Blog de la Biblioteca de Matemàtiques i Informàtica

Tag Archives: password


by Deixa un comentari

Gairebé un 1% d’usuaris amb la contrasenya 123456

El desembre de 2009 un forat de seguretat va permetre que algú s’apropiés de 32 milions de registres d’usuaris del servei RockYou. Noms d’usuari i contrasenyes, que no estaven encriptats, van aparèixer penjats al web, la qual cosa va permetre a Imperva, empresa de seguretat informàtica, analitzar les dades obtingudes.

Estudis anteriors havien demostrat unes constants que no s’han corregit encara: la simplicitat i brevetat de moltes contrasenyes les fan susceptibles de ser víctimes d’un atac de força bruta; la meitat dels usuaris fan servir una única contrasenya -o petites variacions de la mateixa contrasenya- pels diferents serveis que utilitzen. En definitiva, l’usuari, si se li permet, tria contrasenyes molt febles, la qual cosa posa en risc seriós les seves dades i els serveis que usa.

En aquest cas concret, les conclusions que es desprenen de l’informe Consumer Password Worst Practice (pdf) són igualment alarmants:

  1. El 30% dels usuaris posen contrasenyes de sis caràcters o menys.
  2. El 60% dels usuaris estableixen les contrasenyes amb un conjunt limitat de caràcters alfanumèrics.
  3. Prop del 50% d’usuaris fan servir noms, paraules d’argot, paraules del diccionari o successions de caràcters trivials -tecles adjacents, dígits consecutius…
  4. Una vegada més, la contrasenya més habitual als comptes de RockYou és 123456.

Pel que fa a la classificació de les més usades, el resultat no per habitual, deixa de ser sorprenent:

Classificació Contrasenya Usuaris
1 123456
290.731
2 12345
79.078
3 123456789
76.790
4 Password
61.958
5 iloveyou
51.622
6 princess
35.231
7 rockyou
22.588
8 1234567
21.726
9 12345678
20.553
10 abc123
17.542

De les contrasenyes analitzades, només el 0,2% es poden considerar fortes.

Pel que fa a les recomanacions, se citen les de la NASA:

  1. Les contrasenyes haurien de contenir com a mínim 8 caràcters.
  2. S’haurien de construir com a mínim amb quatre tipus de caràcters: majúscules, minúscules, números i caràcters especials.
  3. No s’haurien d’utilitzar noms, ni paraules en argot, ni paraules que apareguin al diccionari. No haurien d’incloure part del nom ni de l’adreça de correu.

I s’amplien:

Usuaris:

  1. Trieu contrasenyes fortes. Bruce Schneier, especialista en seguretat informàtica i criptografia recomana escollir una frase i construir la contrasenya a partir de les inicials de cada paraula. Evidentment la contrasenya resultant no hauria de sortir en cap diccionari.
  2. Feu servir contrasenyes diferents per a cada lloc web.
  3. No faciliteu mai a un tercer les contrasenyes dels serveis importants.

Administradors:

  1. Establiu una política de contrasenyes segura: si deixeu triar als usuaris és molt probable que triïn contrasenyes insegures.
  2. Assegureu-vos que les contrasenyes no es transmeten en text pla. Utilitzeu sempre el protocol HTTPS.
  3. Assegureu-vos que les contrasenyes no s’emmagatzemen sense encriptar.
  4. Utilitzeu mecanismes per evitar els atacs de força bruta: CAPTCHA, càlculs numèrics…
  5. Establiu una política de canvi de contrasenya periòdica o en determinades circumstàncies.
  6. Permeteu i fomenteu les frases de pas enlloc de les contrasenyes d’una sola paraula. Són més llargues i més fàcils de recordar.

Amb una mostra tan significativa les dades són especialment alarmants: gairebé l’1% d’usuaris tenien com a contrasenya 123456 i 200.000 més la mateixa seqüència numèrica amb més o menys longitud.

Entrades relacionades:

Font: L’home dibuixat

Comparteix l'entrada


by 3 comentaris

La seguretat de les contrasenyes, tema pendent

PhishingLa setmana passada molts mitjans es feien ressò d’una notícia inquietant: un usuari anònim havia publicat a pastebin -un lloc destinats als programadors que necessiten un cop de mà amb algun fragment de codi- un llistat amb 10.000 comptes d’usuari i contrasenyes de Hotmail, MSN i Live. Posteriorment es va publicar una segona remesa, aquesta vegada també amb comptes de Gmail, Yahoo i AOL. Els administradors de pastebin van eliminar ràpidament les llistes, però la notícia ja havia transcendit i donat la volta al món. Hores d’ara no es pot saber quanta gent en té una còpia.

En un primer moment es va especular amb la possibilitat que s’hagués produït algun error de seguretat a Microsoft, però segons van anunciar els de Redmond, no hi havia hagut cap accés no autoritzat als seus servidors, per la qual cosa se sospita que les dades dels comptes es van aconseguir per mitjà del phishing. La primera recomanació, evidentment, va ser canviar immediatament la contrasenya.

LordElph, administrador de pastebin, explica en una llarga entrada al seu bloc la seqüència dels fets. I demana una vegada més que ningú pregunti si el seu compte ha estat afectat: no té una còpia de la llista, simplement cal canviar la contrasenya.

Fins aquí la notícia, que comença a ser habitual. Però en un segon moment i quan les coses han tornat a calmar-se, s’ha revelat un estudi que analitza el contingut de la llista. Acunetix, empresa que es dedica a la seguretat al web, n’ha analitzat estadísticament el  contingut i les conclusions són sorprenents.

La llista contenia exactament 10.028 entrades, 9.483 amb contrasenya vàlida. Només el 90% tenien una contrasenya única, en el 10% restant es repetia. La contrasenya més llarga és de 30 caràcters: lafaroleratropezoooooooooooooo i la més curta d’un: )

La sorpresa de debò apareix quan ens fixem en les 10 contrasenyes més usades:

  1. 123456: 64
  2. 123456789: 18
  3. alejandra: 11
  4. 111111: 10
  5. alberto: 9
  6. tequiero: 9
  7. alejandro: 9
  8. 12345678: 9
  9. 1234567: 8
  10. estrella: 7

Les conclusions de l’informe evidencien que encara són massa els usuaris que no es prenen seriosament la qüestió de les contrasenyes: el 42% només contenen caràcters alfabètics en minúscula i el 19% només contenen números.

Recomanacions per crear contrasenyes segures:

Font: BBC News