¿Tan malos son nuestros passwords?

  • Actualizado: 2 diciembre 2021
  • Publicado por primera vez: 27 enero 2015

WorstPasswords-2014Recientemente ha aparecido una de esas listas que más gustan a los medios de comunicación: la lista de los passwords mas usados en 2014. Como ha ocurrido en los últimos años, la compañía SplashData ha hecho pública su lista de las contraseñas más usadas en 2014. Como era de esperar, 123456 y sus variantes copan la mayoría del top ten.

Esto me hace reflexionar sobre la labor de concienciación que realizamos en materia de seguridad y hacerme la pregunta que da título a este post: ¿Tan malos son nuestros passwords? La respuesta, menos mal, es no.

La información importante de esta lista no es el top ten, sino los porcentajes de ese top ten. Por ejemplo, vamos a analizar el caso del password '123456'. En 2011, el porcentaje de passwords que era '123456' se situaba en el 8,5%. En 2014, ese porcentaje disminuyó hasta menos del 1%, lo cual es aceptable. Como se desprende de estas estadísticas, la cultura de seguridad sí que está calando en la sociedad y cada vez los passwords que se usan son mejores.

Pero no todo van a ser buenas noticias. Desgraciadamente, los passwords siguen siendo débiles y resulta bastante sencillo obtener las contraseñas de los usuarios. Vamos a hacer un ejercicio de cracking. Nos vamos a poner en el caso que hemos obtenido una lista de contraseñas cifradas en MD5 de la empresa Empresa S.A. y queremos obtener contraseñas de forma rápida. Para ello, deberíamos generar un diccionario con las siguientes reglas:

  • Hacer una lista de usuarios de la empresa buscando en fuentes de información pública. Añadir estos usuarios a la lista de passwords.
  • Añadir variaciones de los nombres de usuario: dlladro, Dlladro, DlladrO, dll4dr0, Dll4dr0...
  • Añadir a los nombres de usuario 3 cifras: dlladro1, dlladro11, dlladro111, dlladro999
  • Realizar las mismas acciones con el nombre de la empresa: empresa, Empresa, 3mpr3s4...
  • Añadir todos los posibles números de 9 cifras desde 000000000 hasta 999999999. Con esta regla obtendríamos todas las contraseñas que sean fechas (01012015), DNIs, números de teléfono...

Con esta lista bastante genérica, obtendríamos de forma rápida, muchas credenciales de la empresa atacada. Una vez terminado este ataque, podríamos empezar con un ataque de fuerza bruta clásico utilizando una tarjeta gráfica.

A modo de ejemplo, os adjunto una imagen de lo que se tardaría en obtener una contraseña en función de su complejidad y longitud con una tarjeta gráfica potente (200€ aprox).

MD5- AMD R9 290

 Viendo esta gráfica, el panorama parece desolador para los usuarios. ¿Como se puede recordar múltiples contraseñas del tipo Adj37%·dsaDASF? Imposible para un ser humano normal. Pero, ¿sería difícil recordar una contraseña como "escribo en blog seguridad informatica"?

No lo creo, es mas, yo creo que ya la han memorizado. Sin ninguna dificultad, se puede memorizar contraseñas de 37 caracteres o incluso más. Así que no hay excusa para cambiar las contraseñas por unas robustas y sencillas de recordar.

 

David Lladró
Responsable de Seguridad en 
Datadec Online