversión, por ejemplo) generalmente tienen requisitos de contraseña relativamente simples. Estos sitios protegen los activos de sus usuarios mediante técnicas antifraude, y las empresas no quieren dificultar demasiado el inicio de sesión de sus clientes.
Florencio y Herley descubrieron que los sitios que tenían los requisitos de contraseña más estrictos eran aquellos en los que los usuarios generalmente no tenían la capacidad de comparar precios, sitios como la Administración del Seguro Social de EE. UU., El Servicio Meteorológico Nacional y los sistemas de correo web de varias universidades importantes. Para estos sistemas, las organizaciones no tienen ningún incentivo monetario para equilibrar la usabilidad con la seguridad, o para encontrar alguna otra forma de proteger las cuentas de los usuarios.
La mayoría de las organizaciones tienen profesionales de la seguridad que exigen políticas más estrictas, pero solo algunas tienen imperativos de usabilidad lo suficientemente fuertes como para rechazarlos, añaden los autores. Cuando las voces que abogan por la usabilidad están ausentes o son débiles, las medidas de seguridad se vuelven innecesariamente restrictivas.
Simson Garfinkel formó parte del comité de programa del Simposio de 2010 sobre seguridad y privacidad utilizables.