Hace un par de semanas encontré una viñeta que me inspiró a escribir un nuevo artículo para OD, la misma hace referencia a la forma de generar contraseñas de al menos el 80% de los usuarios «responsables» o administradores de sistemas.
Escrito por:Juan Pablo Bustos
Luego de consultarlo con varios amigos y colegas, llegué a la conclusión de que algo estamos haciendo mal ya que, tal como marca la viñeta, estamos generando contraseñas muy difíciles de recordar y sin embargo resultan ser mucho más sencillas de deducir ante un ataque de fuerza bruta. Si utilizáramos otros métodos para su generación, en general, terminaríamos teniendo una contraseña bastante sencilla para recordar pero bastante más «fuerte» si de un ataque de fuerza bruta se tratase.
He mencionado a los denominados ataques por fuerza bruta varias veces ya en el párrafo anterior (es más, en éstos momentos mi querida esposa y editora de turno me debe estar reprendiendo por haber utilizado tantas veces el mismo término, pero en fin) sin haberlos definido propiamente por lo que en español los podríamos definir como un método que consiste en «probar» distintas contraseñas hasta acertar con la correcta.
Si el lector no está muy familiarizado con los ataques por fuerza bruta podríamos ejemplificarlo de la siguiente forma: supongamos que tenemos uno de aquellos portafolios que cuentan con 3 «rodillos» con números del 0 al 9 y queremos abrirlo sin dañar el cerrojo (si bien el concepto de fuerza bruta naturalmente nos llevaría a pensar que estampar el portafolios contra una pared hasta romper el cerrojo es la solución más rápida, en este caso se aplica a otra cosa) , para abrirlo deberíamos probar las distintas combinaciones posibles hasta conseguir que éste se abra empezando por 000, 001, 002, 003, etc… por lo que a este proceso de probar distintas combinaciones es a lo que denominamos ataque por fuerza bruta.
Volviendo al mundillo de los sistemas y afines, en un escenario típico de ataque por fuerza bruta se introduce le concepto de diccionario. Un diccionario se define como una lista de palabras las cuales pueden ser seleccionadas (no es casualidad que de tanto en tanto se publique el top 10 de contraseñas utilizadas por administradores de sistemas) o generadas por un software que combinará los diferentes caracteres como si se tratara del portafolios, pero esta vez teniendo en cuenta todos los caracteres disponibles: aaaaaa, aaaaab, aaaaac, y así hasta llegar a la cantidad de combinaciones deseadas.
No vamos a entrar en los detalles de los diccionarios ya que nos podría llevar varias páginas, pero si podríamos darle un cierre al tema mencionando que por lo general para acotar los tiempos de «prueba y error» se utilizan diccionarios limitados de 4 a 8 caracteres pudiendo o no incluir caracteres especiales y distinción entre mayúsculas y minúsculas, todo esto depende de la persona que está intentando realizar el ataque.
Entonces ahora que ya conocemos un poco más los detalles de uno de los diversos ataques disponibles reflexionemos, estamos utilizando contraseñas realmente seguras contra un ataque por fuerza bruta? De ser negativo, no sería sencillo utilizar una combinación de palabras creando una contraseña de unos 10 caracteres, lo cual por lo general resultará más sencilla de recordar y más complicada de «romper»?
Espero haberles despertado el bichito de la duda, y lamentablemente es mi deber avisarles que los ataques por fuerza bruta lamentablemente no son el mayor motivo de las vulneraciones a la seguridad de sistemas, sino otros que analizaremos en próximas entregas 🙂
Saludos y cambien sus contraseñas!!!