Inicio / Blog / Uso de patrones en las contraseñas, o como arruinar tu propia seguridad

Uso de patrones en las contraseñas, o como arruinar tu propia seguridad

Publicado el 13/07/2016, por Miguel Herrero (INCIBE)
Candado roto

A la hora de elegir contraseñas para proteger tus servicios online existe un mantra que se repite constantemente:

  • Al menos ocho caracteres
  • Alterna al menos tres de los siguientes grupos: mayúsculas, minúsculas, dígitos y caracteres especiales.
  • No reutilices contraseñas para diferentes servicios.

A pesar de este mantra, periódicamente aparecen noticias como que han robado 167 millones de contraseñas de LinkedIn que nos hacen preguntarnos qué está pasando con las contraseñas de nuestros servicios online.

Para cumplir con lo que el mantra exige, lo que mucha gente hace es coger una palabra de seis letras o más, por ejemplo “teléfono”, poner la primera letra en mayúscula, y añadirle un número y un carácter especial al final (o dos números). Ale, ya está. Todo seguro, tres de los cuatro grupos, diez caracteres. ¿Quién adivinaría que mi contraseña es “Telefono10”?

Así que la metes en tu servicio web y un estupendo indicador de colorines te dice que la contraseña es segura. Claro que sí, ya puedes ir a dormir tranquilo. Nadie podrá adivinar que esta es tu contraseña de LinkedIn. Y cómo es tan “strong” la utilizas también para tu cuenta de Paypal, que ya que estás, puedes incumplir el tercero de los puntos del mantra que seguro que no es importante porque es el último.

Password meter

Seguridad de Telefono10 según Password meter

Un buen día, lees que la noticia de LinkedIn, pero tú estás tranquilo porque tu contraseña era “strong”. El nerviosismo llega cuando alguien compra unas tarjetas regalo de cualquier tienda online y paga usando tu contraseña de Paypal.

No toda la culpa es tuya, por supuesto. LinkedIn almacenaba el hash SHA1 de tu contraseña sin salt, lo que hace que sean más sencillas de crackear que si no fueran sosas.

Lo que sí podrías haber hecho es no usar un patrón de los más sencillos para crear tu contraseña. En tu caso era [M]-[mmmmmmm]-[nn] (Mayúscula, minúscula… número número). Al usar un patrón se reduce el espectro de posibilidades.

Las matemáticas son sencillas, el alfabeto español tiene 27 letras, 10 dígitos y digamos unos 50 caracteres especiales (que son más, pero tampoco vamos a entrar a contarlos). En total, para cada posición de tu contraseña de 10 dígitos, el alfabeto es más de 100 posibilidades (27 mayúsculas, 27 minúsculas, 10 dígitos y 50 especiales), hay más de 3.7 x 10^20 de posibles contraseñas.

Con el uso de un patrón como el que hemos hablado, has reducido el campo de actuación a apenas 2.8 x 10^13 mucho más manejable. Con tanto robo de credenciales (no tenéis más que pasar por la bitácora para ver noticias al respecto) se está aprendiendo mucho de los patrones que las personas utilizamos para crear nuestras contraseñas de acceso a dispositivos.

KoreLogic security, una empresa que se dedica a hacer pruebas de penetración en empresas publicó en su blog una lista con las 100 topologías más comunes que se habían encontrado a lo largo de sus pruebas. Las 5 más comunes serían:

[M]-[mmmmm]-[dd] (una palabra de 6 letras con la primera mayúscula y 2 dígitos: Zapato11)

[M]-[mmmmmm]-[dd] (una palabra de 7 letras con la primera mayúscula y 2 dígitos: Petardo11)

[M]-[mmm]-[dddd] (una palabra de 4 letras con la primera mayúscula y 4 dígitos: Juan2014)

[M]-[mmmmmm]-[d] (una palabra de 7 letras con la primera mayúscula y 1 dígitos: Petardo1)

[M]-[mmmmmmm]-[dd] (una palabra de 8 letras con la primera mayúscula y 2 dígitos: Telefono10)

 

Cualquiera contraseña que se ciña a estos patrones (o a alguno de los 100 primeros) debería ser considerada insegura, aunque las letras no formaran una palabra del diccionario. Sería recomendable que si eres el administrador de una página web, lo tuvieras en cuenta a la hora de implantar una política de seguridad para tu servicio tuvieras en cuentas estas topologías y las vetaras de alguna forma. Y como usuario, si las utilizas, deberías plantearte cambiar todas las contraseñas que utilices que se ciñan a alguna de estas topologías.

De hecho, los comprobadores online de fortaleza de contraseñas empiezan a tener en cuenta este tipo de patrones:

Patrones contraseñas

Aviso de howsecureismypassword.net ante la contraseña Telefono10

Kaspersky

Aviso de Kaspersky para Telefono10

 

Hay formas sencillas de hacer las contraseñas más seguras, sin tener que recurrir a los siempre recomendables pero poco utilizados fuera del mundillo de la ciberseguridad gestores de contraseñas. Algunas de las recomendaciones que podrías tener en cuenta son:

  • Intenta no camuflar palabras conocidas: H4ck3r! no es una contraseña segura.
  • Usa varios caracteres especiales en la misma contraseña (procura que el signo de exclamación ! no sea uno de ellos, es el más utilizado).
  • No coloques adyacentes los caracteres (Telefon1o0 es más segura que Telefono10).
  • Procura que la contraseña no empiece con una letra.

 

Claro que cualquier patrón que se popularice pasa a ser inmediatamente uno a descartar. La sencillez para romper contraseñas está haciendo que se tienda a la utilización otros métodos para acceder a las cuentas de nuestros servicios online.

El segundo factor de autenticación (2FA) es un ejemplo claro. A través de una aplicación externa (como un SMS al número de móvil como en servicios similares Paypal, u otras aplicaciones como Google Authenticator) se recibe un código de verificación único y temporal para el acceso al servicio.

Es 2FA añade una buena capa de seguridad, pero está haciendo que los ciberdelincuentes se esfuercen en buscar medios para dejarlo sin efecto. Se están detectando ataques al 2FA a través de SMS haciéndose pasar por Google, de forma que intenta engañar al usuario para reenviar al criminal el 2FA.

Otras empresas implementan “candados digitales” como ocurre con Latch de forma que cuando alguien intenta acceder a tu usuario, se comprueba el estado del candado y se bloquea el acceso. 2FA y estos candados no protegen tu cuenta del robo de las BBDD de contraseñas de los servicios, por lo que si reutilizas la contraseña podrás tener problemas con aquellos servicios que no implementen el 2FA o permitan el candado.

Como estos métodos no solucionan el problema absolutamente, las empresas se mueven hacia adelante para añadir otra capa más de seguridad, dirigiendo sus esfuerzos hacia técnicas de reconocimiento biométrico. Recientemente Amazon ha patentado una tecnología que te obligará a hacerte una auto-foto antes de poder realizar un pago. Con esa auto-foto podrán hacer reconocimiento facial y autorizar la transacción o no en función del resultado del reconocimiento. Además para evitar que los usuarios falseen las fotografías, Amazon solicitará un gesto concreto (guiñar un ojo por ejemplo) para cada transacción.

Actualmente, la tecnología de Touch ID de Apple que viene integrada en sus teléfonos de última generación ya permite integrar la firma electrónica en algunas aplicaciones de bancos, lo que hace que para firmar sea necesaria la huella digital. Ahora bien, quizá confiarle los datos de tu firma electrónica a esta tecnología quizá no sea lo más recomendable según Kaspersky, pero, desde luego es una innovación y marca una línea hacia dónde se moverá el futuro de la autenticación de los usuarios.