SEGURIDAD INFORMÁTICA
Podemos generar contraseñas robustas pero fáciles de recordar si se tiene en cuenta el tamaño del “search space” o espacio de búsqueda según nos lo explica Steve. Es posible por lo tanto generar una contraseña fácil de recordar y volverla robusta al completarla con caracteres (“padding”); de esta manera hacemos que el espacio de búsqueda o “search space” se amplíe considerablemente haciendo un hackeo por fuerza bruta excesivamente tardado. Asimismo se puede complementar esta técnica al introducir mayúsculas y números de tal forma que por ejemplo “teclado” queda compuesto como: “T3clado..........” Vemos la “T” mayúscula, un “3” en lugar de “e” con 10 puntos ”.” y según la calculadora del sitio (https://www.grc.com/haystack. htm) ya mencionado, esta contraseña tardaría varios millones de años en descubrirse por un método de fuerza bruta/exhaustivo (asumiendo a un equipo haciendo mil intentos por segundo en tiempo real). Recordemos que un ataque por fuerza bruta se basa en probar cientos de miles de posibles passwords hasta encontrar la correcta. Otros ejemplos: “Fau5to%%%%%%%”, “Rut3ador!!!!!!!!”,“G4 to************”. La ventaja del método de Haystack es que se pueden usar palabras comunes y muy fáciles de recordar pero muy difíciles de hackear por métodos de fuerza bruta. Técnica basada en frases Existen varias maneras de crear una “passphrase” en lugar de un “password”. Si buscas en Google “create passphrase” encontrarás varias sugerencias. Por ejemplo Microsoft propone una: (http:// goo.gl/eZDfA). Iniciamos con una frase que te sea fácil de recordar: “Me encanta la pizza”. Le quitamos los espacios en blanco “Meencantalapizza”. Sustituimos algunas letras por números, por ejemplo “4” en lugar de “a”: “Meenc4nt4l4pizz4”. Vamos bien pero lo podemos hacer más robusto agregando dos caractéres especiales al final “Meenc4nt4l4pizz4%%”. Y violà. El enunciado clave fácil de recordar es “me encanta la pizza”. Técnica basada en Papel Googleando “paper password” encontrarás varias técnicas. Una de ellas es Amit Agarwal (http://goo.gl/VC6U8). Se basa en crear contraseñas que se construyen a partir de algo que se tiene (papel de matriz) y algo que se sabe y que es una cadena pequeña de
LETRA AB
CD EF GH
IJ
caractéres que el usuario memoriza para añadirla a lo que será el password final. Usando un papel (que recortaremos y traeremos con nosotros) construiremos una matriz: Empecemos con una palabra sencilla de recordar: “gato”. La primera letra “g” se convierte en “Deo” siguiendo la matriz. Y continuando con el resto de las letras, nos queda que gato es “DEoOotXIrdG”. Finalmente agregamos una serie de caractéres fáciles de recordar. Por ejemplo “México” con un par de números en lugar de letras: “M3xic0”. Y lo agregamos siempre al final de la serie que ya tengamos: “DEoOotXIrdGM3xic0”. Si perdemos la matriz (recuerden que la tenemos impresa), resulta que el atacante no sabe que la palabra que seleccionamos fue “gato” y tampoco sabrá que le agregamos “M3xic0” al final. Conclusión El mensaje a final de cuentas es que uses claves difíciles de adivinar y de ser posible que uses contraseñas únicas para cada sitio/ servicio/equipo que uses (recuerda que te puedes apoyar de la herramienta gratuita LastPass). Recuerda que una buena contraseña puede salvar tu identidad.
KL MN ÑO PQ RS TU VW XYZ
1°
Qi1
oc
FS
DEo
ClT
f)0
SGE
5Ss
Gr5
#$g
MN!
GT$
D&
2°
Oot
9cc
~":
cj7
[aA
uic
nex
3NN
:Q$
jO
Re#
Mkb
1?p
3°
xOO
%!1
0!P
F?z
TIb
57>
maz
nSe
aHl
ycI
XIr
irP
DOm
4°
5f
Oot
N8h
9K
Zsm
g3I
d5
dG
mD
WXd Xk
Qip
CX
FEBRERO 2012
www.revistamasseguridad.com.mx
27