Según estudios, la mayoría de los usuarios de Internet entre 16 y 65 años de edad utilizan las mismas contraseñas más de una vez. De hecho, entre más joven seas es más probable que uses una sola contraseña para todas tus cuentas.
Saber cómo podrían hackearte puede ayudarte a entender cómo hacer tus contraseñas más seguras. En este artículo, hablaremos sobre la metodología detrás del hackeo de contraseñas, por qué “C0ntr@$eñ@” no es una contraseña segura, y por qué debes usar una contraseña única para cada sitio.
¿Cómo funcionan las contraseñas?
Cuando inicias sesión en una aplicación que utiliza
protección por contraseña, el procedimiento parece sencillo: introduces tu
contraseña, el sistema la verifica y, voilá, inicia tu sesión. Sin embargo, un
proceso así sería extremadamente inseguro: hoy en día casi todos los sitios
guardan las contraseñas en formato encriptado.
La mayoría almacenan algo que se conoce como hashes de las contraseñas. Hashear
es algo así como mezclar una contraseña de manera irreversible y guardarla con
ese formato. Si un atacante descubre el hash de una contraseña, es imposible
revertir el proceso para descubrir la contraseña en sí.
Algunos sitios utilizan técnicas adicionales cómo “añadir sal”, es decir agregar partículas aleatorias de caracteres a las contraseñas antes de hacer el hashing.
El proceso es más o menos así:
1. El usuario introduce su contraseña.
2. El hash se genera de manera local y se transmite.
3. El hash se compara con los registros.
4.Si ambos coinciden, el sitio permite el acceso
Descifrando los hashes
En un sistema que utiliza hashing, si un atacante lograra
acceder a la base de datos de contraseñas, no podría ver las contraseñas de los
usuarios porque estarían encriptadas. Para acelerar el proceso, los hackers
utilizan diversas técnicas:
- Ataque de diccionario. Este método implica utilizar una lista de palabras para adivinar la contraseña original.
- Ataque de fuerza bruta. Es similar al anterior, pero añade caracteres alfanuméricos y símbolos para deducir contraseñas. Por ejemplo, la contraseña “password” también se buscaría como “pa$$w0rd”.
- Ataque de rainbow table. Utiliza hashes precalculados. Por ejemplo, si el atacante cuenta con una base de datos de contraseñas hasheadas en md5, puede crear otra base de datos con hashes de contraseñas usadas comúnmente. Ambas bases de datos se comparan y se buscan coincidencias.
Nuestro ataque
Para llevar a cabo nuestro “ataque” simulado, utilizamos una base de
datos que encontramos en Internet con 15 millones de contraseñas
que se habían obtenido de un hackeo.
Descargamos una herramienta open-source de hackeo de contraseñas, que utiliza la técnica de fuerza bruta y nos permite probar las palabras con ligeros cambios (ej. Password1, p@ssW0rd, etc.). Agregamos un diccionario a la herramienta.
Los resultados fueron sorprendentes. Como se ve en la gráfica, logramos descifrar más de 13 millones de contraseñas en sólo 18 horas sin algoritmos o infraestructura computacional compleja. Además, más de 40 por ciento de las contraseñas se descifraron en solo una hora.
Si no estás preocupado aún, te recomendamos ingresar al sitio https://haveibeenpwned.com/ Passwords para checar si tus contraseñas han sido descifradas en algún ataque. Así que ya lo sabes: si no lo has hecho en un buen rato (o nunca) cambia tus contraseñas ahora y protégete contra los hackers. En Metabase Q, trabajamos con diversas herramientas que pueden ayudar a proteger tus sistemas personales y profesionales. No dudes en contactarnos.
LOUIS IRELAND
CONTACT@METABASEQ.COM
@METABASEQ
lctl