Issuu on Google+

¿El fin de las contraseñas? Desafíos en la autenticación de usuarios

Fernando Catoira Analista de Seguridad


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Ataques que vulneran las contraseñas

(1) (2) (3) (4)

Fuerza Bruta

Malware Phishing Ataques a servidores


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Ataques que vulneran las contraseñas

(1) (2) (3) (4)

Fuerza Bruta

Malware Phishing Ataques a servidores


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Fuerza Bruta • GPU: descifra claves de 6 caracteres en cinco

segundos.

• En diciembre de 2012, en Oslo: se rompieron contraseñas de 8 caracteres en menos • Caso real en Twitter

de 6 horas.


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Ataques que vulneran las contraseñas

(1) (2) (3) (4)

Fuerza Bruta

Malware Phishing Ataques a servidores


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Malware Caso ejemplo: Dorkbot • Gusano informático que reclutaba zombis • Más de 15

países de la región afectados.

• Más de 80.000 reportes únicos de los equipos zombis.


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Ataques que vulneran las contraseñas

(1) (2) (3) (4)

Fuerza Bruta

Malware Phishing Ataques a servidores


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Phishing Resultados:

•• 164 víctimas Primer acceso: 10:01 h.

•• 35 tarjetas de15:25 créditoh. Último acceso: Total: 5 horas


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Phishing


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Ataques que vulneran las contraseñas

(1) (2) (3) (4)

Fuerza Bruta

Malware Phishing Ataques a servidores


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Ataques a servidores


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

DEMO: Robo de claves


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

¿Qué hacemos entonces?


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Métodos de autenticación

Algo que sé Algo que soy Algo que tengo


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Métodos de autenticación

Algo que sé Algo que soy Algo que tengo


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Métodos de autenticación

Algo que se

Algo que soy Algo que tengo


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Doble autenticación

Algo que se Algo que soy Algo que tengo


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Doble autenticación

Algo que se Algo que soy Algo que tengo


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Principales “desventajas”

Seguridad vs. ataques

Costos y rechazo Costumbre


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Conclusión: ¿fin de las contraseñas?

No, tenemos muchos años más de contraseñas.


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

Conclusión: ¿fin de las contraseñas? Como único método de autenticación.

Su PIN: 657 890


ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México

¿Preguntas?

¡Muchas Gracias!


¿EL FIN DE LAS CONTRASEÑAS? DESAFÍOS EN LA AUTENTIFICACIÓN DE USUARIOS