ger.exe
Yo soy el foro
Registrado: 22 May 2007
Mensajes: 1065
Ubicación: C:\winnt\temp\
|
 Publicado: Jue Nov 01, 2007 4:20 pm Título del mensaje: seguridad: claves |
 |
|
Como puede verse en la siguiente tabla, si se utiliza una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir de las 96^8 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.
Según demuestra el análisis de +NetBuL (*) realizado sobre 2.134 cuentas y probando 227.000 palabras por segundo:
* Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
* Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).
Otro estudio (**) muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas:
* En un año se obtuvieron 3.340 contraseñas (24,22%).
* En la primera semana se descubrieron 3.000 claves (21,74%).
* En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).
Según los grandes números vistos, sería válido afirmar que: es imposible encontrar ¡36 cuentas en 19 segundos!. También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y una semana.
Tal vez, ¿esto sucedió porque existían claves nulas; que corresponde al nombre del usuario; a secuencias alfabéticas tipo "abcd"; a secuencias numéricas tipo "1234"; a secuencias observadas en el teclado tipo "qwer"; a palabras que existen en un diccionario del lenguaje del usuario?. Sí, estas claves (las más débiles) son las primeras en ser analizadas y los tiempos obtenidos confirman la hipótesis.
Normas de Elección de Claves
Se debe tener en cuenta los siguientes consejos:
1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
4. Deben ser largas, de 8 caracteres o más.
5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas.
6. Deben ser fáciles de recordar para no verse obligado a escribirlas.
Algunos ejemplos son:
* Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
* Usar un acrónimo de alguna frase fácil de recordar: A r io R evuelto G anancia d e P escadores -> ArRGdP
* Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
* Mejor incluso si la frase no es conocida: H a sta A h ora n o h e O l vidado m i C o ntraseña -> aHoelIo
* Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
* Realizar reemplazos de letras por signos o números: E n S eguridad M ás V ale P revenir q ue C urar -> 35M\/Pq<
espero que les sirva
_________________
"Cuanto más sabes, más te das cuenta de que no sabes nada"-
- Sócrates |
|
