La criptografía inteligente puede ayudar a limitar el daño de la megabrecha de MyFitnessPal

ZDNet





No se ve bien para Under Armour. El gigante de la ropa y propietario de la aplicación de seguimiento de la dieta MyFitnessPal acaba de sufrir una de las filtraciones de datos más grandes en la historia de la seguridad cibernética, en la que los piratas informáticos se salieron con la suya con información que incluía nombres de usuario, direcciones de correo electrónico y contraseñas asociadas con aproximadamente 150 millones de cuentas.

Pero no todos los hacks son igualmente desastrosos, y este podría resultar menos dañino que otras grandes filtraciones gracias al uso de Under Armour de una tecnología llamada bcrypt para proteger muchas de las contraseñas robadas.

Para apreciar por qué es importante bcrypt, es útil conocer algunos antecedentes sobre las defensas criptográficas. El enfoque básico para proteger las contraseñas implica el hashing, que las convierte en cadenas aleatorias de caracteres almacenadas en una base de datos. Cuando alguien inicia sesión con una contraseña de texto sin formato, la versión hash de esto se compara con el hash de su contraseña recuperada de la base de datos; si hay una coincidencia, se concede acceso. Si los piratas informáticos ingresan a la base de datos, todo lo que obtienen son los hashes, no las contraseñas reales.



Los hashes no están diseñados para convertirse en texto sin formato, pero eso no impide que los malos lo intenten. Entre las tácticas que utilizan se encuentran los ataques de diccionario, que consisten en codificar contraseñas y frases comunes para ver si coinciden con los datos cifrados que han sido robados, y los ataques de fuerza bruta, que prueban todas las combinaciones posibles de caracteres hasta una longitud determinada para desentrañar un hash. .

Para hacerles la vida más difícil a los piratas informáticos, los defensores inteligentes a menudo usan salting, que es criptografía para agregar caracteres generados aleatoriamente a una contraseña de texto sin formato antes de que se convierta en hash. Esto asegura que dos contraseñas no puedan tener el mismo hash. Si bien la salazón es una pesadilla para los piratas informáticos, aún pueden intentar descifrar cifrados individualizados utilizando ataques de fuerza bruta y de diccionario.

Ahí es donde entra en juego bcrypt. Además de usar salado, extiende la cantidad de tiempo que lleva ejecutar una función hash al requerir varias rondas de cálculo para llegar a un resultado. Está diseñado deliberadamente para ser colosalmente lento, explica Paul Kocher, asesor senior de tecnología de Rambus y conocido experto en criptografía.



La lentitud aquí todavía se mide en milisegundos, por lo que el impacto en la experiencia del usuario al iniciar sesión en una aplicación o sitio apenas se nota. Pero incluso los retrasos más pequeños pueden frustrar a los piratas informáticos que usan hardware de computadora de alta gama para intentar ejecutar miles de millones de hashes por segundo. Tecnologías como bcrypt brindan a las empresas más tiempo para responder a una infracción y a los usuarios más tiempo para cambiar sus contraseñas. Under Armour fue inteligente al usar bcrypt, aunque sigue siendo un misterio por qué no lo aplicó a todas las contraseñas asociadas con MyFitnessApp. (Los que no estaban cubiertos por él estaban protegidos mediante una función hash más débil conocida como SHA-1).

El hecho de que bcrypt solo pueda retrasar a los piratas informáticos, no frustrarlos por completo, significa que aún es muy importante cambiar las contraseñas rápidamente si se le notifica que un servicio que usa ha sido violado y evitar usar la misma contraseña en varias aplicaciones. También es por eso que vale la pena usar contraseñas difíciles de adivinar en lugar de las comunes que los piratas informáticos pueden descifrar rápidamente.

esconder