Blog de Orlando Alonzo

Comentarios sobre tecnología, redes sociales y cosas como desarrollo de software, libros y películas.

Etiqueta: password

Passwords largos ahora son más fáciles de crackear

Palabra password en juego de mesa

Alguno de ustedes quizás conozca ocl-Hashcat-plus, un crackeador de passwords que tiene la habilidad de poder usar tarjetas de vídeo como poder de procesamiento para crackear grandes cantidades de hashes criptográficos; hasta hace poco, estaba limitado a aproximaciones de 15 o menos caracteres; eso ha cambiado con la versión 0.15, la cual puede dar al traste tu password de hasta 55 caracteres, pudiendo llegar hasta 64 caracteres o 24 como mínimo, en factor del hash que se esté atacando o el tipo de técnicas de cracking. Y esto es un problema porque ataca una de las técnicas de las personas que no quieren recordar un password complicado lleno de letras mayúsculas, minúsculas, símbolos y números: un password largo, algo así como mexicanosalgritodeguerra o similares. Hay que entender que estos ataques pertenecen a los clasificados como “fuera de línea“, es decir, son los que atacan los hashes que se filtran de cualquier forma que se les ocurra, y entonces quedan a disposición de investigadores o maleantes que pueden correr aplicaciones como ocl-Hashcat-plus sobre ellos. En el caso de ocl-Hashcat-plus, este tiene como blanco productos y aplicaciones criptográficos como TrueCrypt 5.0 y superiores, 1Password, Lastpass, el algoritmo SHA256 de Linux, y las operaciones de hashing de la última versión de OS X.

Para darnos una idea de las capacidades de ocl-Hastcat-plus, este puede atacar una configuración TrueCrypt típica con una PC con este software y dos tarjetas de vídeo AMD HD 6990; en conjunto, con esta configuración se puede pasar a través de 223,000 passwords por segundo, suficiente para pasar por todas las 14.3 millones de palabras contenidas en el vaciado de passwords de RockYou en tan sólo 65 segundos.

Mi opinión: si les gustan los passwords largos, primero que nada no usen frases conocidas: la leyenda del anillo del Señor de los Anilos, frases de Chtulhu, y demás cosas conocidas, se ven cool pero…son conocidas. Están en WikiPedia y en todos lados. Dos, diversifica las palabras que usas, sobre todo en lo concerniente al lenguaje. Y quizás sea hora de dejar de despreciar los símbolos…

¿Por casualidad tu password es “1234” o “Password”?

Password Meter

Quizás por esto hoy en día muchos se dicen hackers: muchos usuarios escogen passwords sin imaginación o sin distinción y son presa fácil para los criminales que usan teclado; ese es el resultado de un análisis estadístico de 28,000 claves que fueron robadas de un sitio popular de los Estados Unidos, y a decir verdad arroja resultados interesantes aunque no sorprendentes: un 16 por ciento escogió un primer nombre, suyo o de sus hijos, como su clave. Otro 14% fue el peor de todos: basaron sus claves en secuencias de teclas fáciles de recordar, como “1234” y “QWERTY” (para aquellos con teclados de este lado del mundo) o “AZERTY” (para usuarios europeos). 5% del total de los passwords robados fueron nombres de televisión o estrellas populares entre la gente jóven, como “hannah” (de Hanahh Montana), “Pokemon”, “Matrix” e “Ironman”, entre otros. La mismísima palabra “password” o variaciones sencillas como “password1” se llevaron el 4%; otras claves usadas fueron elecciones románticas, como “iloveyou” y su opuesto “ihateyou.”

Así que la próxima vez que tengas que escoger un password esfuérzate un poco más; usa símbolos (cuando menos uno), combinación de mayúsculas y minúsculas y dígitos. Inclusive puedes usar utilerías en línea gratuitas como PasswordMeter, que te ayudará a crear passwords fuertes.

Fuente: Physorg

¿Que tan fuerte es tu password?

Candado y llaveRecordando la película Full Metal Jacket, en la cual el sargento Hartman regaña a Gomer Pyle por no tener cerrado el candado de su caja de efectos personales, y le dice: “si no fuera por idiotas como tu, ¡no habría robos en el mundo!“. Algo similar pasa con los passwords; a pesar de incontables ejemplos, muchas personas aún utilizan palabras sencillas o datos que pueden ser deducidos fácilmente, como nombre de la mascota, fecha de nacimiento, teléfono, secuencias simples como QWERTY o 123456, etc.

Unas estadísticas curiosas: 3.8 por ciento de los passwords son una palabra que se puede encontrar en un diccionario; 12 por ciento son una palabra más un digito, el cual dos tercios de las veces es 1. Otra estadística que llama la atención es que muchos usuarios no cambian los passwords por default que trae la computadora cuando la compran, y estos passwords son fácilmente encontrables en la red.

Continue reading