Contraseñas Seguras: ce087bb1b7c6ddedf860ae03d0ef3571.

Derten, Ciberseguridad. 30/07/2018

Una contraseña o clave es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. A aquellos que desean acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso.

En la era tecnológica, las contraseñas son usadas comúnmente para controlar el acceso a sistemas operativos de computadoras protegidas, teléfonos celulares, decodificadores de TV por cable, cajeros automáticos de efectivo, etc.

Fuente: Wikipedia

Es un hecho, que la mayoría de las personas no profesionales de la informática no son verdaderamente conscientes de lo fácil que puede resultar acceder a sus contraseñas.

Cualquier persona que sepa moverse mínimamente por internet, tiene a su disposición una innumerable cantidad de aplicaciones y recursos que le van a permitir lograr sus objetivos, es decir, las codiciadas contraseñas.

En uno de los múltiples ataques contra la integridad de los usuarios que habitualmente suceden en internet, se vieron comprometidas millones de contraseñas de LinkedIn. Para nuestra sorpresa (o no) resultó que la contraseña más utilizada era “password” (contraseña).

Por puro sentido común, esta “contraseña” quizá sea también, la mas utilizada en otras Redes Sociales u otros servicios. ¿Qué ocurriría si existiesen personas que utilizasen las mismas contraseñas en distintos servicios?. Ocurriría que sería extremadamente sencillo, una vez destapada la contraseña de cualquiera de estos servicios, el poder acceder a toda la “vida digital” de un individuo tan poco precavido.

A primera vista, podría pensarse que resultaría un trabajo de proporciones bíblicas ponerse a comprobar todos los servicios que existen en internet…… Facebook, Paypal, cuentas bancarias, Google, etc. Pero en realidad, hay muchas herramientas y servicios online donde poder apoyarse para realizar estas actividades.

Uno de los servicios más conocidos (aunque hay otros muchos) es haveibeenpwned.com. Desde esta web podemos comprobar si alguna de nuestras cuentas de correo ha sido comprometida. Tienen también un servicio para comprobar contraseñas.

En el caso de que, efectivamente, alguna de nuestras cuentas de correo se haya visto comprometida, y nuestra contraseña haya pasado a “dominio público”, nos presentará un listado de los servicios online, en los que hay constancia de haber sido vulnerados, junto a una breve explicación de la misma.

En la cuenta del ejemplo, mi cuenta de correo se ha visto comprometida en los servicios de Adobe o DropBox, entre otros.

 

Desde esta misma página web, podríamos descargarnos de forma gratuita la base de datos con las contraseñas que han sido comprometidas. Eso si, tal como explican, estas contraseñas están CIFRADAS.

El hecho de que estas bases de datos contengan CONTRASEÑAS CIFRADAS, podría darnos un falso “margen de confianza”, un balón de oxígeno que nos hiciese albergar alguna esperanza. Nada mas lejos de la realidad. Tenemos programas como Hashcat especializados en descifrar contraseñas. Es una cuestión de tiempo (y de potencia de cálculo informático).

Otra opción sería dar un “paseo” por la Deep Web, lo cual nos proporcionaría varias de estas bases de datos con contraseñas ya descifradas.

Otra forma que los cibercriminales utilizan para de acceder a los servicios online de forma no autorizada, sería a través de ATAQUES DE DICCIONARIO o por FUERZA BRUTA.

Existen multitud de páginas web desde donde podemos descargar diccionarios para realizar estos intentos de acceso.

Las capturas de pantalla corresponden a un sitio en GitHub, donde podemos encontrar diccionarios bastante actualizados (14 días de antigüedad) y que nos ofrecen las “posibles” contraseñas de lugares como Ashley-Madison, Adobe o 000webhost.

¿Y que hacemos una vez que tenemos un diccionario con varios miles de palabras? ¿probarlas una a una?. No es necesario. Para estas labores existen aplicaciones como HYDRA.

Hydra es una aplicación especializada en contraseñas.

Como se puede apreciar en la captura adjunta, podemos especificar un único objetivo (en este caso Google) o podríamos indicarle un fichero con un listado de lugares que quisiéramos comprometer.

El tipo de protocolo que vamos a comprobar sería el de “formulario de página web”. Cualquier formulario de cualquier web.

En esta captura de pantalla vemos cómo se puede indicar un único nombre de usuario, o una lista con varios nombres de usuario.
En la siguiente sección podemos especificar una única contraseña o un listado de contraseñas.

Y en el caso de no poder conseguir el acceso con los diccionarios que tenemos, todavía queda la opción GENERATE. Esta es nuestra opción de FUERZA BRUTA.

Con la opción GENERATE vamos a crear contraseñas con FUERZA BRUTA. Es decir, se empieza con la letra a, se continúa con la b, c, d … tras esto se continúa con los números, posteriormente pasamos a combinaciones de 2 letras, letras y números, 3 combinaciones, 4 combinaciones …… y se seguirían probando distintas combinaciones por orden y a gran velocidad, hasta obtener algún resultado.

Concretamente, en la imagen se muestra 1:11:aA1 Esta instrucción da 3 indicaciones, las cuales están separadas por dos puntos(:)

Probar contraseñas de una longitud mínima de 1, una longitud máxima de 11 y los dígitos a comprobar son TODAS las letras minúsculas (a) TODAS las letras mayúsculas (A) TODOS los números (1).

Si. Posiblemente tu contraseña, tarde o temprano, sea desvelada por la Hydra.

Y ante semejante panorama….. ¿Qué podemos hacer?

Evitar palabras que existan en el diccionario. En la web se pueden encontrar diccionarios con los personajes de películas, libros, futbolistas, etc. Incluso tenemos diccionarios con las peores 500 contraseñas del año.

  • No dejar nunca las contraseñas que vienen por defecto.
  • No utilizar nunca las mismas contraseñas en distintos sitios. SIEMPRE contraseñas distintas. Si cae un sitio, caerán todos.
  • Cambiar las contraseñas de forma periódica. En el caso de haber sido comprometidas, volvemos la cuenta a 0.
  • Utilizar contraseñas SEGURAS.
  • Nunca revelar las contraseñas a nadie.

Aplicaciones como Hydra, a pesar de toda su potencia, no son perfectas y tienen sus limitaciones. En la captura de pantalla anterior, vemos que, con los parámetros que le habíamos indicado, se van a generar MAS DE 4 BILLONES DE CONTRASEÑAS. Hydra se bloquea.

Hydra tampoco puede gestionar diccionarios con más de 50 millones de palabras simultáneamente.

A todo esto, debemos añadir el tiempo que hydra necesitaría para comprobar estas más de 4 billones de contraseñas (varios años).

Es de VITAL IMPORTANCIA crear contraseñas que:

  • Incluyan minúsculas, mayúsculas, números y símbolos especiales (asteriscos, llaves, corchetes, etc.)
  • Tengan una longitud mínima de 8 caracteres. 
  • Cambiarlas todos los meses. Hydra es una aplicación gratuita que se puede descargar libremente de Internet. Organizaciones de Ciberdelincuentes profesionales, utilizan herramientas profesionales. Está estipulado que en un plazo de 100 días pueden comprometer contraseñas seguras. La mejor opción es cambiar nuestras contraseñas antes de que venzan estos plazos.

Soluciones

Una buena opción es utilizar GESTORES DE CONTRASEÑAS. Los cuales nos van a permitir generar contraseñas seguras y poder almacenarlas de forma adecuada.

La filosofía de estas aplicaciones es que, bajo el amparo de una contraseña principal, vamos a tener una cartera con todas nuestras contraseñas.

Como de costumbre, hay varias alternativas. Yo utilizo Keepass.

Bajo una contraseña principal, podemos almacenar de forma segura, todas nuestras contraseñas.

Y una de sus opciones más interesantes es un GENERADOR DE CONTRASEÑAS SEGURAS.

En este ejemplo he elegido como opciones una longitud mínima de 20 caracteres, dentro de los cuales deben incluirse Mayúsculas, minúsculas, números, espacios en blanco, símbolos especiales y brackets.

En base a estas opciones, nos genera una contraseña que posteriormente guardará de forma segura y cifrada en nuestra cartera.

 

En definitiva, que cada vez más, hemos de proteger nuestros activos en la era digital, y una de las medidas principales es tomarse en serio el uso de las contraseñas y hacer caso de las recomendaciones y buenas prácticas.