INVESTIGADORES DE MICROSOFT DESARROLLAN NUEVO MECANISMO DE VALIDACION DE CONTRASEÑAS VS HACKERS
Un nuevo enfoque elimina la necesidad de largas cadenas de letras y números.
24 de julio 2010. Los investigadores de Microsoft han implementado un nuevo mecanismo para crear y recordar fácilmente las contraseñas de acceso sin que ello implique que un sistema o una cuenta de usuario sea más vulnerable a los ataques de los piratas informáticos.
En lugar de hacer cumplir a los usuarios criterios de complejas contraseñas, como lo hacen muchas organizaciones, el nuevo régimen se asegura de que no más de unos pocos usuarios pueden tener la misma contraseña, lo cual tiene un efecto similar sobre la seguridad global. Otras investigaciones de Microsoft también revelan por qué sólo algunas organizaciones insisten en contraseñas muy complejas.
Cada vez son más complejos los requisitos de las contraseñas – reglas como “la contraseña debe tener 14 caracteres de longitud y contener al menos dos letras mayúsculas, dos letras minúsculas, símbolos y tres” – hacen que sea difícil para los atacantes adivinar las contraseñas utilizando el llamado “ataque de diccionario”, que consiste en tratar muchas contraseñas posibles en una sucesión continua.
Sin esas restricciones, la gente tiende a elegir contraseñas fáciles de recordar, fácil de escribir – y fácil de adivinar. Por ejemplo, cuando 32 millones de contraseñas del sitio web de medios de comunicación social de RockYou fueron liberadas sin darse cuenta en diciembre pasado, casi la mitad resultaron ser “contraseñas triviales” como los dígitos consecutivos, las palabras del diccionario, o nombres comunes, según un análisis en enero pasado por la Web de la firma de seguridad Imperva.
Exigir que las contraseñas tengan números, símbolos, y los casos mixtos aumenta significativamente el número de contraseñas posibles. Con tales normas, un ataque de diccionario se convierte en imposible, pero las contraseñas también se vuelven más difíciles de recordar.
Una manera en que los diseñadores de sistemas tratar de derrotar a los ataques de diccionario es por la desactivación temporal de una cuenta cuando una contraseña incorrecta se presente más de un par de veces. Esto se conoce como cuenta de cierre patronal, y no es sorprendente, los atacantes han descubierto una manera sencilla para derrotar este enfoque. En vez de adivinar miles o millones de contraseñas de una sola cuenta, el atacante simplemente adivina las contraseñas más utilizadas por miles o incluso millones, de las diferentes cuentas.
El nuevo sistema de Microsoft Research acaba con los requerimientos de complejidad mientras se protege contra los dos ataques de diccionario y estadísticos de adivinanzas. El servicio simplemente cuenta las veces que cualquier usuario en el servicio decide una contraseña proporcionada. Cuando más de un pequeño número de usuarios eligen una contraseña, la contraseña queda prohibida y nadie más puede elegirla. El sistema no puede ser utilizado por las organizaciones con millones de usuarios – Sitios web como Hotmail de Microsoft, por ejemplo.
El enfoque se describe en un documento escrito por los investigadores de Microsoft Stuart Schechter y Herley Cormac, que se publicará en el Hot Topics en la conferencia de Seguridad en Washington, DC, en agosto. Michael Mitzenmacher de la Universidad de Harvard es también co-autor del papel.
“La sustitución de reglas de contraseña y su creación con limitaciones de popularidad tiene el potencial para aumentar tanto la seguridad y facilidad de uso”, escriben los autores. “Dado que no se permite que las contraseñas sean demasiado comunes, los atacantes se ven privados de las contraseñas populares que requieren para poner en peligro una facción importante de las cuentas en línea con las adivinanzas.
Sin embargo, Herley dice, no hay planes para implementar el nuevo sistema en cualquiera de los productos Microsoft todavía. “No podemos especular sobre los planes de producto de Microsoft”, dice. “Ahora sólo estamos poniendo los resultados por ahí para obtener retroalimentación de la comunidad de investigación de seguridad”.
En los últimos años, los investigadores en el campo emergente de la “seguridad utilizable” han tomado una mirada dura en muchas prácticas de información de seguridad y encontró que muchos de ellos la carecen. Por ejemplo, muchos sistemas informáticos bloquean cuentas si un usuario escribe su contraseña tres veces seguidas. Pero años atrás, siete, Sascha Brostoff y Sasse Angela, dos investigadores de la University College London en el Reino Unido, mostraron que el aumento de ese número de tres a 10 reduce drásticamente el número de usuarios legítimos que están bloqueados aunque sólo tengan un impacto insignificante en un sistema general de seguridad.
La semana pasada, más de 200 investigadores de seguridad informática de todo el mundo se reunieron en Redmond, WA, en la reunión anual Simposio sobre Seguridad y Privacidad útil para discutir los enfoques para la fabricación de ordenadores a la vez más seguros y usables.
Otro estudio realizado por investigadores de Microsoft, presentado en el simposio, explica por qué sólo algunas organizaciones tienen contraseñas demasiado complicadas . El estudio examinó las políticas de contraseña en 75 diferentes sitios web, incluyendo los lugares 20 mejor clasificados en Internet y sitios web que pertenecen a los bancos, las grandes universidades, y agencias del gobierno de EE.UU.. Los investigadores de Microsoft, Dinei Florencio y Cormac Herley no encontró ninguna correlación entre el valor de la cuenta de un consumidor, la cantidad de ataques que sufrió la página web, y la complejidad de las contraseñas que los operadores de sitios web habían impuesto a sus usuarios.s
Según el estudio, los sitios web donde los usuarios pueden elegir entre varios proveedores – sitios de los bancos y las empresas de inversión, por ejemplo – por lo general tienen requisitos de contraseña relativamente simples. Estos sitios para proteger a los usuarios activos a través de sus técnicas de lucha contra el fraude, y las compañías no quieren que sea demasiado difícil para sus clientes iniciar una sesión.
Florencio y Herley encontró que los sitios que tenía los requisitos más exigentes de contraseña eran aquellos en los que los usuarios generalmente no tenían capacidad para darse una vuelta – sitios como los EE.UU. Administración de Seguridad Social, el Servicio Meteorológico Nacional, y los sistemas de correo web de varias universidades de gran tamaño. Para estos sistemas, las organizaciones no tienen ningún incentivo monetario para equilibrar facilidad de uso con seguridad, o para encontrar alguna otra forma de proteger las cuentas de usuario.
“La mayoría de las organizaciones tienen profesionales de la seguridad que demandan políticas más fuertes, pero sólo algunos hacen imperativos de usabilidad lo suficientemente fuertes como para hacer retroceder”, agregan los autores. “Cuando las voces que abogan por la facilidad de uso están ausentes o son débiles, las medidas de seguridad son innecesariamente restrictivas.”
Artículo escrito por Simson Garfinkel sirvió en el comité de programa del Simposio 2010 sobre Seguridad y Privacidad útil.
Fuente
Comentario
Leer artículo de investigación original en ingles desde Microsoft
saludos
ms, 25-7-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.