Menú principal

lunes, 27 de junio de 2011

20 años de contraseñas inseguras

El cronómetro corre acelerado en una cuenta atrás vertiginosa: los segundos vuelan y el 00:00 fatal está cada vez más próximo. El tiempo juega en su contra y justo ahora, después de haber logrado burlar todos los sistemas de seguridad, se les resiste el código de acceso. El reloj ha empezado ya la cuenta atrás de los últimos 60 segundos y los rostros tensos del grupo auguran un ineludible fracaso cuando, de repente, el técnico murmura “al infierno” y teclea apresuradamente unas cifras. Todos se quedan quietos, mudos, tan tensos que olvidan incluso respirar, mientras el tiempo sigue corriendo en unos últimos y agónicos segundos... Para detenerse en el 00:02 tras lograr desbloquear el sistema. “Pero, ¿cómo?” exclama atónito el cabecilla. “Me la jugué y tecleé 1234… ¿No sabías que es una de las contraseñas más comunes?”

La importancia de concienciar a los usuarios para crear contraseñas seguras y el riesgo que una mala contraseña puede conllevar para la seguridad no es, ni mucho menos, un tema novedoso, pero recientemente ha vuelto a captar la atención de muchos debido a la polémica aplicación “Big Brother Camera Security (Free)” que hasta hace unos días Apple ofrecía en su tienda. La alarma saltó cuando el creador de la aplicación, Daniel Amitay, publicó un post en su blog explicando cuáles eran las contraseñas más utilizadas por los usuarios para la aplicación en su iPhone.

La polémica no se desató, sin embargo, por los resultados del estudio, sino porque Amitay obtuvo los datos mediante unas líneas de código que incluyó en la aplicación Big Brother Camera Security (Free); ese código hacía que la aplicación le remitiera las contraseñas de los usuarios de manera anónima. Aunque el contrato de licencia, como el propio Amitay explicó posteriormente autorizaba al proveedor a obtener datos técnicos de los usuarios de la aplicación siempre que se obtuvieran de manera anónima,  parece ser que algunos usuarios interpretaron ese hecho como una intromisión en su intimidad y Apple eliminó la aplicación pocos días después de publicarse el post. Lo más curioso de todo, sin embargo, es que la polémica sobre la aplicación, y sobre todo el modo en que se recabaron los datos, ha generado que pasen casi desapercibidos algunos hechos fundamentales. 

El primero, que el estudio de Amitay, realizado sobre 204.508 códigos de acceso en la app de iPhone, es un homenaje a un artículo publicado en el New York Times el 20 de enero de 2010 en el que se hablaba de un estudio que había analizado 32 millones de contraseñas que un hacker anónimo había robado de RockYou; y, desgraciadamente, un año después las contraseñas más utilizadas seguían siendo las mismas, un dato que es aún más preocupante si tenemos en cuenta que el artículo del New York Times señalaba que la tendencia en este tema es la misma desde los años 90.

Figura 1: Las contraseñas más utilizadas

Además, el estudio recogía un análisis de los números utilizados por posición en la clave, así, los valores más utilizados en la primera posición de una contraseña de 4 números son 1, 2 y 0 en, la segunda posición son 2, 5 y 9, en la tercera 1, 2 y 3 mientras que en la última posición son 0, 4 y 2. Curioso y útil para hacer reducciones de ataques de fuerza bruta por frecuencia de uso.

El segundo hecho fundamental, que se deriva del primero, es alarmante: en 20 años no hemos logrado concienciar a los usuarios de la importancia de crear contraseñas seguras. No deja de ser irónico, además, en una época en la que internet es parte fundamental de la vida de casi todo el mundo y en la que realizamos todo tipo de gestiones en la red, que los usuarios puedan sentir violada su intimidad porque una aplicación recoge datos de manera anónima con el fin de mejorar en el futuro esa misma aplicación (lo que redundaría en su propio beneficio), y sin embargo no sientan ninguna alarma al saber que sus contraseñas les exponen a múltiples y peligrosos ataques.

Como dice Amitay en el post en el explica la finalidad de su estudio “Data in question was for the purpose of improving effectiveness of future updates. If users are choosing 1234 as their passcodes in mass, then my app by extension becomes less effective.” Es decir, que un sistema es tan fuerte como lo es su eslabón más débil y al parecer ese eslabón siguen siendo, veinte años después, los propios usuarios y sus contraseñas.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares