miércoles, 18 de mayo de 2016

¿De verdad son seguras tus contraseñas?

¿Está usted seguro/segura de que sus contraseñas son seguras? Según un estudio del CyLab, el Instituto de Seguridad y Privacidad de la Universidad Carnegie Mellon, nuestras percepciones sobre la seguridad de las contraseñas no siempre se ajustan a la realidad. Y es que crear una buena contraseña no consiste solo en unir números, letras y símbolos. Hay que tener en cuenta otros aspectos que muchas veces se olvidan. 



"Aunque muchos usuarios crean contraseñas previsibles, el grado en que se dan cuenta de que son predecibles no está bien entendido", asegura en su presentación el estudio, que investiga "la relación entre la percepción de los usuarios respecto a la fortaleza de contraseñas específicas y su fuerza real". Esto se consigue pidiendo a los participantes que califiquen la seguridad relativa de pares yuxtapuestos de contraseñas, por ejemplo ieatkale88 frente a iloveyou88.

En el caso anterior, aunque puedan parecer contraseñas con igual nivel de seguridad no es así: si se usa un modelo para precedir el número de intentos que necesitará el atacante para romper estas contraseñas, se descubre que ieatkale88 necesitará cuatro mil millones de veces más intentos. ¿Por qué? Por que la cadena iloveyou88 es una de las contraseñas más comunes y será una de las primeras que intentará el atacante. "Aunque los participantes en la encuesta tenían una buena comprensión de qué hace más o menos fuerte a una contraseña, tenían lagunas críticas respecto a cómo es atacada una contraseña", asegura Blase Ur, autor de la investigación.

Por otra parte, la mayoría de los 165 participantes en la encuesta creían que una contraseña que tenga números y símbolos es una contraseña fuerte, lo que no siempre es cierto. Por ejemplo, se cree que p@ssw0rd es más segura que pAsswOrd porque usa números y símbolos, pero según el modelo predictivo de los investigadores costaría 4.000 veces más intentos crackear pAsswOrd que p@ssw0rd, porque las más modernas herramientas para romper contraseñas ya prevén que se usarán números y símbolos.

"Los participantes tenían graves conceptos erróneos sobre el impacto de basar sus contraseñas en frases comunes o incluir dígitos y patrones de teclado. Sin embargo, en la mayoría de casos, la percepción de qué características hacen segura una contraseña eran consistentes con el rendimiento de las herramientas actuales de recuperación de contraseñas", aseguran las conclusiones del estudio. Y siguen: "Encontramos grandes variaciones en la comprensión de los participantes respecto a cómo pueden ser atacadas sus contraseñas, lo que podría explicar por qué muchos siguen usando contraseñas previsibles".

El estudio acaba criticando a los sistemas que avisan a los usuarios sobre si sus contraseñas son fuertes o débiles porque "solo les informan de su fortaleza pero no les dicen el por qué". Además, hay más factores que hacen fuerte a una contraseña, no solo el hecho de que sea larga o contenga números y símbolos: si esta contraseña se usa en diferentes sitios, o bien si el proveedor del servicio falla a la hora de protegerla son factores que debilitan una contraseña. 


0 comentarios:

Publicar un comentario