Ataques a los password

Desde los sistemas más simples hasta algunos increíblemente sofisticados, en su mayoría dependen de algo tan vulnerable como es el ingreso de un password o clave secreta.

Pareciera que hasta el momento los aparatos biométricos (que leen huellas digitales, iris, forma de la cara, etc.) no han dado un resultado lo suficientemente confiable como para reemplazar este viejísimo y no muy seguro método de autentificarse. Tenemos password para rato.

Los problemas básicos de los password son de todos conocidos: se olvidan, se comparten con personas de confianza que luego podrían resultar no tan confiables, se propagan como los rumores y después de un tiempo el secreto pasa a ser un chiste.

Sin contar con los siempre atentos métodos de la "ingeniería social" que van desde mirar por encima del hombro hasta hacer falsos llamados telefónicos haciéndose pasar por personal del servicio técnico que pregunta casualmente ¿cual es su clave?. Nuestra dependencia de claves secretas es creciente y cada día más importante tanto en la confidencialidad de nuestras comunicaciones como en el manejo de nuestro dinero. A continuación veremos algunas de las principales técnicas de ataque a password conocidas.

Fuerza bruta

¿Por que son exitosos los ataques de fuerza bruta?, estos consisten en generar e ir probando con todas las combinaciones de letras posibles hasta dar con el password. Sin embargo muchos sistemas (no todo, ni mucho menos) niegan el acceso después de un determinado número de fallas. Como ejemplo trate de ingresar al correo yahoo de alguien sin saber la clave; al cuarto intento será echado fuera.

Una de las razones es que la gente tiende a usar passwords extremadamente fáciles de adivinar lo que permite ingresar en un muy corto número de intentos (fecha de nacimiento, número de teléfono o de la casa son paswords extensamente usados).

La mayoría de los ataques "profesionales" de fuerza bruta se hace "offline", es decir que se obtiene el archivo que contiene la lista encriptada de passwords y se trabaja desde la propia casa, sin necesidad de estar conectados. Si un password tiene cuatro números hay 10*10*10*10 combinaciones posibles, es decir solo 10.000 combinaciones. Un ataque de fuerza bruta sobre un password de este tipo es sumamente fácil ya que cualquier PC casero puede manejar con comodidad alrededor de 1.000.000 de combiunaciones por segundo.

Antes de probar con todas las combinaciones posibles se hace un ataque de diccionario, es decir se prueba con todas (o la mayoría) de las palabras conocidas en un idioma dado: un buen diccionario tiene entre 100 mil y 200 mil palabras y es un excelente punto de partida. Nótese que un ataque de diccionario no es lo mismo que un ataque de pura fuerza bruta, que prueba todas las combinaciones posibles.

Un ataque de fuerza bruta "pura" teóricamente no puede ser resistido por ningún sistema, siempre y cuando se disponga del tiempo suficiente. Así, las claves lo suficientemente largas ponen una limitación física al éxito de estos ataque, pero no lógica. Estas limitaciones físicas son dinámicas y van disminuyendo a medida que los computadores van alcanzando más capacidad de proceso.

Otra técnica para obtener passwords es mediante el uso de "sniffers" es decir programas que interceptan nuestras comunicaciones y registran los password. Cuando existe una política que obliga a cambiar passwords cada cierto tiempo estos cambios también son facilmente predecibles porque a menudo consisten en agregarle cortas secuencias de números a una misma raíz original. Se dice que el 90% de los password usados comunmente en los ambientes de hogar y negocios pueden ser fácilmente obtenidos por una combinación de los métodos ya mencionados.