El peligro de las contraseñas sencillas

Publicado el 8 enero 2011 ¬ 9:08 amh.mscSin comentarios »

Un estudio realizado a gran escala sobre las páginas Web protegidas con contraseñas reveló que a falta de estándares en la industria repercute directamente en la seguridad de los usuarios finales, perjudicándoles notablemente. Esta es una de las conclusiones a las que llegaron los investigadores que llevaron la cuerda el estudio de la Universidad de Cambridge.

En particular, desde su punto de vista, la debilidad de las implementaciones de autenticaciones basadas en contraseñas en páginas web de baja seguridad compromete las protecciones que sí ofrecen sitios web con alta seguridad. Esto es así porque los usuarios reutilizamos las contraseñas con mucha frecuencia. Es lo que explicaron Joseph Bonneau y Soren Preibusch en un Workshop sobre la economía en la seguridad de la información que si celebró en Cambridge, Massachussets.

Los atacantes pueden aprovecharse así de las páginas Web con bajas medidas de seguridad para conseguir contraseñas asociados la ciertas direcciones de correo electrónico y luego utilizar esas contraseñas robados para acceder a cuentas que si encuentran en páginas web con mayores medidas de seguridad como las de comercio electrónico, por ejemplo.

En un esfuerzo que fue descrito por los investigadores como la investigación empírica más grande realizada hasta el momento sobre implementación de contraseñas, reunieron datos de 150 páginas web y encontraron “cuestionables elecciones de diseño, inconsistencia y fallos imperdonables”, tal y como describen Bonneau y Preibusch.

Estes investigadores no culpan a los usuarios por reutilizar sus contraseñas o por utilizar unas muy sencillas y, por tanto, fáciles de descubrir. Y es que, desde su punto de vista, la mayor parte de los usuarios tienen tantas cuentas online que gestionar, que es muy difícil tener una contraseña para cada una de ellas, hacíendolas así más impenetrables. “La decisión de los sitios web de recopilar contraseñas puede ser vista como una tragedia, sobre todo si se tiene en cuenta que hay tantos sitios Web que compiten entre sí y agotan la capacidad de los usuarios de recordar contraseñas seguros”. Así, la gran mayoría, el 78 por ciento de las páginas examinadas por estos analistas, fallaron a la hora de proporcionar a los usuarios [retroacción] o advertencias para que escogiesen contraseñas más consistentes. Sólo cinco de las páginas analizadas permitían a sus usuarios registrar pistas, una estrategia que animaría los usuarios a utilizar contraseñas más robustos. Sólo siete sitios requirieron sus usuarios mezclar números y letras y sólo dos les pidieron contraseñas que incluyesen también caracteres no alfanuméricos.

Bonneau y Preibusch también señalaron la debilidad del modo en que las contraseñas son subidos al servidor cuando un usuario las introduce en la Web. Sólo tres páginas utilizan técnicas que previenen que el servidor pueda recibir una contraseña la simple vista a la hora de entrar en la web, aunque el cierto es que dos de ellas recogían los textos sin encriptar cuando si inscribían por primera vez.

La mayoría de los sitios web, 126 en total, parecían permitir interacciones ilimitados para descubrir contraseñas; los investigadores llegaron a intentar hasta 100 veces introducir una contraseña. Finalmente, [teclearon] la contraseña correcto y pudieron acceder a la web sin problemas. Esto indica que la mayoría de las páginas web no si molestan en proteger sus usuarios de posibles ataques de este tipo, en los que los cibercriminales si dedican a intentar deducir las contraseñas.

Así las cosas, la impresión general indica que las mejores prácticas en el que la seguridad de contraseñas si refiere son básicamente ignoradas. De hecho, bastante más de la mitad de las páginas presentaron fallos a la hora de utilizar [TLS] para proteger la transmisión de contraseñas en todas sus fases. Y en el que Bonneau denominó “la peor práctica de la industria”, el 29 por ciento de las páginas probadas, los usuarios de correo electrónico tecleaban las contraseñas de modo visible, es decir, no si ocultaban los caracteres tras los consabidos asteriscos.

Así las cosas, la adopción de protocolos como OpenID podrían ayudar a homogeneizar todo esto, repercutiendo en aras de todos. No obstante, Bonneau y Preibusch son pesimistas al respecto y creen que el coste de soportar estas soluciones si pagará con la disminución de oportunidades para recopilar más información de los usuarios.

Un tercio de los resultados de las búsquedas en Internet son peligrosos
 Fuente
Comentario
De la misma forma, para uso particular se aconseja el uso de contraseñas alfanumericas, que dificultan el acceso a la intrusión de terceros.

saludos

ms, 8-1-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. En este momento no se permiten comentarios, pero puedes enviar un trackback desde tu propio sitio.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies