Psicología de contraseñas: ¿Qué tipo de contraseña es la más segura?
¿Cuántas contraseñas tienes? ¿Tu contraseña es segura? ¿Memorizas contraseñas complejas y variadas o las anotas? ¿Qué tipo de contraseña es la más confiable? Esta imagen de nube de palabras muestra las contraseñas más utilizadas por las personas, con tamaños de fuente más grandes que indican un mayor uso. (Esta imagen fue publicada en el artículo "Los cinco principales administradores de contraseñas" de "BYTE" en "Information Weekly", escrito por Dazzlepod).
Déjame adivinar: todas las contraseñas que usas en línea: banca en línea, contraseñas de inicio de sesión de correo electrónico, compras en línea, Twitter y Facebook: todas están confundidas en tu mente. También sabes muy bien que al acceder a diferentes sitios web, debes elegir una secuencia diferente y compleja de letras, números y símbolos como contraseña, y luego memorizarla. (La sabiduría de nuestros antepasados nos enseña la primera regla de las contraseñas: nunca escribas contraseñas).
Pero en realidad no harás esto, porque sabes que tu cerebro no tiene esta capacidad. Así que eliges registrar cada sitio web con palabras familiares: como tu perro, el nombre de tu calle y algunos arreglos temporales que te vienen a la mente, como "123" como final. O tal vez usted realmente sigue esa regla y, por lo tanto, a menudo se le bloquea el acceso a su cuenta bancaria al iniciar sesión, o sigue recordando las respuestas a preguntas de seguridad ridículas. ("¿Cuál era tu deporte favorito cuando eras niño?" Ahora me hacen esta pregunta, pero mi "deporte" favorito cuando era niño era intentar faltar a la clase de gimnasia. También hay una pregunta en la tienda iTunes que pregunta a los clientes si " ¿Cuál es tu auto que menos te gusta?)
Lo más aterrador es que en los últimos años te han obligado a establecer una contraseña con letras mixtas mayúsculas y minúsculas, pero ¿qué persona normal puede recordarla? la disposición de combinaciones tan múltiples? Al menos esa persona definitivamente no serás tú.
Si cree que sus contraseñas son terribles, he aquí una razón para que se sienta menos culpable: las contraseñas incorrectas como estas son comunes. El mes pasado, un informe de análisis sobre la filtración de contraseñas PIN mostró que aproximadamente una de cada 10 personas elegiría "1234" como contraseña y la reciente violación de seguridad de Yahoo también reveló que miles de usuarios habían establecido contraseñas como "contraseña", "wele"; , "123456" o "ninja".
La gente siempre establecerá contraseñas terribles, e incluso las usará para proteger algo más importante que sus propios ahorros. La mayoría de los expertos en seguridad militar saben que en el apogeo de la Guerra Fría, el "código de desbloqueo" de las bombas nucleares estadounidenses era 00000000. Hace cinco años, "News Night" también reveló que antes de 1997, las cerraduras de algunas bombas nucleares británicas eran esencialmente cerraduras de bicicletas. En cuanto a cómo elegir si dejar que la ojiva explote en el aire o en el suelo, sólo necesitas usar una llave Allen de IKEA. Y estas no son contraseñas en absoluto. Cuando nos topamos con un ataque enemigo, un contraataque rápido es más importante que cualquier otra cosa.
Nuestras contraseñas están en riesgo y esto se convierte en una carrera armamentista entre piratas informáticos malvados y probadores de seguridad turbios. Pero siempre que hable con quienes lo saben, sabrá que la sabiduría de nuestros antepasados es en realidad cuestionable. Como contraejemplo: podría ser una buena idea anotar sus contraseñas. Algunos jefes ordenarán a los empleados que cambien sus contraseñas cada 90 días. Esto puede no mejorar la seguridad, pero puede causarles problemas. Lo mismo ocurre también con las especificaciones de configuración de contraseñas de algunos bancos: las contraseñas no pueden exceder los 12 caracteres, no se permiten teclas de espacio, etc. La verdad oculta entre todas las regulaciones es la siguiente: las contraseñas, como forma de proteger los datos privados de las personas en Internet, terminaron siendo fundamentalmente violadas.
Le pregunté a Bill Cheswick, un experimentado investigador en ciberseguridad, si había una manera de resolver este problema de una vez por todas. Pensó un momento y luego sugirió: "Simplemente quema tu computadora y vete a la playa".
"Aunque tu mente puede estar en un lío, todavía hay una manera de estar seguro sin perder la cabeza. Es solo que este método es diferente de lo que otros te enseñaron antes.
Formulario de técnica para descifrar contraseñas Varios, pero el más importante no es confiar en trucos malvados, sino confiar en la fuerza bruta para atacar. Por ejemplo: hay un pirata informático que se coló en el servidor de una empresa y se preparó para robar un archivo con millones de entradas. Este archivo está (con suerte) cifrado, por lo que le resulta imposible iniciar sesión en esta cuenta directamente. Suponiendo que la contraseña del archivo sea "hola" (por supuesto, no es tan simple), se cifrará en el archivo. algo así como "$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90" caracteres. Es imposible para él descifrar esta línea de caracteres confusos casualmente, porque sabe que el archivo está "cifrado unidireccionalmente" y todo lo que puede hacer es cifrarlos todos. Los cientos de miles de posibilidades se agregan al mismo algoritmo de cifrado hasta que una de las contraseñas gana el premio mayor y el resultado coincide con la serie de caracteres confusos. Solo entonces sabe que ha encontrado la contraseña (hay una tecnología de cifrado adicional llamada). "saltar", puede bloquear este ataque, pero no está claro cuántas empresas utilizan realmente esta tecnología).
En este punto, la longitud de la contraseña puede hacer más de lo que imaginas. Puede adivinar 1000 combinaciones de contraseñas de cinco letras, completamente aleatorias y en minúsculas, como "fpqzy". Tomará hasta 3 horas y 45 minutos para descifrar la contraseña con éxito. Si está configurada en 20 dígitos, el tiempo de descifrado será. aumentará naturalmente: tomará 6,5 millones de billones de años.
Ahora existe un problema de predicción humana, después de todo, nadie puede encontrar una combinación perfecta de letras y números. seguir algunas reglas naturales, como tomar alguna palabra existente y reemplazar la letra O con el número 0, o seguir el apellido con un año. Los piratas informáticos también lo saben, por lo que el software de craqueo combinará estas reglas para adivinar, reduciendo así de manera efectiva. El tiempo y adivinar rápidamente el objetivo Cada vez, aparecerá una nueva vulnerabilidad en un millón de contraseñas, al igual que el incidente de Gawker en 2010 y el incidente de Yahoo Note 1 de este año, y cada vez los piratas informáticos pueden aprender nuevos conocimientos de manera efectiva. sobre cómo las personas configuran contraseñas, lo que les facilita descifrarlas. Puede pensar que es lo suficientemente inteligente como para pensar en una forma excelente de configurar contraseñas, pero de hecho, los piratas informáticos ya estamos familiarizados con ella.
Por lo tanto, la contraseña más imposible de descifrar es una larga cadena de letras, números, espacios y símbolos completamente aleatorios, pero no podrás memorizarla si la configuras así, ya que la longitud es muy importante. encontrará un hecho sorprendente: una larga lista de palabras irregulares en inglés, todas en minúsculas, por ejemplo, "awoken wheels angling ostrich (wake up, tire, fishing, ostrich)". Mucho más seguras que contraseñas como Mnch3st3r, que ya son cortas y siga esas molestas regulaciones bancarias. Y esa contraseña es más fácil de recordar, porque ya has establecido una imagen en tu memoria: un grupo de neumáticos ruidosos despertaron a un avestruz pescando junto al río, ¿verdad? Como el popular cómic otaku "XKCD" publicó un cómic el año pasado, expresó claramente este argumento: "Después de 20 años de arduo trabajo, hemos logrado que todos desarrollen una configuración de contraseña. Es un ser humano. Ni siquiera puedo recordarlo, pero es una hazaña que incluso una computadora puede adivinar”.
Y la verdad es incluso peor que eso. Como las contraseñas son demasiado difíciles de recordar, la gente inventó la "recuperación de contraseña", en la que las preguntas de seguridad son tan simples que incluso los piratas informáticos pueden responderlas. Por eso el correo electrónico personal de Sarah Palin fue pirateado en 2008: los intrusos adivinaron correctamente su código postal y el nombre de su escuela secundaria. Otro fallo relacionado en la recuperación de cuentas también provocó el cruel ataque de piratas informáticos contra el escritor del Note 3 de la revista Wired, Mat Honan, en agosto de este año.
Varios piratas informáticos se apoderaron con éxito de su cuenta de Google, publicaron comentarios racistas en Twitter en su nombre y borraron de forma remota todos los datos de su computadora portátil, teléfono móvil y iPad. Más tarde, uno de los piratas informáticos le dejó un mensaje en línea a Honan, diciéndole que todo esto sucedió porque la línea directa de atención al cliente de Amazon le proporcionó felizmente los últimos cuatro dígitos del número de cuenta de su tarjeta de crédito, y en el servicio de atención al cliente de Apple, simplemente use estos cuatro dígitos para restablecer la contraseña de su cuenta Apple iCloud.
Algunos sitios web te permitirán utilizar una frase de contraseña, que es el tipo de "avestruz pescador" que acabamos de mencionar. Pero la mayoría de los sitios web no hacen esto. En este caso, muchos expertos en seguridad creen que la gente debería ignorar las normas bancarias y anotar sus contraseñas. En realidad, su lógica es muy simple: como cree que escribirla en un papel no es confiable, pensará en un compromiso y, al final, elegirá la contraseña menos segura. (De la misma manera, algunas personas le sugerirán o incluso le exigirán que cambie su contraseña con regularidad, pero, de hecho, cuantas más contraseñas tenga que recordar, más se verá obligado a elegir contraseñas más simples).
"Hay 68 contraseñas diferentes", dijo el experto en seguridad de Microsoft, Jesper Johansson, en una conferencia hace unos años. "Si no me dejaran escribirla, ¿adivinen qué haría? Tendría la misma contraseña para todas mis cuentas". El experto en contraseñas Bruce Schneier también recomienda que las personas escriban sus contraseñas. Señaló que la mayoría de las personas pueden guardar algunos pequeños trozos de papel de forma segura. Si su cónyuge o su compañero de cuarto son dignos de confianza es una cuestión de seguridad que usted es absolutamente capaz de inferir. Pero es difícil predecir si un grupo de hackers ruso amenazará su cuenta bancaria.
Compartí esta idea con Neil Aitken, portavoz del Consejo de Pagos del Reino Unido, que supervisa los sistemas de transferencias interbancarias y las redes de conectividad, entre otras cosas. Después de escuchar esto, parecía muy tranquilo. El quid de la cuestión, explicó, es que las leyes contra el fraude imponen determinadas obligaciones a los clientes de los bancos. Si sólo te importa proteger tu contraseña, si alguien roba el importe de tu cuenta, la ley determinará que has “cometido negligencia grave”, dificultando la recuperación de tu dinero. "Puedes tener la contraseña más difícil del mundo, pero si se la cuentas a otros, la destruirás". El comité recomienda encarecidamente que los clientes británicos nunca escriban la contraseña ni se la digan a nadie.
Ambas partes tienen sus propias opiniones. Ése es el problema de la seguridad: hay que sopesar los pros y los contras. Más comodidad significa menos seguridad; cuanto más estricta sea la defensa contra ataques remotos, más oportunidades tendrán los astutos compañeros de cuarto para aprovecharla. ¿Preferiría correr un riesgo financiero ligeramente mayor (aunque difícil de cuantificar) o exponerse a años de ataques criptográficos? Este tipo de preguntas son bastante complejas, como si te preguntaran: "¿Cuál es el coche que menos te gusta?"
Bill Cheswick (sus amigos lo llaman Ches), como mucha gente, cree firmemente que nuestra sociedad está descendiendo. en el caos criptográfico. A diferencia de los demás, se sentía parcialmente responsable. En 1994, como miembro de Bell Labs, el departamento de investigación virtual de AT&T, fue coautor de un libro. El título del libro es intrigante: "Firewalls y seguridad de red: luchando contra los astutos piratas informáticos". (Una vez acuñó el concepto de "servidores proxy", que es una de las razones por las que se le conoce como "semidiós" en los círculos de Internet). Este libro sentó las bases de la seguridad de las redes modernas. Pero ahora, dijo, cuando todos nos reunimos en las cafeterías de Manhattan para navegar por Internet, las contraseñas se convierten en "¡una púa! ¿Quién sabe tanto?". El tema siempre anima a Cheswick, aunque suele ser un tipo conversador y entusiasta, pero. Esta vez todavía hizo que la gente en la mesa de enfrente levantara la vista de sus cuadernos y lo mirara.
"¡Hay tantas reglas! Tienes que mezclar símbolos, mayúsculas y minúsculas, números..."
Chase llama a estas reglas "Ojos de Salamandra" porque son como pociones mágicas. La receta es la misma. De vez en cuando, cuando se deja llevar demasiado durante un discurso, llama a estas regulaciones "el fascismo de la criptografía". "Tengo 25 cuentas diferentes. ¿Tengo que recordar 25 contraseñas diferentes de 'Salamander Eyes'? ¡Esto no es científico!"
Además, también mencionó que el enfoque en hacer las contraseñas más complejas es cada vez menor y Menos relevante como amenaza más grave es el keylogger, un software que se instala de forma encubierta en su computadora y puede monitorear las pulsaciones de teclas en la red. "No importa cuán inteligente sea tu contraseña, mientras esté mirando tu teclado, estás muerto", dijo. Si desea reducir el riesgo, puede cambiar a una Mac o actualizar su sistema Windows XP inseguro a Windows 7 e instalar un software antivirus. Pero lo más seguro es no visitar nunca sitios web que contengan malware. Además, "si tu nieto viene a jugar con tu computadora, o tu hijo en la escuela secundaria ingresa una URL no segura, estás acabado". Igualmente peligrosos son los ataques de "phishing", que han sido publicitados por muchos medios. correo electrónico o URL de manera armoniosa, como disfrazarlo como la página de inicio de sesión de su banco para engañarlo para que ingrese su contraseña. (La forma más básica de combatir el "phishing" es verificar la barra de direcciones de su navegador; pasar el mouse sobre el enlace para garantizar la autenticidad del enlace; y nunca ingresar la contraseña en la respuesta al correo electrónico y enviarla de regreso. .)
Quizás algún día ya no tengamos que preocuparnos por estas cosas. Quizás haya desarrollos innovadores en el futuro que puedan reemplazar completamente las contraseñas. Quizás la tecnología de pantalla táctil podría usarse para detectar las diferencias más sutiles en su interacción con la computadora: la distancia entre sus dedos, la velocidad a la que hace clic y arrastra en la pantalla táctil. Además, técnicos de la Universidad de Rutgers en Nueva Jersey han fabricado un anillo de muestra. Cuando lo colocas en tu dedo, emite una pequeña corriente eléctrica que se emite a través de la piel del usuario y llega a la pantalla para confirmar su identidad. . Los sistemas de reconocimiento de huellas dactilares ya están integrados en algunas computadoras portátiles, pero debido a que la tecnología todavía tiene tantos problemas, aún no se ha tomado en serio, pero aún se puede mejorar. Pero no se apresure a relajarse. "Las criptomonedas no van a desaparecer" en el futuro previsible, afirmó Cheswick. "Por mucho que quiera que desaparezcan las contraseñas, siguen siendo demasiado convenientes".
Al mismo tiempo, también me sugirió que hiciera una cosa, a pesar de que me he sentido abrumado por mí mismo para poder completarla. este artículo. La investigación que hice fue impactante. Quería que cargara algo llamado "billetera de contraseñas", como LastPass o 1Password. Este software genera un conjunto de contraseñas altamente aleatorias para cada sitio web que visita y las almacena bajo una contraseña maestra. Instalé LastPass y lo usé para seleccionar una secuencia muy larga de palabras y números en inglés. Por ejemplo, ahora no tengo idea y nunca sabré cuál es mi contraseña de correo electrónico, pero no importa porque LastPass puede decirme la contraseña en cualquier momento.
Esta no es ciertamente una solución perfecta. Pero LastPass es seguro en casi todos los niveles. Debido a que solo cifra y descifra en la computadora del usuario, y la compañía de software no sabrá mi contraseña maestra, eso significa que si la olvido, nadie podrá ayudarme. (No existe una "recuperación de contraseña" que requiera configurar preguntas de seguridad). Y, sí, lo anoté, en forma cifrada, en un pedacito de papel, y lo escondí con cuidado. Ojalá pueda escribir la contraseña pronto. Después de todo, nada es absolutamente seguro, y mucho menos un método absolutamente seguro y absolutamente conveniente, que es incluso menos probable que exista, pero creo que este es un método muy comprometido y factible. Espero no olvidar dónde escondí la nota.
Nota 1Gawker es un famoso sitio web de seguimiento de celebridades. Tanto Gawker como Yahoo han informado de vulnerabilidades de seguridad.
Nota 2 Sarah Palin ha estado activa en la política estadounidense durante mucho tiempo. En 2008, fue seleccionada como candidata a la vicepresidencia por el candidato presidencial republicano McCain, y se postuló como compañera en las elecciones presidenciales. .
Note 3 Wired es una revista de tecnología de fama mundial.
Psicología de contraseñas