Contraseñas y Hackers

● A finales de 2010, Sean Brooks recibió tres mensajes de correo electrónico en un lapso de 30 horas de advertencia de que sus cuentas en LinkedIn, Battle.net y otros sitios populares corrían peligro. Fue tentado a despedirlos como bulos — hasta que notó que incluyeron características que no son típicas de fraudes de estafadores.

● Los avisos de advertencias y millones de otras personas que recibieron en diciembre de ese año no eran mentiras. Dentro de algunas horas de hackers anonymous penetrando servidores de Gawker y exponiendo las contraseñas protegidas criptográficamente de 1,3 millones de sus usuarios, fueron las contraseñas que se hackearon y utilizándolas para entrar en las cuentas de Twitter y enviar spam.

● En los próximos días, los sitios de asesoramiento obligaron a sus usuarios a cambiar las contraseñas y se amplió para incluir Twitter, Amazon y Yahoo.

● El antiguo arte de hackeo de contraseñas ha avanzado más en los últimos cinco años que en la anterior varias décadas combinado. Al mismo tiempo, ha aumentado la peligrosa práctica de reutilización de contraseña. El resultado: seguridad proporcionada por la contraseña promedio en 2012 nunca ha sido más débil.

Un nuevo mundo

● El usuario Web promedio mantiene 25 cuentas separadas pero utiliza 6.5 contraseñas sólo para protegerlos, según un estudio desde 2007.

● El Hardware más reciente y las técnicas modernas también han ayudado a contribuir al aumento de hackeo de la contraseña. Ahora utilizan cada vez más para la informática, procesadores de gráficos que permiten hackeo de contraseña con programas para trabajar miles de veces más rápidos que lo hicieron sólo una década igualmente al precio de PC que utiliza CPUs tradicionales solos. Un PC con un solo AMD Radeon HD7970 GPU, por ejemplo, puede intentar en promedio unas asombrosas combinaciones de 8,2 billones de contraseña cada segundo, según el algoritmo utilizado para codificarlos. Sólo hace una década, dichas velocidades son posibles solamente cuando se usa superordenadores caros.

● Lo más importante, una serie de fugas en los últimos años que contiene más de 100 millones de contraseñas de reales han proporcionado hackeos con importantes ideas nuevas sobre cómo personas en diferentes ámbitos de la vida eligen contraseñas en sitios diferentes o en diferentes contextos. La creciente lista de contraseñas filtradas permite a los programadores escribir reglas que hagan algoritmos más rápidos y más precisos; los ataques de contraseña se han convertido en ejercicios de cortar y pegar algún script kiddies(personas sin habilidad para programar) y que pueden realizar con facilidad.

● La contribución más importante de hackeo vino a finales de 2009, cuando se atacan una inyección SQL contra Juegos online por servicio RockYou.com exponiendo 32 millones contraseñas de texto simple utilizadas por sus miembros para iniciar sesión en sus cuentas.

● Las claves de acceso, que llegó a 14,3 millones una vez duplicados fueron retirados, fueron publicados en línea; casi toda la noche, el corpus sin precedentes de credenciales reales cambió las manera whitehat blackhat hackers tanto agrietadas y contraseñas

Hashing hacia fuera

● En diciembre de 2010, existían 1,3 millones contraseñas legibles. En cambio, habían sido convertidos en lo que se conoce como "valores hash" pasándolas a través de una función criptográfica unidireccional que crea una única secuencia de caracteres para cada entrada de texto.

● Cuando pasaba por el algoritmo MD5, por ejemplo, la cadena "contraseña" (menos las comillas) se traduce en “5f4dcc3b5aa765d61d8327deb882cf99”

● En teoría, una vez que una cadena se ha convertido en un valor de hash, es imposible volver a texto simple utilizando medios criptográficos. Password cracking(rompimiento o descifrado de claves), entonces, es la práctica de ejecutar conjeturas de texto simple a través de la misma función criptográfica utilizada para generar un hash comprometido. Cuando los dos valores hash coinciden, la contraseña ha sido identificada.

●

“Rockyou” lo haremos

● Tras RockYou, todo cambió en el pasado fueron listas de palabras que compilan de Webster y otros diccionarios que luego fueron modificadas con la esperanza de imitar a la gente de palabras que realmente utilizan para acceder a su correo electrónico y otros servicios en línea. En su lugar fue una colección única de letras, números y símbolos — incluyendo todo, desde mascotas nombres de personajes de dibujos animados, que sería la semilla contraseña futuros ataques.

● Casi tan importante como las palabras precisas que se utiliza para tener acceso a millones de cuentas en línea, el incumplimiento de RockYou reveló las pensamiento estratégico de personas empleadas a menudo cuando escogieron un código de acceso. Para la mayoría de las personas, el objetivo era hacer la contraseña fácil de recordar y difícil de adivinar. No en vano, la lista de RockYou confirmaron que casi todas las letras mayúsculas al principio de una contraseña; casi todos los números y signos de puntuación aparecen al final. También reveló una fuerte tendencia a utilizar el primer nombre seguido por años, tales como Julia1984 o Christopher1965.

● Otras contraseñas complejas requieren manipulaciones similares a estar rajado. La lista de RockYou y las contraseñas de cien millones de más que colectivamente han sido expuestas en sus consecuencias, sacó a la luz una plétora de otra emplean personas de técnicas para proteger contraseñas simples de ataques de diccionario tradicional.

● Uno es agregar números o caracteres no alfanuméricos como "!" para ellos, generalmente al final, pero a veces al principio. Otra, conocida como la "mutilación", transformaciones de palabras como "super" o "Princesa" en "sup34" y "Príncipe$ $". Todavía otros anexar una imagen espejo de la palabra elegida, por lo que «libro» se convierte en "bookkoob" y "contraseña" se convierte en "passworddrowssap."

Un poco de tacto

Que sutileza toma todo tipo de formas. Una técnica prometedora es utilizar programas como el Passpal de código abierto para reducir el tiempo de hackeo identificando patrones que exhiben en un porcentaje significativo de contraseñas interceptadas. Por ejemplo, como se señaló anteriormente, muchos de los usuarios del sitio tienden a añadir años a nombres propios, palabras u otras cadenas de texto que contienen una sola letra capital al principio. ● Usando técnicas de fuerza bruta para descifrar la contraseña

Julia1984 requeriría 629 posibles combinaciones, una "clave" que se calcula por el número de posibles letras (52) más el número de números (10) y elevar la suma del poder de nueve (que en este ejemplo es el número máximo de caracteres de la contraseña está dirigida un hacker). Usando un AMD Radeon HD7970, todavía tardaría unos 19 días para recorrer todas las posibilidades.

Utilizando las funciones incorporadas en apps de hackeo de contraseñas como Hashcat y fuerza bruta extrema GPU, la misma contraseña puede recuperarse en unos 90 segundos realizando lo que se conoce como un ataque de la máscara. Funciona reduciendo inteligentemente la clave en sólo esas conjeturas probables que coincidan con un patrón determinado.

● En lugar de intentar aaaaa0000, ZZZZZ9999 y todas las combinaciones posibles entre estas, se trata de una letra minúscula o superior sólo para el primer carácter y trata de caracteres sólo minúsculas para los próximos cuatro caracteres. Luego agrega todos los posibles números de cuatro dígitos al final. El resultado es una clave drásticamente reducida de unos 237,6 billones, o 52 * 26 * 26 * 26 * 26 * 10 * 10 * 10 * 10.

Ataque híbrido

● Una técnica aún más poderosa es un ataque híbrido. Combina una lista de palabras, como el utilizado por Redman, con reglas para ampliar enormemente el número de contraseñas pueden romper esas listas. En lugar de fuerza bruta-obligar a las cinco letras en Julia1984, los hackers simplemente recopilan una lista de nombres para cada usuario de Facebook y agregan a un diccionario de tamaño mediano de, digamos, 100 millones palabras.

● Mientras que el ataque requiere más combinaciones que el ataque de máscara anterior — específicamente aproximadamente 1 trillón (100 millones * 104) posibles cadenas — sigue siendo un número manejable que toma sólo unos dos minutos, usando la misma tarjeta de AMD 7970. La recompensa, sin embargo, es más que vale la pena el esfuerzo adicional, ya que rápidamente quebrara o romperá, Christopher2000, thomas1964 y decenas de otros.

Ataque de diccionario

● Este tipo de rompimiento de contraseña entró el agradecimiento de la conciencia pública en gran medida a la década de 1980 de una novela de suspenso The Cuckoo's Egg, en qué el autor Cliff Stoll relata su búsqueda de la vida real de un hacker que se rompe en los sistemas informáticos y roba militar sensible y documentos de seguridad en nombre de la KGB Soviética.

● El libro está repleto de gente en lugares altos que socava la seguridad nacional con higiene deficiente contraseña — una cuenta en la red de contratista de defensa SRI Inc. con un nombre de usuario y contraseña del "Saco", por ejemplo, o una cuenta de superusuario para Lawrence Berkeley Labs que no había sido cambiado en años.

● "Cuando el dinero fue almacenado en bóvedas, seguro-quebaradas atacaron las cerraduras de combinación," escribe Stoll, quien como un astrónomo desplazado se convierte en el protagonista del libro improbable hacker-caza. "Ahora que los valores son solo bits en la memoria de una computadora, ladrones van tras las contraseñas".

La conexión de arco- Rainbow

● El nucleo de este nuevo enfoque se originó con Martin E. Hellman. En 1980, Hellman publicó un libro titulado "Un criptoanalítico de memoria de tiempo de compensación" que propuso lo que llegó a ser llamado tablas Hellman. Estas tablas fueron compiladas por delante de un ataque de contraseña y trabajadas utilizando previamente calculados de los datos almacenados en disco.

● Las tablas de Hellman redujeron los recursos informáticos necesarios para crackear un hash DES de alrededor de $5.000 a solo $10. En 2003, criptógrafo compañero Phillippe Oechslin propone mejoras a la técnica de Hellman que había mejorado enormemente la eficacia.

● El resultado es ahora lo que se conoce como las tablas de arcoiris. En vez de pedir un equipo para enumerar cada contraseña posible en tiempo real y compararla con un hash específico, los datos previamente calculados eran almacenados en la memoria o en disco en forma altamente comprimida para acelerar el proceso y bajo los requisitos informáticos necesitan para bruta fuerza a enormes cantidades de hashes.

● Cada tabla dirige un algoritmo específico y clave, y contiene una colección de cadenas. Cada cadena se inicia con una contraseña arbitraria por un lado y termina con un valor de hash único en el otro extremo.

● Se pone la contraseña de inicio mediante el algoritmo para generar el hash, y ese valor se pasa a través de uno de los muchos diferente "funciones de reducción" para generar una nueva estimación de contraseña. La nueva contraseña luego es quebrada.

● El proceso continúa hasta que se alcance el hash al final de la cadena

● El avance no fue sólo la velocidad con que las tablas podrían descifrar contraseñas; también fue su habilidad para descifrar casi cada contraseña posible mientras que no caiga fuera de la clave específica.

● Las tablas Rainbow se creen que recibe su nombre debido a que cada eslabón de la cadena utiliza una función de reducción diferentes, pero todas las cadenas siguen el mismo patrón — tanto como cada color en rainbow es diferente pero todos rainbows siguen el patrón ROYGBIV.

El SHA1 no es un algortimo de hash seguro

● Un gran porcentaje de los sitios que son víctimas de violaciones de contraseña cometer otro error que disminuye aún más la protección de hashes: utilizan algoritmos que nunca fueron diseñados para proteger las contraseñas. Eso es porque MD5, SHA1 y DES fueron diseñados para convertir texto plano hashes muy rápidamente con mínimos recursos de computación, y esto es exactamente lo que las personas que ejecutan programas de descifrado de contraseñas más desean.

● Para apreciar cuán pobre una contraseña hash se seleccionaron estos son

algoritmos , considere esto: El investigador de seguridad independiente Jeremi Gosney tomó cerca de seis días más del 90% de los 6,5 millones hash SHA1 expuestos en el incumplimiento de LinkedIn. Recuperó una quinta parte de las contraseñas de texto simple en sólo 30 segundos. En las siguientes dos horas, él había recuperado otro tercio de ellos. Un día en el ejercicio, había recuperado un total de 64 por ciento, y en los cinco días que siguieron él rajados otro 26 por ciento.

●

● El algoritmo de Bcrypt es incluso más costoso computacionalmente, en gran parte debido a que somete el texto a varias iteraciones del cifrado Blowfish que deliberadamente se ha modificado para aumentar el tiempo necesario para generar un hash.

● Estas funciones costosas computacionalmente requieren mayor servidor de procesamiento, por supuesto. Esto puede aumentar la carga en los servidores Web y aún podía abrirlos hasta nuevos tipos de ataques DoS, dijo Matt Weir, un estudiante post-doctoral de Florida State University, cuyo Doctorado centrado en contraseñas.

Fuerza bruta- Golpeando la pared

● Computación incluso potentes motores tienen problemas para grietas más contraseñas mediante la fuerza bruta. Suponiendo que dicho ataque comprueba todas las combinaciones de todos los 95 letras, números y símbolos disponibles en un teclado estándar de inglés, tarda una cuestión de horas para un equipo de escritorio con un núcleo de Intel procesador i7 980 x fuerza bruta averiguar cualquier contraseña de cinco caracteres.

● Agregar una tarjeta GPU a un sistema sin duda ayuda, pero no tanto como muchos podrían imaginar. Un AMD Radeon 6970 todavía necesita más de 10 días a la fuerza bruta de un código de siete caracteres. Y la pared apenas mineralización incluso cuando significativamente más potentes recursos llegan a tener. Utiliza un sistema de cloud de Amazon EC2 que combina la potencia de más de 1.000 GPUs individuales, todavía tarda unos 10 días a fuerza bruta una contraseña de ocho caracteres.

● Por Thorsheim, un asesor de seguridad que se especializa en contraseñas para una gran empresa con sede en Noruega, dijo que el atributo más importante de cualquier código de acceso es que sea exclusivo de cada sitio.

● Ambas aplicaciones permiten a los usuarios, crear contraseñas generadas aleatoriamente y almacenar de forma segura en un archivo criptográficamente protegido que se desbloquea con una sola contraseña maestra. También es esencial usar un gestor de contraseñas para cambiar contraseñas con regularidad.

● Dada la sofisticación de los hackers, cualquier cosa menos simplemente significa que su contraseña es trivial para romper.