Contraseñas y Hackers

Passwords

Today the confidentiality of data is one of the main objectives of computer security and one way to achieve this is through the use of passwords.

Passwords are keys that we use to access our private information that is stored on the computer, such as email, bank accounts or any other source of information storage, whether private or confidential.

The main problem of security is the use of weak contraseñaas for data protection, as this allows intruders achieve systems perform different attacks trying to compromise safety.

One of the best solutions available in such a situation is to use strong passwords or use of conferring a higher degree of safety for the protection of information (Although this does not prevent password can be hacked).

One of the main drawbacks in the use of strong passwords is that they are very complex and tend to be difficult to remember, but there are techniques that allow us useamos these passwords can be saved without andarlas pointing or telling leaves someone else.

Why should we set a strong password?In the wide world of Internet, malicious users are using different tools (eg viruses) with the intention to crack passwords from a remote computer.

This work will make it easier for malicious users, if we (the user) uses weak passwords or easily.

When we speak of weak passwords can mean blank password (no password) using the user's first or last name, a word that appears in a dictionary, the name of the pet or child (a) of the user, etc. .

To preserve the privacy of our data and to protect us from malicious must establish a strong password provided to protect us from the attacks of these intruders.

Having a strong and secure password can significantly reduce this risk class (down but not eliminate).

For example, imagine you are doing online banking transfers and a malicious user to browse the network tries to guess your password using different tools, if your password is weak, it could be easily discovered and the attacker could perform transfers wishing to another account but you will notice it.

page that tells you how secure is your password.http://howsecureismypassword.net

What issues should I consider, and recommendations for the creation and use of passwords?

Don't use in your password personal information that may relate to you. Don't use birth dates, phone numbers, addresses, nicknames, names of family, etc.. because it is relatively easy to find information.Don't use words that can be found in a dictionary (no matter whether they are in a language you do not drive much).Don't disclose your password to anyone.

A malicious user can pretend to be someone else on the phone or via email, and use any false pretext by which need your password.

Change your password periodically. As a good security practice is advisable to change at least once a month, the password in each of the services you use.

Hackers use various tools to try all possible words in dictionaries of several languages seeking to decrypt the password.

Don't make public your password under any circumstances. You should never write your password down, or on a post-it, or in any file or any electronic medium.

Don't use the same password. You should have passwords on each system (social networks, operating systems, bank cards, etc.). Failure to comply with this rule, it is the possibility that someone discovers that password on any of the systems you use, and this could make use of all systems where you have that password.

Never make banking on public computers such as cybers, as these tend to be full of viruses and / or programs that these could get your bank details.

One of the common activities of intruders to compromise a computer equipment is installing keylogger programs that aim to record everything you type from the keyboard to send the intruder later, this includes of course, passwords.

Steps

Don't pick a password that has special meaning to you. This includes names of people close to you, your pet's name or the name of your partner.

A classic mistake is to use the name of your boyfriend or girlfriend "I_love_to_Pepe", "Maria".

Mix letters, symbols, numbers, and uses case sensitive. This combination is known as "semi-random alphanumeric combination." If you use this, it's almost impossible for someone to identify your password. For example "c0ntr4%%. Se43ñi4".

Try to choose a good way to remember your password. One way to do this is to choose the first letter of the sentence that you will use as a base. Example "I have 2 dogs, one is called Pipo and the other Rufi" giving us "Ih2d, oicPatoR".

Try to memorize the password without writing it. Someone could find, intentionally or not, the piece of paper where you wrote your password.

Choose a long password whenever possible. A password must always be greater than 6 characters. Any password can be unsafe smaller because there are programs that may try to enter your system using the "brute force". This program tests all possible combinations of letters and numbers to find the right combination (As we have been doing in crypto).

At least, create a password for sensitive items (online banking, personal email) and one for everything else (MSN, personal sites, wikis, etc.).

An example:

Suppose you have 5 email accounts, 3 operating system password, 3 bank accounts (each with a different password, PIN), 10 different users on forums, wireless number having pin numbers 2-4 (If you a programmer or database administrator multiply that number by 3).

Let's say that for each of these have a variation of "c0ntr4%%. Se43ñi4" Now try to memorize 20 of those sequences! It is very difficult, but if you let each password is according to each situation, then it will be easier.

For example, for the account of the bank, such as PIN numbers are 4 you can choose these in one sentence: "I have three white dogs, 1 cat and all get along great with the 2 mice" would be the sum of all cats and dogs, so the key would be: (3142), and addressed e-mail account can be "I hope no one find out my super secret password!" (Eenamcss!).

Use a password manager. Basically this is a program that allows you to encrypt all your passwords in one file.

To open the program you just need a password. Once you've opened, not even need to know the password, just click "copy password" and copy it into your browser.

There are many free products and don't need to spend money on new software. Get one that does not need to be installed on your system and that can be run from anywhere, computer or storage media: CD ROM, hard drive, USB flash.

== References: ==

http://www.seguridad.unam.mx/usuario-casero/eduteca/main.dsc?id=185http://es.wikihow.com/escoger-una-contrase%C3%B1a-segura

● A finales de 2010, Sean Brooks recibió tres mensajes de correo electrónico en un lapso de 30 horas de advertencia de que sus cuentas en LinkedIn, Battle.net y otros sitios populares corrían peligro. Fue tentado a despedirlos como bulos — hasta que notó que incluyeron características que no son típicas de fraudes de estafadores.

● Los avisos de advertencias y millones de otras personas que recibieron en diciembre de ese año no eran mentiras. Dentro de algunas horas de hackers anonymous penetrando servidores de Gawker y exponiendo las contraseñas protegidas criptográficamente de 1,3 millones de sus usuarios, fueron las contraseñas que se hackearon y utilizándolas para entrar en las cuentas de Twitter y enviar spam.

● En los próximos días, los sitios de asesoramiento obligaron a sus usuarios a cambiar las contraseñas y se amplió para incluir Twitter, Amazon y Yahoo.

● El antiguo arte de hackeo de contraseñas ha avanzado más en los últimos cinco años que en la anterior varias décadas combinado. Al mismo tiempo, ha aumentado la peligrosa práctica de reutilización de contraseña. El resultado: seguridad proporcionada por la contraseña promedio en 2012 nunca ha sido más débil.

Un nuevo mundo

● El usuario Web promedio mantiene 25 cuentas separadas pero utiliza 6.5 contraseñas sólo para protegerlos, según un estudio desde 2007.

● El Hardware más reciente y las técnicas modernas también han ayudado a contribuir al aumento de hackeo de la contraseña. Ahora utilizan cada vez más para la informática, procesadores de gráficos que permiten hackeo de contraseña con programas para trabajar miles de veces más rápidos que lo hicieron sólo una década igualmente al precio de PC que utiliza CPUs tradicionales solos. Un PC con un solo AMD Radeon HD7970 GPU, por ejemplo, puede intentar en promedio unas asombrosas combinaciones de 8,2 billones de contraseña cada segundo, según el algoritmo utilizado para codificarlos. Sólo hace una década, dichas velocidades son posibles solamente cuando se usa superordenadores caros.

● Lo más importante, una serie de fugas en los últimos años que contiene más de 100 millones de contraseñas de reales han proporcionado hackeos con importantes ideas nuevas sobre cómo personas en diferentes ámbitos de la vida eligen contraseñas en sitios diferentes o en diferentes contextos. La creciente lista de contraseñas filtradas permite a los programadores escribir reglas que hagan algoritmos más rápidos y más precisos; los ataques de contraseña se han convertido en ejercicios de cortar y pegar algún script kiddies(personas sin habilidad para programar) y que pueden realizar con facilidad.

● La contribución más importante de hackeo vino a finales de 2009, cuando se atacan una inyección SQL contra Juegos online por servicio RockYou.com exponiendo 32 millones contraseñas de texto simple utilizadas por sus miembros para iniciar sesión en sus cuentas.

● Las claves de acceso, que llegó a 14,3 millones una vez duplicados fueron retirados, fueron publicados en línea; casi toda la noche, el corpus sin precedentes de credenciales reales cambió las manera whitehat blackhat hackers tanto agrietadas y contraseñas

Hashing hacia fuera

● En diciembre de 2010, existían 1,3 millones contraseñas legibles. En cambio, habían sido convertidos en lo que se conoce como "valores hash" pasándolas a través de una función criptográfica unidireccional que crea una única secuencia de caracteres para cada entrada de texto.

● Cuando pasaba por el algoritmo MD5, por ejemplo, la cadena "contraseña" (menos las comillas) se traduce en “5f4dcc3b5aa765d61d8327deb882cf99”

● En teoría, una vez que una cadena se ha convertido en un valor de hash, es imposible volver a texto simple utilizando medios criptográficos. Password cracking(rompimiento o descifrado de claves), entonces, es la práctica de ejecutar conjeturas de texto simple a través de la misma función criptográfica utilizada para generar un hash comprometido. Cuando los dos valores hash coinciden, la contraseña ha sido identificada.

●

“Rockyou” lo haremos

● Tras RockYou, todo cambió en el pasado fueron listas de palabras que compilan de Webster y otros diccionarios que luego fueron modificadas con la esperanza de imitar a la gente de palabras que realmente utilizan para acceder a su correo electrónico y otros servicios en línea. En su lugar fue una colección única de letras, números y símbolos — incluyendo todo, desde mascotas nombres de personajes de dibujos animados, que sería la semilla contraseña futuros ataques.

● Casi tan importante como las palabras precisas que se utiliza para tener acceso a millones de cuentas en línea, el incumplimiento de RockYou reveló las pensamiento estratégico de personas empleadas a menudo cuando escogieron un código de acceso. Para la mayoría de las personas, el objetivo era hacer la contraseña fácil de recordar y difícil de adivinar. No en vano, la lista de RockYou confirmaron que casi todas las letras mayúsculas al principio de una contraseña; casi todos los números y signos de puntuación aparecen al final. También reveló una fuerte tendencia a utilizar el primer nombre seguido por años, tales como Julia1984 o Christopher1965.

● Uno es agregar números o caracteres no alfanuméricos como "!" para ellos, generalmente al final, pero a veces al principio. Otra, conocida como la "mutilación", transformaciones de palabras como "super" o "Princesa" en "sup34" y "Príncipe$ $". Todavía otros anexar una imagen espejo de la palabra elegida, por lo que «libro» se convierte en "bookkoob" y "contraseña" se convierte en "passworddrowssap."

Un poco de tacto

Que sutileza toma todo tipo de formas. Una técnica prometedora es utilizar programas como el Passpal de código abierto para reducir el tiempo de hackeo identificando patrones que exhiben en un porcentaje significativo de contraseñas interceptadas. Por ejemplo, como se señaló anteriormente, muchos de los usuarios del sitio tienden a añadir años a nombres propios, palabras u otras cadenas de texto que contienen una sola letra capital al principio. ● Usando técnicas de fuerza bruta para descifrar la contraseña

Julia1984 requeriría 629 posibles combinaciones, una "clave" que se calcula por el número de posibles letras (52) más el número de números (10) y elevar la suma del poder de nueve (que en este ejemplo es el número máximo de caracteres de la contraseña está dirigida un hacker). Usando un AMD Radeon HD7970, todavía tardaría unos 19 días para recorrer todas las posibilidades.

Utilizando las funciones incorporadas en apps de hackeo de contraseñas como Hashcat y fuerza bruta extrema GPU, la misma contraseña puede recuperarse en unos 90 segundos realizando lo que se conoce como un ataque de la máscara. Funciona reduciendo inteligentemente la clave en sólo esas conjeturas probables que coincidan con un patrón determinado.

● En lugar de intentar aaaaa0000, ZZZZZ9999 y todas las combinaciones posibles entre estas, se trata de una letra minúscula o superior sólo para el primer carácter y trata de caracteres sólo minúsculas para los próximos cuatro caracteres. Luego agrega todos los posibles números de cuatro dígitos al final. El resultado es una clave drásticamente reducida de unos 237,6 billones, o 52 * 26 * 26 * 26 * 26 * 10 * 10 * 10 * 10.

Ataque híbrido

● Una técnica aún más poderosa es un ataque híbrido. Combina una lista de palabras, como el utilizado por Redman, con reglas para ampliar enormemente el número de contraseñas pueden romper esas listas. En lugar de fuerza bruta-obligar a las cinco letras en Julia1984, los hackers simplemente recopilan una lista de nombres para cada usuario de Facebook y agregan a un diccionario de tamaño mediano de, digamos, 100 millones palabras.

● Mientras que el ataque requiere más combinaciones que el ataque de máscara anterior — específicamente aproximadamente 1 trillón (100 millones * 104) posibles cadenas — sigue siendo un número manejable que toma sólo unos dos minutos, usando la misma tarjeta de AMD 7970. La recompensa, sin embargo, es más que vale la pena el esfuerzo adicional, ya que rápidamente quebrara o romperá, Christopher2000, thomas1964 y decenas de otros.

Ataque de diccionario

● Este tipo de rompimiento de contraseña entró el agradecimiento de la conciencia pública en gran medida a la década de 1980 de una novela de suspenso The Cuckoo's Egg, en qué el autor Cliff Stoll relata su búsqueda de la vida real de un hacker que se rompe en los sistemas informáticos y roba militar sensible y documentos de seguridad en nombre de la KGB Soviética.

● El libro está repleto de gente en lugares altos que socava la seguridad nacional con higiene deficiente contraseña — una cuenta en la red de contratista de defensa SRI Inc. con un nombre de usuario y contraseña del "Saco", por ejemplo, o una cuenta de superusuario para Lawrence Berkeley Labs que no había sido cambiado en años.

● "Cuando el dinero fue almacenado en bóvedas, seguro-quebaradas atacaron las cerraduras de combinación," escribe Stoll, quien como un astrónomo desplazado se convierte en el protagonista del libro improbable hacker-caza. "Ahora que los valores son solo bits en la memoria de una computadora, ladrones van tras las contraseñas".

La conexión de arco- Rainbow

● El nucleo de este nuevo enfoque se originó con Martin E. Hellman. En 1980, Hellman publicó un libro titulado "Un criptoanalítico de memoria de tiempo de compensación" que propuso lo que llegó a ser llamado tablas Hellman. Estas tablas fueron compiladas por delante de un ataque de contraseña y trabajadas utilizando previamente calculados de los datos almacenados en disco.

● Las tablas de Hellman redujeron los recursos informáticos necesarios para crackear un hash DES de alrededor de $5.000 a solo $10. En 2003, criptógrafo compañero Phillippe Oechslin propone mejoras a la técnica de Hellman que había mejorado enormemente la eficacia.

● El resultado es ahora lo que se conoce como las tablas de arcoiris. En vez de pedir un equipo para enumerar cada contraseña posible en tiempo real y compararla con un hash específico, los datos previamente calculados eran almacenados en la memoria o en disco en forma altamente comprimida para acelerar el proceso y bajo los requisitos informáticos necesitan para bruta fuerza a enormes cantidades de hashes.

● Cada tabla dirige un algoritmo específico y clave, y contiene una colección de cadenas. Cada cadena se inicia con una contraseña arbitraria por un lado y termina con un valor de hash único en el otro extremo.

● Se pone la contraseña de inicio mediante el algoritmo para generar el hash, y ese valor se pasa a través de uno de los muchos diferente "funciones de reducción" para generar una nueva estimación de contraseña. La nueva contraseña luego es quebrada.

● El proceso continúa hasta que se alcance el hash al final de la cadena

● El avance no fue sólo la velocidad con que las tablas podrían descifrar contraseñas; también fue su habilidad para descifrar casi cada contraseña posible mientras que no caiga fuera de la clave específica.

● Las tablas Rainbow se creen que recibe su nombre debido a que cada eslabón de la cadena utiliza una función de reducción diferentes, pero todas las cadenas siguen el mismo patrón — tanto como cada color en rainbow es diferente pero todos rainbows siguen el patrón ROYGBIV.

El SHA1 no es un algoritmo de hash seguro

● Un gran porcentaje de los sitios que son víctimas de violaciones de contraseña cometer otro error que disminuye aún más la protección de hashes: utilizan algoritmos que nunca fueron diseñados para proteger las contraseñas. Eso es porque MD5, SHA1 y DES fueron diseñados para convertir texto plano hashes muy rápidamente con mínimos recursos de computación, y esto es exactamente lo que las personas que ejecutan programas de descifrado de contraseñas más desean.

● Para apreciar cuán pobre una contraseña hash se seleccionaron estos son

algoritmos , considere esto: El investigador de seguridad independiente Jeremi Gosney tomó cerca de seis días más del 90% de los 6,5 millones hash SHA1 expuestos en el incumplimiento de LinkedIn. Recuperó una quinta parte de las contraseñas de texto simple en sólo 30 segundos. En las siguientes dos horas, él había recuperado otro tercio de ellos. Un día en el ejercicio, había recuperado un total de 64 por ciento, y en los cinco días que siguieron él rajados otro 26 por ciento.

●

● El algoritmo de Bcrypt es incluso más costoso computacionalmente, en gran parte debido a que somete el texto a varias iteraciones del cifrado Blowfish que deliberadamente se ha modificado para aumentar el tiempo necesario para generar un hash.

● Estas funciones costosas computacionalmente requieren mayor servidor de procesamiento, por supuesto. Esto puede aumentar la carga en los servidores Web y aún podía abrirlos hasta nuevos tipos de ataques DoS, dijo Matt Weir, un estudiante post-doctoral de Florida State University, cuyo Doctorado centrado en contraseñas.

Fuerza bruta- Golpeando la pared

● Computación incluso potentes motores tienen problemas para grietas más contraseñas mediante la fuerza bruta. Suponiendo que dicho ataque comprueba todas las combinaciones de todos los 95 letras, números y símbolos disponibles en un teclado estándar de inglés, tarda una cuestión de horas para un equipo de escritorio con un núcleo de Intel procesador i7 980 x fuerza bruta averiguar cualquier contraseña de cinco caracteres.

● Agregar una tarjeta GPU a un sistema sin duda ayuda, pero no tanto como muchos podrían imaginar. Un AMD Radeon 6970 todavía necesita más de 10 días a la fuerza bruta de un código de siete caracteres. Y la pared apenas mineralización incluso cuando significativamente más potentes recursos llegan a tener. Utiliza un sistema de cloud de Amazon EC2 que combina la potencia de más de 1.000 GPUs individuales, todavía tarda unos 10 días a fuerza bruta una contraseña de ocho caracteres.

● Por Thorsheim, un asesor de seguridad que se especializa en contraseñas para una gran empresa con sede en Noruega, dijo que el atributo más importante de cualquier código de acceso es que sea exclusivo de cada sitio.

● Ambas aplicaciones permiten a los usuarios, crear contraseñas generadas aleatoriamente y almacenar de forma segura en un archivo criptográficamente protegido que se desbloquea con una sola contraseña maestra. También es esencial usar un gestor de contraseñas para cambiar contraseñas con regularidad.

● Dada la sofisticación de los hackers, cualquier cosa menos simplemente significa que su contraseña es trivial para romper.