Lección 1 de 0
En Progreso

3.8 : Seguridad

29 junio, 2022

seguridad de la contraseña

La fuerza de la contraseña es una medida de la efectividad de una contraseña para resistir ataques de fuerza bruta y adivinanzas de fuentes externas. Cuanto más fuerte sea la contraseña, mayor será el número de intentos o pruebas necesarios para adivinar el código por parte de un atacante cibernético.

Informar al usuario de la seguridad relativa de su contraseña de la manera anterior significa que los usuarios pueden juzgar instantáneamente el nivel de seguridad que su palabra o código brinda a la información que están tratando de proteger.

seguridad de la contraseña

Hay dos factores principales a considerar al establecer contraseñas, que son la cantidad de conjeturas que el atacante debe realizar antes de llegar a la contraseña correcta y qué tan fácil es para el atacante verificar la validez de cada conjetura.

  1. El primer factor está determinado por la longitud de la contraseña, la amplitud de los caracteres o símbolos y si el proceso subyacente a la contraseña es predecible, basado en arreglos de letras (palabras), dígitos (cumpleaños) o símbolos, o aleatorio, sin usar un arreglo establecido de letras, dígitos o símbolos.
  2. La facilidad con la que se pueden verificar las conjeturas del atacante está determinada por la forma en que se usa y almacena la contraseña, que en gran medida está fuera del control del usuario.

Contraseñas predeterminadas o generadas por el usuario

La creación de contraseñas puede ser predeterminada por el sistema o el usuario puede elegir la suya propia, que es el método habitual. El beneficio de seleccionar contraseñas en nombre del usuario es que el sistema puede emplear equipos o software de aleatorización que pueden calcular contraseñas aleatorias con precisión para evitar ataques de fuerza bruta.

Permitir a los usuarios la oportunidad de establecer su propia contraseña significa que probablemente es menos probable que olviden su elección, lo cual se debe en una pequeña parte al efecto de autogeneración, que es un fenómeno de memoria en el que es más probable que los elementos autogenerados sean recordado que los que acabamos de leer.

Sin embargo, juzgar la solidez de las contraseñas generadas por el usuario es difícil, y si los usuarios emplean algún patrón existente de letras, números o símbolos, es más probable que los ataques externos tengan éxito, ya que a menudo se presentan en forma de software de escaneo que puede hacer miles de conjeturas. de listas de palabras existentes, arreglos de números o símbolos.

Los sistemas pueden protegerse contra estos exhaustivos ataques de conjetura imponiendo límites al número de conjeturas erróneas; a menudo restringido a tres intentos incorrectos. Sin embargo, el sistema tiene que almacenar contraseñas para que los usuarios puedan recuperarlas en caso de ataque o de sus propios intentos fallidos. Esto plantea un riesgo de seguridad en sí mismo, ya que una violación del sistema podría dejar la información personal de millones de personas vulnerable a un ataque.

Investigar

En un análisis de más de tres millones de contraseñas de ocho caracteres, la letra ‘e’ se utilizó más de un millón y medio de veces, mientras que la letra ‘f’ se utilizó sólo un cuarto de millón de veces. Los resultados también mostraron que el número más común utilizado en las contraseñas es “1”, mientras que las letras más comunes eran a, “e”, “o” y “r”. Por lo tanto, las selecciones no reflejan una distribución uniforme, ya que cada letra aparecería 900.000 veces si se eligiera al azar.

Las selecciones de contraseñas autogeneradas también se estudiaron con información obtenida de un esquema de phishing de Myspace en 2006. Esta información reveló que solo el 8,3% de las 34.000 contraseñas incluían letras mayúsculas, números y símbolos mixtos.

Sin embargo, el uso de estas características también puede disminuir la seguridad de una contraseña. Por ejemplo, usar una letra mayúscula al comienzo de la contraseña podría reducir la fuerza en comparación con la misma contraseña escrita en el mismo caso. La fuerza completa solo se logra realmente si todos los caracteres se eligen al azar, que es lo que subyace al beneficio de usar contraseñas predeterminadas establecidas por un generador de números / contraseñas aleatorios del sistema. Sin embargo, esto impone una carga aún mayor a la memoria a corto plazo del usuario, ya que es difícil imponer alguna lógica interna a una contraseña verdaderamente aleatoria.

Resumen

Por lo tanto, hay una serie de factores a considerar al decidir si determinar las contraseñas en nombre del usuario o permitirle tomar sus propias decisiones. Cuando el usuario genera las contraseñas, a menudo es prudente informarle de las diferentes medidas que puede tomar para fortalecer su contraseña. Sin embargo, siempre existe el problema de la carga de la memoria a corto plazo cuando las contraseñas no se ajustan a alguna disposición existente de letras, números o símbolos. Puede parecer que este problema se elude al permitir la recuperación de contraseñas a través del sistema, pero como se mencionó anteriormente, esto plantea problemas de seguridad propios.