¡Esmérate en tu Contraseña!

¡Esmérate en tu contraseña!

Crackear password siempre ha sido cosa que hacer con programa.

Siempre que se recurría a la “fuerza bruta” para romper contraseñas. Cuando hay que hilar más fino porque los programas no tienen las claves para sacar las contraseñas, no queda más remedio que recurrir al factor humano que, con ingeniería social y “atando” cabos de aquí y de allá, conseguir que se revelen las contraseñas en un descuido o que se adivinen conociendo a la víctima. En cualquier caso, se trata de técnicas y habilidades que sólo los hackers más perspicaces están capacitados para realizar. ¡Hasta ahora!¡Esmérate en tu contraseña!

¿Pero qué es Targuess?

Targuess es el nombre de un nuevo sistema que hace más fácil y más automático eso de cazar contraseñas. El sistema, desarrollado en ambiente universitario por la colaboración de las universidades de Lancaster, Pekín y Fujian trata de averiguar las contraseñas no por fuerza bruta, metiendo passwords sin más hasta que se acierte. Es un sistema desarrollado en base a algoritmos que toman como referencia las tendencias generalizadas de los usuarios de todo el mundo para componer sus contraseñas para tratar de adivinarlas. Es decir, revienta la contraseña, hablando pronto y mal, calculándola según lo que sabe de su autor, de su propietario.

Normalmente, los usuarios eligen como contraseñas palabras que les resulten inmediatas y fáciles de recordar. El nombre de su futbolista más idolatrado, el nombre de su mascota, el cumpleaños de algún familiar, si es hombre, porque poner fechas de aniversario, eso lo hacen más ellas y así un largo etcétera en donde cada uno puede verse retratado. Y si no es una fecha o un nombre, se recurre a alguna regla que también es predecible, porque siempre se tiende a utilizar los mismos mecanismos de composición.

Y esto es lo que hace Targuess

Busca en Internet datos relevantes sobre una persona que le permita adivinar su password según la información que ella misma deja en La Red. Que es hincha de un equipo de futbol, que hace comentarios sobre efemérides personales o de otra índole, que es fan de una saga de películas, que es miembro activo en redes sociales y un largo etcétera de lo que cada cual hace por Internet, pues todo eso le sirve a este sistema para sacar pautas con las que tratar de averiguar contraseñas. Lo que antes era una actividad sólo al alcance del humano, ahora ya es posible automatizarla. Y parece que no lo hace del todo mal, pues según sus promotores tiene un índice de acierto del 73%. Incluso, los algoritmos, patrones y modelos matemáticos que utiliza este sistema es capaz de enfrentarse a passwords complejas, aquellas que contienen números. Localiza los números que pueden estar contenidos en la contraseña y hace conjeturas, combinaciones, de cuales puede ser el orden en los que estos números están colocados.

Targuess es sólo el principio. El big data se puede aplicar a todo y la ciberseguridad no iba a ser una excepción. Estos sistemas se podrán emplear desde el lado del mal para romper contraseñas y desde el lado del bien para hacer test de intrusiones y comprobar si los usuarios componen o no buenas y robustas contraseñas. No es sólo obligar a poner muchos caracteres para componerla, conviene que los usuarios estén aleccionados de cómo han de elegir sus contraseñas, alejadas por completo de alguna característica reconocible.

¿Qué debo hacer para tener una contraseña segura?

  • Utilizar más de 8 dígitos para componerla.

  • Emplear caracteres alfanuméricos y símbolos especiales.

  • Utilizar programas de generación aleatoria de contraseñas.

  • Cambiar las contraseñas con cierta frecuencia.

  • Tener distintas claves para distintos servicios.

  • Guardar las distintas claves en archivos cifrados.

En el ámbito profesional o corporativo, además, estas recomendaciones tienen que estar recogidas e implementadas a través de directivas de la compañía y conviene tener desplegado algún sistema de registro y auditoría para comprobar que las contraseñas se están gestionando adecuadamente. Que los usuarios no entran con las contraseñas de otros, que las contraseñas se cambian con la frecuencia establecida, detectar posibles ataques de fuerza bruta contra las cuentas de usuario y otras comprobaciones más. Un ejemplo de una herramienta sencilla que puede realizar esta supervisión puede ser Netwrix Auditor 8.5.

Sigue descubriendo:

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies propias y de terceros para mejorar nuestros servicios. Al utilizar el Sitio, usted acepta el uso de cookies. más información

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close