eliax

lunes, febrero 14, 2011
Tabla sobre qué tan rápido un hacker puede averiguar tu clave
eliax id: 8498 josé elías en feb 14, 2011 a las 02:58 AM (02:58 horas)
Uno de los problemas de seguridad más graves con que todo administrador de sistemas tiene que lidiar es el de las claves de usuarios.

Por un lado, si los usuarios eligen claves muy sencilla, estas pueden ser fácilmente violadas por hackers, y si son muy complejas estas son regularmente olvidadas.

Sin embargo, sea como sea, existen ciertas reglas para crear una clave segura, y para los que crean que esto no tiene importancia, ponderen la siguiente table que detalla qué tan rápido un hacker puede averiguar tu clave, dependiendo del largo y complejidad de esta, utilizando un PC disponible en cualquier tienda del mundo.

Largo: 6 caracteres. Todas en minúsculas: 10 minutos
6 caracteres, mezcla de minúsculas y mayúsculas: 10 horas
6 caracteres, minúsculas + mayúsculas + números/símbolos: 18 días

Largo: 7 caracteres. Todas en minúsculas: 4 horas
7 caracteres, mezcla de minúsculas y mayúsculas: 23 días
7 caracteres, minúsculas + mayúsculas + números/símbolos: 4 años

Largo: 8 caracteres. Todas en minúsculas: 4 días
8 caracteres, mezcla de minúsculas y mayúsculas: 3 años
8 caracteres, minúsculas + mayúsculas + números/símbolos: 463 años

Largo: 9 caracteres. Todas en minúsculas: 4 meses
9 caracteres, mezcla de minúsculas y mayúsculas: 178 años
9 caracteres, minúsculas + mayúsculas + números/símbolos: 44530 años

Otro dato interesante es que las claves más utilizadas son estas: 123456, password, 12345678, qwerty, abc123

Además, se estima que el 50% de los usuarios eligen palabras comunes y simples combinaciones de teclas en sus claves.

Entonces, moraleja: Elegir claves lo más largas posibles, y que mezclen letras minúsculas, mayúsculas, números, y símbolos de teclado.

Sin embargo, noten que estas cifras de tiempos son basadas en equipos accesibles a cualquier persona, pero si tuvieras acceso a una máquina como esta, los tiempos de romper las claves serían dramáticamente más cortos...

fuente

autor: josé elías
28 comentarios
Tecno-Seguridad
Previamente en eliax:
Descubren manera super-simple de abrir cualquier candado o cerradura (ago 6, 2006)
Video: Crea llaves para abrir cualquier tipo de candado o cerradura (sep 11, 2006)
Recupera la clave de Windows con este CD "en vivo" (feb 4, 2007)
Protección WEP de WiFi de 104bits rompible en 3 segundos (abr 3, 2007)
Cómo despertar a tu PC remotamente para acceder a ella (abr 24, 2007)
Lista de usuarios y claves por defecto para equipos de red (jul 9, 2007)
Programa para averiguar claves de Windows (jul 23, 2007)
Rompen protección de WPA de WiFi en 15 minutos (nov 6, 2008)
Rompen algoritmo SSL que da seguridad a páginas web (dic 30, 2008)
Finalizan especificación para cifrado de datos en discos duros y SSDs (feb 6, 2009)
Pregunta a eliax: ¿Es seguro utilizar Proxies en Internet? (abr 1, 2009)
Incapacitan Internet en Silicon Valley, con un serrucho (abr 9, 2009)
Editorial eliax: La Era de los Cánceres Informáticos (mas allá de los virus) (abr 14, 2009)
Cerraduras KwikSet, controladas por Internet para abrir/cerrar y saber por quien (sep 13, 2009)
Rompen cifrado GSM de 3,500 Millones de celulares en todo el mundo (dic 29, 2009)
Seguridad de celulares GSM de 128 bits también violada... (ene 20, 2010)
Descubren manera de sacarte dinero desde puntos de ventas (POS), y sin clave (feb 16, 2010)
Millones de routers hogareños que acceden al Internet vulnerables a ataque (jul 28, 2010)
Sobre 'Las 7 llaves del Internet'. No es lo que muchos piensan... (jul 29, 2010)
Con US$1500 dólares en equipos, se puede intervenir cualquier celular GSM 2G (ago 1, 2010)
Las 10 páginas web más falsificadas del mundo (57,000 falsificadas semanalmente) (sep 12, 2010)
Para el 2012 los chips SIM de celulares se activarían remotamente. Opinión (nov 19, 2010)
IBM alistando supercomputadora capaz de 10,000,000,000,000,000 cálculos por segundo (feb 12, 2011)

Posteriormente en eliax:
Las 25 claves más utilizadas (y que no deben utilizar) en el 2012 (oct 28, 2012)
El 90% de candados y cerradoras son fáciles de abrir. Como protegerte (mar 5, 2013)
El navegador Google Chrome no protege las claves que recuerda, oh oh... (ago 8, 2013)
ALERTA: El cifrado de datos actual en Internet no servirá dentro de 4 a 5 años (ago 9, 2013)
Increíble: badBIOS, un virus/troyano por ultrasonido de PC a PC. Explicación eliax (nov 4, 2013)

Comentarios

  • "Sin embargo, noten que estas cifras de tiempos son basadas en equipos accesibles a cualquier persona, pero si tuvieras acceso a una máquina como esta, los tiempos de romper las claves serían dramáticamente más cortos..."

    Bueno estoy tranquilo, fijo que si alguien tuviese acceso a una máquina como esa para hackear buscaría blancos más provechosos que yo... suiza, gran caimán, que se yo ;)

    Por cierto, cuando haya máquinas cuánticas la criptografía se va a volver algo bastante interesante jajaja.
    #1 cap_nemo - febrero 14, 2011 - 03:18 AM (03:18 horas) (responder)

  • Por cierto, supongo que esos cálculos estan basados en algoritmos de fuerza bruta de "calcule todas las combinaciones" no?
    #2 cap_nemo - febrero 14, 2011 - 03:20 AM (03:20 horas) (responder)

    • Más o menos, y de eso se trata precisamente esta noticia: En vez de utilizar "fuerza bruta" y probar todas las posibles combinaciones, primero se empieza con claves de pocos caracteres de largo, y con palabras comunes, y de ahí se prueban los casos más factibles que le sigan en la lista, y solo al final si no se descubre nada en tiempos prácticos, se procede a algoritmos de fuerza bruta.
      #2.1 José Elías (enlace) - febrero 14, 2011 - 03:30 AM (03:30 horas) (responder)

      • Otra cosa, aveces algunos sistemas de acceso obligan una espera por ejemplo de 10 segundos entre cada intento, me imagino que eso le resta a la fuerza bruta pues un intento por cada 10 segundos se vuelve una eternidad sin importar que tan rapido sea la computadora.

        Aunque seguro tambien los hackers tienen su truco para ignorar. Eso sin hablar de las cuentas que se bloquean cuando hay muchos intentos que no consiguen conectarse.
        #2.1.1 Magdiel Juma - febrero 14, 2011 - 09:45 AM (09:45 horas) (responder)

        • Magdiel,

          Recuerda que esta técnica no es solo para entrar a páginas web. También sirve para abrir archivos zip con claves, entrar a un sistema operativo local, etc.

          Además, en el ejemplo de una clave de una página web, una técnica que se puede utilizar es atacar por ejemplo a 10,000 cuentas serialmente, en donde esperar varios segundos entre intentos no importaría, ya que para cuando uno regrese a provar con la primera cuenta (después de haber probado 9,999 otras) es posible que ya se tengan varias claves obtenidas (pues recuerda que por pura coincidencia, si utilizadas claves débiles, es posible que adivinen tu clave en uno o pocos intentos).
          #2.1.1.1 José Elías (enlace) - febrero 14, 2011 - 10:06 AM (10:06 horas) (responder)

  • Hummm... no se yo... Todo depende del sistema.

    Muchos sistemas sólo permiten unos pocos intentos. Otros introducen un retardo cuando la clave es incorrecta.

    Claro que si hablamos de romper claves de cifrados ya es otra cosa porque podemos hacerlo en nuestro propio equipo y con nuestras propias reglas. Sin embargo, poquísima gente utiliza cifrado y los que lo hacen están conscientes de su importancia.
    #3 anv - febrero 14, 2011 - 05:10 AM (05:10 horas) (responder)

  • Tengo una clave que contiene: 11 caracteres, minúsculas + mayúsculas + números, cuanto se tardaria en averiguarla a la fuerza bruta?
    #4 dionys - febrero 14, 2011 - 07:28 AM (07:28 horas) (responder)

  • Una practica cojonuda es utilizar nmotecnicos de alguna frase facil de recordar. Por ejemplo
    Con cien cañones por banda, viento en popa a toda vela...

    Generaria una clave algo asi:
    c100cxbvepatv
    Incluso si queremos complicarla mas podemos poner la primera en mayusculas, o las vocales, ...
    #5 dixman (enlace) - febrero 14, 2011 - 07:28 AM (07:28 horas) (responder)

  • jeje de mi tiene 17 letras entre mayusculas y minusculas, entonses supongo demorarian "buen" rato jeje
    por mi experiencia , he visto que mucha gente (especialmente jovenes) ponen en su contrasena el nombre de su pareja seguido de "te amor" jejeje me recuerda a los tiempos del colegio cuando queria ser un hacker
    #6 niizuma (enlace) - febrero 14, 2011 - 07:31 AM (07:31 horas) (responder)

  • Mi clave principal, para los sitios importantes. tiene 21 caracteres, sino tiene 10 masomenos.
    Letras, números y símbolos.

    Pero por otro lado, si el hacker no tiene a su disposición una red de zombies, no sería suficiente para detenerlo bloquear el login tras una determinada cantidad de veces que escribe mal el password?

    O sea, a menos que tenga el password encriptado en SU computadora, con, por ejemplo MD5, no creo que un hacker pueda adivinar tan fácilmente un password en un servidor ajeno..
    #7 Zequez (enlace) - febrero 14, 2011 - 08:09 AM (08:09 horas) (responder)

    • Otra cosa importante a entender es que existen otras maneras para obtener tu clave.

      Una sencilla es utilizar un virus troyano que simplemente espere a que entres a páginas cifradas con SSL para después simplemente captar todas las teclas que presiones en tu teclado (un ataque común en Windows).

      Con esa técnica no importa que tan segura sea tu clave, será averiguada casi instantáneamente la utilices...

      Y por eso también es que importante masificar el uso de seguridad biométrica (huellas dactilares, escaneo del iris de tu ojos, etc) que al menos pone una barrera más entre nosotros y los hackers.
      #7.1 José Elías (enlace) - febrero 14, 2011 - 10:12 AM (10:12 horas) (responder)

      • Claro, y entonces vienen los bancos y se les ocurre la idea de poner un teclado en pantalla.

        A eso los hackers responden capturando las coordenadas de los clicks en pantalla.

        Los bancos entonces desordenan el teclado de la pantalla haciendo que cada vez sea diferente.

        Y los hackers responden capturando la imagen de la pantalla alrededor del lugar donde se hace click.

        Moraleja: cuando la gente se empecina en usar un sistema operativo que no es confiable sólo porque "es fácil" y porque "no tienen tiempo de aprender a usar otra cosa" tienen que hacerse a la idea de que están a la merced de un montón de delincuentes que se aprovechan de ellos y de la debilidad intrínseca del sistema. No se trata de si te van a robar algo importante sino de cuándo ocurrirá. Para colmo a veces a los usuarios más avanzados les pasa antes porque se confían.
        #7.1.1 anv - febrero 14, 2011 - 01:03 PM (13:03 horas) (responder)

  • Una pregunta, es igual para cualquier sistema operativo, o tardaria mas descifrando en uno mas que otro?
    #8 Dario - febrero 14, 2011 - 10:26 AM (10:26 horas) (responder)

    • Los algoritmos son independientes de sistemas operativos, por lo que los ataques son similares (nota que hablamos de algoritmos, no del sistema de seguridad completo en sí, que es un asunto totalmente diferente a esto).
      #8.1 José Elías (enlace) - febrero 14, 2011 - 10:38 AM (10:38 horas) (responder)

  • Aparte de usar mayusculas + minusculas + numeros....Es buena practica cambiar la contraseña cada cierto periodo de tiempo :)
    #9 Orlando - febrero 14, 2011 - 11:06 AM (11:06 horas) (responder)

  • Eliax mira esta web http://howsecureismypassword.net/ te dice cuantop tiempo tarda en decifrar tu password ;)

    saludos desde Colombia
    #10 juan isaza - febrero 14, 2011 - 08:44 AM (08:44 horas) (responder)

    • Si van a probar esa página NO escriban su clave real, pues no sabemos quien está detrás de esa página (muy bien podría ser un "cosechador" de claves que alimenta programas que violan cuentas de usuarios).
      #10.1 José Elías (enlace) - febrero 14, 2011 - 11:44 AM (11:44 horas) (responder)

    • "Chivo Juan", jeje!
      #10.2 Wilson - febrero 14, 2011 - 03:24 PM (15:24 horas) (responder)

  • bahhh!! si quieres obtener una contrazeña un ataque de fuerza bruta es lo menos eficiente ai muchisimas maneras de crackear una cuenta de manera mas eficiente, segura y comoda como phishing,troyanos y demas malware 9 44530 años por una contrazeña de 9 caracteres, minúsculas + mayúsculas + números/símbolos cuando el mismo usuario te puede dar la contrazeña sin que se de cuenta...
    #11 n1ckfury - febrero 14, 2011 - 05:17 PM (17:17 horas) (responder)

    • Probablemente si quieras hackear a tu ex novia, eso funcione, quisiera que consigas la clave del tan misterioso "insurance.aes256" usando un troyano.

      ----

      Mi clave tiene 11 dígitos en minuscula, aleatorios, y con simbolos. Creo que es bastante segura jaja.
      #11.1 Dario - febrero 14, 2011 - 05:40 PM (17:40 horas) (responder)

  • Eliax, la otra vez discutía con un tipo que decía tener un software que podía sacar la contraseña de un rar, me imagino que con fuerza bruta usando diccionarios por lo que le dije que bastana que yo inventara una palabra que no exista ni haya existido en la mente de ningún humano para que ese programa no pueda, a lo que el dijo que sí podría, crees que si escojo de password: miauxx, algún hacker o el mismo programa pueda hackearla así no tenga muchas letras sino nada más 6 ?
    #12 Jonás - febrero 14, 2011 - 05:37 PM (17:37 horas) (responder)

    • creo que el atake a fuerza bruta no solo incluye el diccionario sino que prueba todas las combinaciones alfanumericas posibles ejemp. un atake a fuerza bruta seria algo parecido a esto:
      a (denegado)
      aa (denegado)
      ab (denegado)
      ac (denegado)
      az (denegado)
      b (denegado)
      ba
      bc
      bz
      b1...
      c (denegado)
      ca....
      mial...
      miau... (denegado)
      miauxw
      miauxx (acceso autorizado)
      por supuesto no son pocas las combinaciones que el programa deberia probar, serian millones y si tu clave es fuerte hablariamos quizas de decenas de miles de millones de combinaciones.
      #12.1 dionys - febrero 14, 2011 - 07:17 PM (19:17 horas) (responder)

  • Seria interesante saber cuanto tiempo se tardarian para averiguar una clave que tambien este protegida con un pin alfanumerico?

    (Username, then ( password + pin ))

    no

    (Username, then password, then pin)
    #13 Juan - febrero 14, 2011 - 06:52 PM (18:52 horas) (responder)

  • hehe bueno yo estoy bien entonces.... mi clave contiene 15 caracteres entre minúsculas puntos y números...
    #14 Gabriel - febrero 15, 2011 - 04:28 AM (04:28 horas) (responder)

  • 9 caracteres, minúsculas + mayúsculas + números/símbolos: 44530 años

    con esto será suficiente... jejeje
    #15 RubBlog (enlace) - febrero 15, 2011 - 05:15 PM (17:15 horas) (responder)

  • y si intentamos descifrar en el super ordenador chino ??? cuanto tarda???
    #16 RaCzO - mayo 17, 2011 - 12:52 PM (12:52 horas) (responder)

Añadir Comentario
tu nombre
tu email
(opcional)
web personal
(opcional)
en respuesta a...
comentario de caracteres máximo
7 + 9 = requerido (control anti-SPAM)
 

"Qué increible, tantos años de seguirte.. que sensaciones sentiré en estos días sin ni un post de eliax? Realmente me he fanatizado con tu blog, y se lo recomendé a todo el que pude. Todos los días abro mi feedly (antes google reader) y busco primero tus posts, que son los que más me interesa leer. A veces también vengo directo a la página.
Lo que más me ha gustado de eliax es que no te guardaste nunca nada, siempre nos diste tu opinión, siempre abierta y honesta. Tu punto de vista y tu forma de explicar las cosas tan sencillamente. Eh aprendido tanto que estoy muy agradecido.
Ojalá que de vez en cuando se te ocurra escribir otro post que te parezca valga la pena compartir con la comunidad. Estoy seguro de que tenés esa idea.. por lo menos una vez cada tanto.
Te felicito y estaré por siempre agradecido de tus enseñanzas. Lo mejor para vos y que sigas cumpliendo tus sueños, y los compartas con nosotros!
Hasta el 10.000!"

por "Leandro" en feb 9, 2014

en camino a la singularidad...

©2005-2014 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax