El desembre de 2009 un forat de seguretat va permetre que algú s’apropiés de 32 milions de registres d’usuaris del servei RockYou. Noms d’usuari i contrasenyes, que no estaven encriptats, van aparèixer penjats al web, la qual cosa va permetre a Imperva, empresa de seguretat informàtica, analitzar les dades obtingudes.
Estudis anteriors havien demostrat unes constants que no s’han corregit encara: la simplicitat i brevetat de moltes contrasenyes les fan susceptibles de ser víctimes d’un atac de força bruta; la meitat dels usuaris fan servir una única contrasenya -o petites variacions de la mateixa contrasenya- pels diferents serveis que utilitzen. En definitiva, l’usuari, si se li permet, tria contrasenyes molt febles, la qual cosa posa en risc seriós les seves dades i els serveis que usa.
En aquest cas concret, les conclusions que es desprenen de l’informe Consumer Password Worst Practice (pdf) són igualment alarmants:
- El 30% dels usuaris posen contrasenyes de sis caràcters o menys.
- El 60% dels usuaris estableixen les contrasenyes amb un conjunt limitat de caràcters alfanumèrics.
- Prop del 50% d’usuaris fan servir noms, paraules d’argot, paraules del diccionari o successions de caràcters trivials -tecles adjacents, dígits consecutius…
- Una vegada més, la contrasenya més habitual als comptes de RockYou és 123456.
Pel que fa a la classificació de les més usades, el resultat no per habitual, deixa de ser sorprenent:
| Classificació | Contrasenya | Usuaris |
| 1 | 123456 |
290.731
|
| 2 | 12345 |
79.078
|
| 3 | 123456789 |
76.790
|
| 4 | Password |
61.958
|
| 5 | iloveyou |
51.622
|
| 6 | princess |
35.231
|
| 7 | rockyou |
22.588
|
| 8 | 1234567 |
21.726
|
| 9 | 12345678 |
20.553
|
| 10 | abc123 |
17.542
|
De les contrasenyes analitzades, només el 0,2% es poden considerar fortes.
Pel que fa a les recomanacions, se citen les de la NASA:
- Les contrasenyes haurien de contenir com a mínim 8 caràcters.
- S’haurien de construir com a mínim amb quatre tipus de caràcters: majúscules, minúscules, números i caràcters especials.
- No s’haurien d’utilitzar noms, ni paraules en argot, ni paraules que apareguin al diccionari. No haurien d’incloure part del nom ni de l’adreça de correu.
I s’amplien:
Usuaris:
- Trieu contrasenyes fortes. Bruce Schneier, especialista en seguretat informàtica i criptografia recomana escollir una frase i construir la contrasenya a partir de les inicials de cada paraula. Evidentment la contrasenya resultant no hauria de sortir en cap diccionari.
- Feu servir contrasenyes diferents per a cada lloc web.
- No faciliteu mai a un tercer les contrasenyes dels serveis importants.
Administradors:
- Establiu una política de contrasenyes segura: si deixeu triar als usuaris és molt probable que triïn contrasenyes insegures.
- Assegureu-vos que les contrasenyes no es transmeten en text pla. Utilitzeu sempre el protocol HTTPS.
- Assegureu-vos que les contrasenyes no s’emmagatzemen sense encriptar.
- Utilitzeu mecanismes per evitar els atacs de força bruta: CAPTCHA, càlculs numèrics…
- Establiu una política de canvi de contrasenya periòdica o en determinades circumstàncies.
- Permeteu i fomenteu les frases de pas enlloc de les contrasenyes d’una sola paraula. Són més llargues i més fàcils de recordar.
Amb una mostra tan significativa les dades són especialment alarmants: gairebé l’1% d’usuaris tenien com a contrasenya 123456 i 200.000 més la mateixa seqüència numèrica amb més o menys longitud.
Entrades relacionades:
Font: L’home dibuixat
Blog de la Biblioteca de Matemàtiques i Informàtica 