Por Ariel Torres | LA NACION
La compañía de seguridad Trustwave, cuya sede central
está en Chicago, Estados Unidos, acaba de publicar una investigación que
viene a confirmar algo que, tarde o temprano, sabíamos que iba a
ocurrir. Esto es, que las contraseñas de 8 caracteres que combinan
mayúsculas, minúsculas, números y símbolos han dejado de ser robustas
(https://gsr.trustwave.com/topics/business-password-analysis/2014-business-password-analysis/). Pero
a no desesperar. En el fondo no es una mala noticia. Trustwave también
descubrió que hay contraseñas mucho más fáciles de recordar y que, a la
vez, resisten mejor los ataques basados en la simple fuerza bruta del
cómputo.
La causa del rápido deterioro de las contraseñas del tipo
Qw34$!M7 está en el abrumador crecimiento del poder de cómputo,
especialmente en las placas de video (o GPU, por Graphics Processor
Unit), cuya especialización en crear escenarios de altísimo realismo las
hace también muy aptas para quebrar contraseñas. En última instancia,
se trata de lo mismo: cálculo. Una placa Radeon 7970 de AMD es capaz de
calcular a cada segundo 17.300 millones de operaciones de hashing para
contraseñas basadas en el protocolo de NT LAN Manager. Y cuesta 350
dólares.
Es posible que la frase "operaciones de hash para
contraseñas de NT LAN Manager" no sólo no te diga nada, sino que además
te produzca alguna sensación de vacío en el estómago. Pero que algo de
350 dólares haga 17.300 millones de lo que sea pone un poder de cómputo
enorme en manos de casi cualquier persona.
(Dicho muy grosso modo,
el motivo por el que las placas de video son tan buenas para esta clase
de tareas es que no tienen 2 o 4 núcleos, como los microprocesadores
convencionales, sino cientos y, eventualmente, miles, y cada núcleo
puede hacer una operación aritmética por cada ciclo de reloj. Las
operaciones de hashing es una clase de proceso que se beneficia del
enorme paralelismo de los GPU.)
Más aún, estas placas de video
pueden hacerse funcionar en paralelo, varias a la vez. Los
investigadores de Trustwave usaron dos equipos para sus experimentos,
uno con 2 Radeon 7970 y otro con 4. El costo total de ambas máquinas fue
de 4500 dólares, incluyendo el resto del hardware (microprocesador,
memoria RAM). Es decir, ya no hace falta ni una supercomputadora ni es
necesario esperar que lleguen los chips cuánticos. Con menos de 5000
dólares, Trustwave logró quebrar en los primeros minutos el 54% de las
626.718 contraseñas que tenían por objeto descubrir. Luego, en el curso
de escasos 31 días, consiguieron descubrir casi el 92% de las claves
(576,533). Sólo se salvaron las que tenían muchos caracteres.
Confirmaron
así que las contraseñas que combinan al azar cuatro campos de
caracteres (mayúsculas, minúsculas, números y símbolos) ya no son
invulnerables. En algo menos de 4 días, una sola Radeon 7970 pudo
descifrar la clave N^a&$1nG.
Más importante todavía (ésta es
la buena noticia), cuando probaron con GoodLuckGuessingThisPassword, una
contraseña que usa palabras de un lenguaje natural, pero que tiene 28
caracteres, la misma placa de video necesitaría casi 18 años para
quebrarla. No sé si está demás decirlo, pero por si acaso ahí va: por
favor, no usen esta contraseña en particular; es sólo un ejemplo y
resulta fácil de adivinar por medio de un ataque de inteligencia.
Cerraduras frágiles
Karl
Sigler, gerente de inteligencia de amenazas de Trustwave, me dijo en la
semana: "Las contraseñas de muchos caracteres, las frases, son más
difíciles de quebrar que las claves cortas de una sola palabra, incluso
si esa palabra contiene una combinación de letras, números y símbolos.
"En
nuestra investigación encontramos que la contraseña usada con mayor
frecuencia era Password1. Aunque es fácil de adivinar y figura en los
diccionarios que se usan para hackear claves, Password1, satisface la
mayoría de los requerimientos de las políticas de seguridad. Tiene más
de 8 caracteres, un número y una mayúscula. Por desgracia, muchas de las
políticas de seguridad realmente no previenen la elección de malas
contraseñas."
Le pregunté si el aumento en la fortaleza de las
contraseñas era proporcional al número de caracteres. Por ejemplo,
¿sería todavía más fuerte una frase de casi 60 caracteres? Por ejemplo,
"En un lugar de la Mancha de cuyo nombre no quiero acordarme". "Cuantos
más caracteres contenga, más difícil será quebrantarla", me confirmó
Sigler.
Uno de los problemas de las contraseñas tradicionales es
que son muy difíciles de recordar. Se las elige, por esto, más bien
breves. Viceversa, la mente humana está preparada para memorizar largos
textos, en tanto tengan sentido. "Todas las familias felices se parecen,
pero las infelices, cada una lo es a su manera" tiene 85 caracteres y
es, con la tecnología de hoy, virtualmente indescifrable. Además, y como
siempre digo, los programas de fuerza bruta pueden hacer muchas cosas,
pero difícilmente vayan a escribir el principio del Quijote o de Ana
Karenina.
Doble o nada
Sin embargo, las
contraseñas suelen extraerse en masa por medio de ataques que explotan
vulnerabilidades de sitios web. Le pregunté a Sigler por qué cree que
una clave robusta sigue siendo importante, en este contexto.
"Las
contraseñas no son robadas necesariamente sólo de sitios vulnerables.
Cada vez que se usan credenciales de logueo, si no se siguen los pasos
para proteger dichas credenciales, un criminal puede descifrarlas. Con
frecuencia, los delincuentes obtienen acceso a contraseñas comprando
herramientas que realizan ataques automatizados de fuerza bruta o de
diccionario, herramientas que se encuentran disponibles y no son caras.
"Un
ataque de fuerza bruta es cuando los hackers prueban cada posible
combinación de letras, números y símbolos hasta que dan con la correcta.
Los ataques de diccionario usan listas de palabras usadas
frecuentemente como claves.
"Las contraseñas fuertes imponen un
desafío mucho mayor a estas herramientas. Cuando los usuarios usan
contraseñas fáciles de adivinar o de pocos caracteres están básicamente
entregando las llaves del reino. Usamos claves para acceder a algunos de
nuestros datos más valiosos -cuenta del banco, propiedad intelectual,
información personalmente identificable, etcétera-, ésa es la razón por
la que debemos asegurarnos de que sean de muchos caracteres."
Sigler,
como casi cada experto en seguridad que he entrevistado en los últimos 2
años, aconseja poner en práctica la autenticación de dos o más
factores. La tarjeta de coordenadas para home banking es un ejemplo.
Otro es cuando Google o Twitter te envían un SMS con un PIN que debés
colocar luego de ingresar la contraseña.
"También sugerimos
implementar la doble autenticación, que añade una capa adicional de
seguridad al requerir que el usuario provea más información, por ejemplo
un PIN o responder una pregunta cuya respuesta sólo esa persona debería
conocer."
Sigler sostiene que las contraseñas que cada uno de
nosotros administra siguen siendo el eslabón más débil de la cadena de
la seguridad informática. "Aunque es cierto que explotar sitios
vulnerables y las técnicas de phishing pasan por alto las contraseñas,
éstas son fundamentales para todo plan de seguridad. Sólo el 1% de los
incidentes que investigamos en 2013 se iniciaron por medio de
credenciales fugadas o comprometidas"..