Blog de la Biblioteca de Matemàtiques i Informàtica

Gairebé un 1% d’usuaris amb la contrasenya 123456

Deixa un comentari

El desembre de 2009 un forat de seguretat va permetre que algú s’apropiés de 32 milions de registres d’usuaris del servei RockYou. Noms d’usuari i contrasenyes, que no estaven encriptats, van aparèixer penjats al web, la qual cosa va permetre a Imperva, empresa de seguretat informàtica, analitzar les dades obtingudes.

Estudis anteriors havien demostrat unes constants que no s’han corregit encara: la simplicitat i brevetat de moltes contrasenyes les fan susceptibles de ser víctimes d’un atac de força bruta; la meitat dels usuaris fan servir una única contrasenya -o petites variacions de la mateixa contrasenya- pels diferents serveis que utilitzen. En definitiva, l’usuari, si se li permet, tria contrasenyes molt febles, la qual cosa posa en risc seriós les seves dades i els serveis que usa.

En aquest cas concret, les conclusions que es desprenen de l’informe Consumer Password Worst Practice (pdf) són igualment alarmants:

  1. El 30% dels usuaris posen contrasenyes de sis caràcters o menys.
  2. El 60% dels usuaris estableixen les contrasenyes amb un conjunt limitat de caràcters alfanumèrics.
  3. Prop del 50% d’usuaris fan servir noms, paraules d’argot, paraules del diccionari o successions de caràcters trivials -tecles adjacents, dígits consecutius…
  4. Una vegada més, la contrasenya més habitual als comptes de RockYou és 123456.

Pel que fa a la classificació de les més usades, el resultat no per habitual, deixa de ser sorprenent:

Classificació Contrasenya Usuaris
1 123456
290.731
2 12345
79.078
3 123456789
76.790
4 Password
61.958
5 iloveyou
51.622
6 princess
35.231
7 rockyou
22.588
8 1234567
21.726
9 12345678
20.553
10 abc123
17.542

De les contrasenyes analitzades, només el 0,2% es poden considerar fortes.

Pel que fa a les recomanacions, se citen les de la NASA:

  1. Les contrasenyes haurien de contenir com a mínim 8 caràcters.
  2. S’haurien de construir com a mínim amb quatre tipus de caràcters: majúscules, minúscules, números i caràcters especials.
  3. No s’haurien d’utilitzar noms, ni paraules en argot, ni paraules que apareguin al diccionari. No haurien d’incloure part del nom ni de l’adreça de correu.

I s’amplien:

Usuaris:

  1. Trieu contrasenyes fortes. Bruce Schneier, especialista en seguretat informàtica i criptografia recomana escollir una frase i construir la contrasenya a partir de les inicials de cada paraula. Evidentment la contrasenya resultant no hauria de sortir en cap diccionari.
  2. Feu servir contrasenyes diferents per a cada lloc web.
  3. No faciliteu mai a un tercer les contrasenyes dels serveis importants.

Administradors:

  1. Establiu una política de contrasenyes segura: si deixeu triar als usuaris és molt probable que triïn contrasenyes insegures.
  2. Assegureu-vos que les contrasenyes no es transmeten en text pla. Utilitzeu sempre el protocol HTTPS.
  3. Assegureu-vos que les contrasenyes no s’emmagatzemen sense encriptar.
  4. Utilitzeu mecanismes per evitar els atacs de força bruta: CAPTCHA, càlculs numèrics…
  5. Establiu una política de canvi de contrasenya periòdica o en determinades circumstàncies.
  6. Permeteu i fomenteu les frases de pas enlloc de les contrasenyes d’una sola paraula. Són més llargues i més fàcils de recordar.

Amb una mostra tan significativa les dades són especialment alarmants: gairebé l’1% d’usuaris tenien com a contrasenya 123456 i 200.000 més la mateixa seqüència numèrica amb més o menys longitud.

Entrades relacionades:

Font: L’home dibuixat

Comparteix l'entrada

Escriu un comentari

Fill in your details below or click an icon to log in:

WordPress.com Logo

Esteu comentant fent servir el compte WordPress.com. Log Out /  Canvia )

Google photo

Esteu comentant fent servir el compte Google. Log Out /  Canvia )

Twitter picture

Esteu comentant fent servir el compte Twitter. Log Out /  Canvia )

Facebook photo

Esteu comentant fent servir el compte Facebook. Log Out /  Canvia )

S'està connectant a %s