Algunos estudios y estadísticas revela que la gran mayoría de las personas no toman en serio su seguridad. Vamos a presentar los riesgos, las formas de ataque más comunes y algunos consejos para evitar problemas.

Riesgos

Continuamente nos topamos con la molesta necesidad de utilizar una contraseña para acceder a un servicio o simplemente a un lugar. La finalidad de ésta es la de confirmar la identidad de una persona gracias al secreto. Si sólo una persona o un grupo acotado de personas conocen esa contraseña, al preguntarla es posible saber si la persona que responde es efectivamente la persona que tendría que ser.

Pero toda esta teoría se cae, si el carácter de secreto de esta contraseña se compromete. Esto se puede deber a que la persona no ha guardado esa contraseña con el debido cuidado o ha sido descubierta por agujeros de seguridad en el proceso de utilización de la misma.

También existe una característica necesaria en una buena contraseña, que normalmente se pasa por alto, y es la indescifrabilidad. Es decir, no solo es necesario que nadie las conozca sino que nadie las pueda aprender. Es muy probable que si yo coloco "123" como contraseña y, si bien no la divulgo a nadie, una de las primeras contraseñas que alguien probará es "123". Por lo tanto, aunque su caracter de secreta nunca se perdió, igualmente fue inútil.

El mes pasado un sitio que provee aplicaciones para los usuarios de Facebook, MySpace y otros ha sido hackeado y se comprometieron más de 30 millones de contraseñas. Más allá del terrible hecho de haberse publicado esas contraseñas, es notable analizar un reporte hecho por la empresa Imperva sobre esas contraseñas.

Se ha reportado por ejemplo que:

• Alrededor del 30% de los usuários eligieron contraseñas cuya longitud era igual ó inferior a 6 caracteres.
• Casi el 60% de los usuarios eligieron sus contraseñas de un número limitado de caracteres y alfa-numéricos.
• Casi el 50% de los usuarios utilizan nombres de jerga, palabras y números consecutivos, teclas adyacentes, y así sucesivamente.
• La contraseña más común entre los usuarios es 123456 (casi el 1% de las contraseñas), le seguía 12345, "qwerty", "abc123" y "princess".
• El 20% pertenecían a un pequeño grupo de 5.000 contraseñas comunes. Es decir, con probar solo 5000 contraseñas (algo simple en algunos casos) podría entrar en al menos el 20% de las cuentas, ¡Alarmante!.

El phishing es la suplantación de identidad mediante, por ejemplo, el pedido de cambio de contraseña de un sitio, pero en vez de dirigirnos al sitio real nos lleva a un sitio idéntico. En este sentido, un estudio realizado por entidades bancarias arrojan que:

• Cada ataque de phishing compromete a un número muy pequeño de clientes (0.000564%), pero debido a esto hay un gran número significativo de ataques.
• 45 % de los clientes de bancos que son redirigidos a sitios de phishing sufren la divulgación de sus datos personales. Demuestra la increíble efectividad del método de ataque.
• 0.47% de los clientes de bancos son víctimas de los ataques de phishing cada año y transacciones que se sitúan entre 2.4 y 9.4 millones de dólares

Formas de ataque

Las formas más comunes de ataques son por fuerza bruta, aunque son igualmente fáciles de contrarestar y minimizar. Consiste en la prueba sistemática de una serie de contraseñas, sacadas de un diccionario (diccionario se le llama a una lista de palabras o grupos de caracteres que se sabe se utiliza normalmente en contraseñas) o generadas en forma consecutiva (1,2,3, ... ,9,10,11,12, ...).

También se puede sufrir la suplantación de identidad o similares, que implican por ejemplo la duplicación del sitio al que se quiere ingresar obteniendo así la contraseña cuando se intenta acceder. El envío de correos electrónico pidiendo que ingrese a cierto lugar para que cambie la contraseña.

La técnica de "hombre en el medio" es simple en teoría, consiste en estar en el medio, entre el usuario y el servidor. Cuando el usuario envía la contraseña al servidor, alguien, simplemente escucha esa contraseña. Esto se puede hacer mediante un sistema de registro de teclado (guardando todas las letras ingresadas en el teclado), una escucha en los puertos de conexión, etc.

Escalado de privilegios, una forma de escalar privilegios es suplantar a una persona con bajos niveles de acceso y de a poco ir subiendo sus permisos mediante la persuasión a otros usuario a que le otorguen permisos para tareas específicas (que luego utilizan para otras acciones). Esto tiene que ver con una ingeniería social, pidiendo favores y engañando a gente dentro de organizaciones.

Consejos

Es importante conocer el problema, saber que "12345" por más que nadie lo sepa, sigue siendo inaceptable. Por lo tanto se pueden trazar algunas líneas básicas para trabajar seguros en nuestra vida informática.

• Cambiar normalmente las contraseñas. Esto evita que una contraseña comprometa su caracter de secreta.
• Utilizar distintas contraseñas para distintas cosas. Esto no permitirá a un atacante entrar a todos los lugares posibles si logra corromper una de las contraseñas.
• Utilizar contraseñas sin sentido lingüístico. Los ataques por diccionario son las primeras herramientas que utilizaría un atacante.
• Utilizar contraseñas con símbolos y números además de létras (tanto en mayúsculas como minúsculas). Evitará también el ataque por diccionario.
• Utilizar contraseñas de un largo considerable. Por ejemplo, si utlizaríamos solo letras y en minúscula una contraseña de 3 caracteres tendría 17.576 combinaciones, en cambio si utilizamos 4 caracteres el número se eleva a 456.976, osea, 26 veces más.
• No acceder desde máquinas en las cuales no se tenga certeza de la seguridad de la misma (máquinas públicas, máquinas sin un contról adecuado de malwares, etc.).

Si en cambio estamos diseñando un sistema en el que los usuarios deben utilizar una contraseña para acceder, debemos tomar, por ejemplo, estas medidas:

• Almacenar las contraseñas ofuscadas mediante HASH. Esto permite proteger en cierta medida al usuario, ya que si nuestra base de datos es comprometida, los atacantes no tendrán -en forma directa- la contraseña; por lo que no podrán ingresar a otros sistemas de este mismo usuario.
• Pedir contraseñas de una longitud considerable.
• Evitar el uso de caracteres consecutivos, contraseñas similares o relativas al usuario (fechas, nombres, etc.), utilización no solo de letras (mezclar: letras, número y símbolos).
• Permitir un número bajo de intentos de ingreso de contraseñas y en el caso que falle, bloquear la cuenta momentáneamente o permanentemente; necesitando acceso físico o similar para desbloquearla.
• Controlar que los que están intentando acceder son "humanos" mediante filtros taxonométricos (captcha's).
• Obligar a la persona a cambiar períodicamente su contraseña.
• Utilizar canales de comunicación encriptada (SSL, SSH, VPN's, etc.).

Fuentes:

http://www.softzone.es/2010/01/22/30-millones-de-contrasenas-hackeadas-en-rockyou/
http://www.xombra.com/go_news.php?nota=4580