La compañía de seguridad Trustwave, cuya sede central está en Chicago, Estados Unidos, acaba de publicar una investigación
que viene a confirmar algo que, tarde o temprano, sabíamos que iba a
ocurrir. Esto es, que las contraseñas de 8 caracteres que combinan
mayúsculas, minúsculas, números y símbolos han dejado de ser robustas.
Pero a no desesperar. En el fondo no es una mala noticia. Trustwave
también descubrió que hay contraseñas mucho más fáciles de recordar y
que, a la vez, resisten mejor los ataques basados en la simple fuerza
bruta del cómputo.
La causa del rápido deterioro de las contraseñas del tipo Qw34$!M7
está en el abrumador crecimiento del poder de cómputo, especialmente en
las placas de video (o GPU, por Graphics Processor Unit), cuya
especialización en crear escenarios de altísimo realismo las hace
también muy aptas para quebrar contraseñas. En última instancia, se
trata de lo mismo: cálculo. Una placa Radeon 7970 de AMD es capaz de
calcular a cada segundo 17.300 millones de operaciones de hashing para
contraseñas basadas en el protocolo de NT LAN Manager. Y cuesta 350
dólares.
Es posible que la frase "operaciones de hash para contraseñas de NT LAN
Manager" no sólo no te diga nada, sino que además te produzca alguna
sensación de vacío en el estómago. Pero que algo de 350 dólares haga
17.300 millones de lo que sea pone un poder de cómputo enorme en manos
de casi cualquier persona.
(Dicho muy grosso modo, el motivo por el que las placas de video son tan
buenas para esta clase de tareas es que no tienen 2 o 4 núcleos, como
los microprocesadores convencionales, sino cientos y, eventualmente,
miles, y cada núcleo puede hacer una operación aritmética por cada ciclo
de reloj. Las operaciones de hashing es una clase de proceso que se
beneficia del enorme paralelismo de los GPU.)
Más aún, estas placas de video pueden hacerse funcionar en paralelo,
varias a la vez. Los investigadores de Trustwave usaron dos equipos para
sus experimentos, uno con 2 Radeon 7970 y otro con 4. El costo total de
ambas máquinas fue de 4500 dólares, incluyendo el resto del hardware
(microprocesador, memoria RAM). Es decir, ya no hace falta ni una
supercomputadora ni es necesario esperar que lleguen los chips
cuánticos. Con menos de 5000 dólares, Trustwave logró quebrar en los
primeros minutos el 54% de las 626.718 contraseñas que tenían por objeto
descubrir. Luego, en el curso de escasos 31 días, consiguieron
descubrir casi el 92% de las claves (576,533). Sólo se salvaron las que
tenían muchos caracteres.
Confirmaron así que las contraseñas que combinan al azar cuatro campos
de caracteres (mayúsculas, minúsculas, números y símbolos) ya no son
invulnerables. En algo menos de 4 días, una sola Radeon 7970 pudo
descifrar la clave N^a&$1nG.
Más importante todavía (ésta es la buena noticia), cuando probaron con GoodLuckGuessingThisPassword,
una contraseña que usa palabras de un lenguaje natural, pero que tiene
28 caracteres, la misma placa de video necesitaría casi 18 años para
quebrarla. No sé si está demás decirlo, pero por si acaso ahí va: por
favor, no usen esta contraseña en particular; es sólo un ejemplo y
resulta fácil de adivinar por medio de un ataque de inteligencia.
0 comentarios:
Publicar un comentario