211service.com
Para mantener las contraseñas a salvo de los piratas informáticos, simplemente divídalas en bits
Una nueva forma para que los sitios web y otros servicios en línea almacenen contraseñas podría evitar infracciones como la que resultó en que 6.5 millones de usuarios de LinkedIn tuvieran sus contraseñas publicadas en línea a principios de este año.
Ese tipo de volcado de datos ocurre cuando un atacante obtiene acceso al servidor que almacena las contraseñas de los usuarios. Los investigadores de la empresa de seguridad informática RSA han creado un sistema que divide las contraseñas en dos y almacena cada mitad en diferentes ubicaciones. Las dos mitades nunca se unen, incluso cuando una persona inicia sesión y se verifica su contraseña. Eso debería dificultar que alguien los robe, porque un ladrón necesitaría ingresar en ambos servidores, que pueden protegerse de diferentes maneras.
El almacenamiento de contraseñas es cada vez más problemático debido a la frecuencia cada vez mayor de infracciones, pero también porque las consecuencias de las mismas han aumentado, dice Ari Juels , quien dirige los laboratorios de investigación de RSA en Cambridge, Massachusetts. Juels dice que perder el control de una cuenta en línea puede proporcionar a los atacantes información para ayudar a entrar en otras, y muchas personas simplemente reutilizan contraseñas en múltiples cuentas de todos modos.
Aunque LinkedIn y muchas otras empresas cifran las contraseñas, por lo que sus servidores no contienen la cadena exacta que escribe un usuario, los atacantes tienen una variedad de herramientas que pueden revertir este cifrado, dice Juels. Incluso las mejores prácticas, que LinkedIn no utilizó, pueden romperse.
Nuestra opinión es que es mejor que las contraseñas y otras credenciales no se almacenen en un solo lugar, dice Juels, lo que dificulta que un atacante obtenga todo lo que necesita para volver a crear la contraseña de una persona.
El nuevo esquema de RSA funciona dividiendo una contraseña en muchas partes pequeñas y almacenando la mitad de esas partes, seleccionadas al azar, en un lugar y el resto en otro. RSA llama al enfoque protección de credenciales distribuidas. Si un lugar es atacado, las contraseñas siguen siendo seguras, dice Juels. Donde entra la magia es la capacidad del sistema para verificar las contraseñas sin volver a ensamblarlas.
Cuando una persona inicia sesión en un sistema mediante la protección de credenciales distribuidas, la contraseña que proporciona se divide en dos cadenas de datos cifradas. Luego, cada cadena se envía a uno de los dos servidores de contraseñas, donde se combina con la mitad de la contraseña almacenada en ese servidor para crear una nueva cadena. Luego, los dos servidores comparan estas dos nuevas cadenas para determinar si la contraseña es correcta o no. Las matemáticas involucradas significan que es imposible determinar la contraseña a partir de cualquiera de estas cadenas, o de ambas combinadas, por lo que la contraseña permanece desconocida incluso si un atacante puede capturar las cadenas.
Los dos servidores involucrados se pueden configurar con diferentes sistemas operativos y en diferentes ubicaciones, dice Juels, por lo que robar contraseñas requiere montar dos ataques separados con éxito. Estos también tendrían que suceder en poco tiempo, porque el sistema actualiza periódicamente qué mitad aleatoria de los fragmentos de una contraseña se almacenan en cada servidor.
El software saldrá a la venta a finales de este año, dice Juels.
El nuevo enfoque de RSA es una versión de una técnica conocida como criptografía de umbral, que los investigadores han explorado durante mucho tiempo. El concepto no es nuevo, pero esta sería la primera vez que se implementa para el público en general, dice Dan Boneh , profesor de la Universidad de Stanford que ha investigado estos diseños. La criptografía de umbral es utilizada entre bastidores por las empresas, conocidas como autoridades de certificación, que emiten los certificados de seguridad digital que ayudan a las computadoras y los navegadores web a saber en qué servidores confiar, por ejemplo, al iniciar sesión en un sitio web bancario.
Una forma de aumentar la efectividad del enfoque sería dividir las contraseñas o secretos en más de dos servidores, dice Boneh. Juels dice que RSA planea hacer eso posible en el futuro y lanzar un software que permita utilizar el enfoque de división de secretos para proteger los datos cifrados, por ejemplo, para los archivos almacenados en un servicio en la nube.
Sin embargo, señala Boneh, hay otras formas de robar los secretos de una persona. Con la administración de contraseñas, a menudo la principal preocupación es el usuario final: si la máquina del usuario está infectada con malware, es poco lo que se puede hacer para protegerlos sin recurrir a un token físico, dice Boneh, refiriéndose a los sistemas que requieren que las personas Lleve consigo un llavero o use una aplicación de teléfono para proporcionar una contraseña temporal cada vez que inicien sesión.
Este enfoque, conocido como autenticación de dos factores, generalmente se requiere solo para cuentas corporativas o financieras, pero Google y Facebook ahora lo ofrecen para sus cuentas en línea debido al rápido comercio de comprometer dichas cuentas.