Estimación de fortalezas de contraseñas (estudio y herramienta)

En la última conferencia Usenix Security 2016, investigadores de Dropbox han presentado un estudio sobre la eficacia de los "medidores de fortaleza de contraseñas" en muchos formularios de registro de decenas aplicaciones web conocidas.

Según el libro de Mark Burnett 2006 Perfect Passwords: Selection, Protection, Authentication, una de cada nueve personas tiene una contraseña que aparece en esta lista de 500 passwords conocidas.

 Este año, Burnett realizó un nuevo estudio sobre 6 millones de contraseñas y encontró que un 99.8% aparecen en el top de 10.000 y el 91% en el top 1.000. La metodología y el sesgo es un condicionante de importante ya que estalista está conformada por contraseñas conocidas y en su mayoría provienen de los hashes ya crackeados.

Estas son contraseñas muy fáciles de adivinar y un gran porcentaje son lo suficientemente predecible para ser susceptibles a un modesto ataque en línea. Por este motivo los medidores podrían ayudar y fomentar el uso de contraseñas más fuertes y en eso se basa el estudio y herramienta ZXCVBN publicado por Dropbox.

La fortaleza se mide mejor como la entropía (en bits), una medida de la incertidumbre media acerca de una variable aleatoria. Una estimación posible es la siguiente:

# c: longitud de la contraseña
# c: tamaño del espacio de símbolos
# (26 = letras minúsculas, 62 = minúsculas + mayúsculas + números)
# Entropía = n * log2(c)

Por ejemplo:

# núm3r05 (0-9): Log2(10) = 3.32
# letras MAYÚSCULAS/minúsculas (a-z): Log2(26) = 4.7
# Letras MAYÚSCULAS, minúsculas y núm3r05 (A-Z, a-z, 0-9): Log2(62) = 5.95
# Todos los caracteres del teclado estándar (94): Log2(94) = 6.55
# Entropía de contraseña de 8 caracteres, utilizado sólo minúsculas = 8 x 4.7 = 37.6

Se considera que una contraseña comienza a ser segura con una entropía de 128 bits o más. Este análisis por fuerza bruta es preciso para personas que eligen secuencias aleatorias de letras, números y símbolos. Sin embargo, estas son las excepciones porque las personas tienden a elegir patrones, palabras de diccionario, los patrones espaciales (qwerty, asdf, zxcvbn), repiten caracteres (aaaaaa, 1111), eligen secuencias (abcdef o 654321), eligen la primera letra en mayúscula o hacen alguna combinación de los anteriores. Los números y símbolos suelen ser predecibles, como por ejemplo "e" = "3", "0" = "o" y el "4" = A. Además se suelen utilizar fechas, códigos postales, y así sucesivamente.

Teniendo en cuenta todo lo anterior y para verificar la fortaleza de una contraseña, se creó la herramienta ZXCVBN que permite estimar cuan buena es una password. Esta tabla muestra los resultados obtenidos y aquí se puede ver la herramienta en funcionamiento en línea.



Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos