costumbres argentinas en el uso de passwords
TRANSCRIPT
Costumbres
argentinas en el
uso de
passwords
1111
28 de septiembre de 2011
Buenos Aires - Argentina
Santiago [email protected]
2222
Un algoritmo de encripción o hash es tan seguro como la
complejidad de la contraseña utilizada.
Forma de autenticación que utiliza información secreta
para controlar el acceso hacia algún recurso.
1. Fácil de recordar
2. Difícil de adivinar por personas (desconocidas y
conocidas)
3. Difícil de obtener computacionalmente
Costumbres argentinas en el uso de passwords
¿Qué son las contraseñas?
ContraseContraseContraseContraseññññasasasas
3333
• Interno
• hashes de usuarios de dominio
• Externo
• contraseñas/hashes obtenidas de bases de datos
mediante SQL Injection
Costumbres argentinas en el uso de passwords
¿Cómo se obtienen las contraseñas?
Intento de intrusiIntento de intrusiIntento de intrusiIntento de intrusióóóón Controlado (Pen Test)n Controlado (Pen Test)n Controlado (Pen Test)n Controlado (Pen Test)
Hacking ilegalHacking ilegalHacking ilegalHacking ilegal
• Caso Sony
4444
Cracking de contraseCracking de contraseCracking de contraseCracking de contraseññññasasasas
• Fuerza Bruta (a, aa, aaa, b, bb…)
• Diccionario (genérico - dirigido)
• Combinado
Hash LM: 448E79D7771FB40DAAD3B435B51404EE
Contraseña: Cybsec
Herramienta por excelencia: John the RipperJohn the RipperJohn the RipperJohn the Ripper
Costumbres argentinas en el uso de passwords
¿Como se obtienen las contraseñas?
5555
EstadEstadEstadEstadíííísticassticassticassticas
• Contraseñas de dominio de 10 organizaciones (LM)
• 34.460 Contraseñas
• Historial de contraseñas
• Software desarrollado in-house
Costumbres argentinas en el uso de passwords
Estadísticas
6666
Diccionario trivialDiccionario trivialDiccionario trivialDiccionario trivial
1234561234567
12345678
000000000000000
quertyquerty123
111111111
111111
passwordpa$$w0rd
adminadministradoradministrator
Costumbres argentinas en el uso de passwords
Estadísticas
7777
0,8% 0,8%
44,7%
35,2%
6,1%3,7%
1,0% 1,6%
7,3%
31,2%
0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
35,0%
40,0%
45,0%
50,0%
1 2 3 4 5 6 7 8 9 10
Nombre de organizaciNombre de organizaciNombre de organizaciNombre de organizacióóóónnnn
• “Empresa2011”
• Contraseñas por defecto
Costumbres argentinas en el uso de passwords
Estadísticas
8888
Diccionario espaDiccionario espaDiccionario espaDiccionario españñññolololol
Diccionario de 50.000 palabras de 6 o más caracteres
Costumbres argentinas en el uso de passwords
Estadísticas
9999
Diccionario NombresDiccionario NombresDiccionario NombresDiccionario Nombres
Diccionario de 3.200 nombres de 5 o más caracteres
Incluyen
21%
No
Incluyen
79%
Costumbres argentinas en el uso de passwords
Estadísticas
10101010
5,13% 5,07%
0,68%
2,22%
0,00%
5,15%
3,41%
9,70%
10,73%
6,25%
0,00%
2,00%
4,00%
6,00%
8,00%
10,00%
12,00%
1 2 3 4 5 6 7 8 9 10
Parte del nombre de usuario en contraseParte del nombre de usuario en contraseParte del nombre de usuario en contraseParte del nombre de usuario en contraseññññaaaa
Al menos 6 caracteres consecutivos del nombre de usuario
Usuario: “jose.gonzalez” Contraseña: “Gonzalez71”
Costumbres argentinas en el uso de passwords
Estadísticas
11111111
Historial contraseHistorial contraseHistorial contraseHistorial contraseññññasasasas
Contraseñas con lógica consecutiva
• “Secreto10”
• “Secreto11”
• “Secreto12”
Utilizan
anterior
14%
No utilizan
86%
Costumbres argentinas en el uso de passwords
Estadísticas
12121212
Longitud contraseLongitud contraseLongitud contraseLongitud contraseññññasasasas
Caracteres promedio
0
2000
4000
6000
8000
10000
12000
14000
16000
3 4 5 6 7 8 9 10 11 12 13 14
Costumbres argentinas en el uso de passwords
Estadísticas
13131313
CCCCáááálculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraseññññaaaa
Alfabeto Cantidad de caracteres
Letras Mayúsculas 26
Letras Minúsculas 26
Números 10
Símbolos 10
TotalTotalTotalTotal 72727272
Costumbres argentinas en el uso de passwords
Cálculo de complejidad
14141414
CCCCáááálculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraseñññña: Fuerza brutaa: Fuerza brutaa: Fuerza brutaa: Fuerza bruta
#de caracteres Combinaciones Tiempo (NT MD4 Hash)
4 107 1 segundo
5 109 1 minuto
6 1010 1 hora
7 1012 3 días
8 1014 235 días
9999 1010101016161616 45 a45 a45 a45 aññññosososos
10 1018 3300 años
11 1020 240.000 años
Procesador: Pentium Dual-Core E5200 @ 2.50GHz17.750.000 contraseñas por segundo
Costumbres argentinas en el uso de passwords
Cálculo de complejidad
15151515
CCCCáááálculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraseñññña: Combinadoa: Combinadoa: Combinadoa: Combinado
# de caracteres Combinaciones Tiempo (NT MD4 Hash)
8 (2+6) 1010 40 minutos
9 (3+6)9 (3+6)9 (3+6)9 (3+6) 1010101012121212 2 d2 d2 d2 dííííasasasas
10 (4+6) 1013 140 días
11 (5+6) 1015 33 años
Diccionario español: 50.000 definiciones de 6 caracteres o más
Costumbres argentinas en el uso de passwords
Cálculo de complejidad