15 febrero 2010

Malos habitos de Contraseñas

(Posted by Julio Jaime)

Leo en The Register una nota sobre un estudio realizado a un base de datos de contraseñas ( 32 millones )que fueron expuestas en un ataque al sitio RockYou. Las passwords almacenadas en plaintext, revelaron que las mayores frecuencias estaban dadas por :

1. 123456
2. 12345
3. 123456789
4. Password
5. iloveyou
6. princess
7. rockyou
8. 1234567
9. 12345678
10. abc123

El estudio revelo que el 50% ( 16 millones !!! ) de las passwords, utilizaban nombres, slangs ( una especie de lunfardo ), palabras del diccionario y series consecutivas de letras y numeros.

Mas alla de la seguridad de las passwords, una vez mas vemos como también es peligroso utilizar la misma contraseñas en diferentes sitios. Quien tenia la misma contraseña en el sitio RockYou que en su cuenta de Gmail/Hotmail/Yahoo, quedo expuesto a problemas catastróficos, si además utilizaba estas cuentas para recuperar las passwords de otros sitios.

El sitio CXO realizo un excelente grafico utilizando la herramienta de Gmail que mide que tan "segura" es la password ingresada.



Recuerdan este post ? Me tome el trabajo de hacer lo mismo con la herramienta de Microsoft.


Sorprendente no ?

Gmail otorga una falsa sensación de seguridad o Microsoft es demasiado rígido ?

En los ejmplos, Google crea una falsa sensacion de seguridad, al menos con passwords como "enzoferrari" al declararla como "buena".
Por otro lado debo decir que el validador de Google otorga a "enzoferrar" un valor de "strong" y le quita fortaleza al encontrar el nombre completo....


En la pagina de pruebas de passwords MS recomienda :


A strong password should appear to be a random row of characters. It should be at least 14 characters long. It should include a combination of uppercase and lowercase letters, numbers, punctuation, and symbols.


Por otro lado los tips de seguridad de Google :

Tips for creating a secure password:

Include punctuation marks and/or numbers.
Mix capital and lowercase letters.
Include similar looking substitutions, such as the number zero for the letter 'O' or '$' for the letter 'S'.
Create a unique acronym.
Include phonetic replacements, such as 'Luv 2 Laf' for 'Love to Laugh'.

Things to avoid:

Don't use a password that is listed as an example of how to pick a good password.
Don't use a password that contains personal information (name, birth date, etc.)
Don't use words or acronyms that can be found in a dictionary.
Don't use keyboard patterns (asdf) or sequential numbers (1234).
Don't make your password all numbers, uppercase letters or lowercase letters.
Don't use repeating characters (aa11).


La mayor diferencia esta en el largo de las passwords.


Resulta interesante notar que para Microsoft la password :


abcd1234 tiene una seguridad MEDIUM

Lo cual para Google resulta en WEAK.


En cambio, en la empresa de Redmond


dethknight55 resulta en una password WEAK

y para Google la password es STRONG


Yo les voy a dar mi tip de seguridad para las passwords :

En donde el sistema lo soporte utilicen frases, tomen la letra de una canción como password.

Por ejemplo :

Quieroqueteduermascomounsolqueseacuestaenuncampodetrig0

(Cancion de cuna. Los Piojos )

Quiero algo mas complicado ?

WerwartetmitbesonnenheitderwirdbelohntzurrechtenzeiT

o en castellano :

Quienesperapacientementeserarecompensad0

( Rammlied. Rammstein )


O pueden optar por golpearse con un martillo los dedos, mientras dicen un par de palabras, asi queda encriptada.

Elagfhsdlaptamdssdfdssdazul
Publicar un comentario