Pin It

Security


La compañía de seguridad Trustwave, cuya sede central está en Chicago, Estados Unidos, acaba de publicar una investigación que viene a confirmar algo que, tarde o temprano, sabíamos que iba a ocurrir. Esto es, que las contraseñas de 8 caracteres que combinan mayúsculas, minúsculas, números y símbolos han dejado de ser robustas.



Pero a no desesperar. En el fondo no es una mala noticia. Trustwave también descubrió que hay contraseñas mucho más fáciles de recordar y que, a la vez, resisten mejor los ataques basados en la simple fuerza bruta del cómputo.

La causa del rápido deterioro de las contraseñas del tipo Qw34$!M7 está en el abrumador crecimiento del poder de cómputo, especialmente en las placas de video (o GPU, por Graphics Processor Unit), cuya especialización en crear escenarios de altísimo realismo las hace también muy aptas para quebrar contraseñas. En última instancia, se trata de lo mismo: cálculo. Una placa Radeon 7970 de AMD es capaz de calcular a cada segundo 17.300 millones de operaciones de hashing para contraseñas basadas en el protocolo de NT LAN Manager. Y cuesta 350 dólares.

Es posible que la frase "operaciones de hash para contraseñas de NT LAN Manager" no sólo no te diga nada, sino que además te produzca alguna sensación de vacío en el estómago. Pero que algo de 350 dólares haga 17.300 millones de lo que sea pone un poder de cómputo enorme en manos de casi cualquier persona.

(Dicho muy grosso modo, el motivo por el que las placas de video son tan buenas para esta clase de tareas es que no tienen 2 o 4 núcleos, como los microprocesadores convencionales, sino cientos y, eventualmente, miles, y cada núcleo puede hacer una operación aritmética por cada ciclo de reloj. Las operaciones de hashing es una clase de proceso que se beneficia del enorme paralelismo de los GPU.)

Más aún, estas placas de video pueden hacerse funcionar en paralelo, varias a la vez. Los investigadores de Trustwave usaron dos equipos para sus experimentos, uno con 2 Radeon 7970 y otro con 4. El costo total de ambas máquinas fue de 4500 dólares, incluyendo el resto del hardware (microprocesador, memoria RAM). Es decir, ya no hace falta ni una supercomputadora ni es necesario esperar que lleguen los chips cuánticos. Con menos de 5000 dólares, Trustwave logró quebrar en los primeros minutos el 54% de las 626.718 contraseñas que tenían por objeto descubrir. Luego, en el curso de escasos 31 días, consiguieron descubrir casi el 92% de las claves (576,533). Sólo se salvaron las que tenían muchos caracteres.

Confirmaron así que las contraseñas que combinan al azar cuatro campos de caracteres (mayúsculas, minúsculas, números y símbolos) ya no son invulnerables. En algo menos de 4 días, una sola Radeon 7970 pudo descifrar la clave N^a&$1nG.

Más importante todavía (ésta es la buena noticia), cuando probaron con GoodLuckGuessingThisPassword, una contraseña que usa palabras de un lenguaje natural, pero que tiene 28 caracteres, la misma placa de video necesitaría casi 18 años para quebrarla. No sé si está demás decirlo, pero por si acaso ahí va: por favor, no usen esta contraseña en particular; es sólo un ejemplo y resulta fácil de adivinar por medio de un ataque de inteligencia.

0 comentarios:

Publicar un comentario

 
Top