Contraseñas ¿un punto débil en la seguridad?

El uso de contraseñas textuales es el método de autenticación más extendido actualmente pero no faltan los expertos que alertan sobre su cuestionable efectividad  en cuanto a seguridad. En el artículo de hoy hablaré de varios aspectos de seguridad en el uso de las contraseñas y de un tipo de contraseña para mejorar la seguridad en tu entorno de trabajo.

¿Somos predecibles?

¿En una palabra? Sí. Las personas tendemos a crear contraseñas que suelen ser cortas y fáciles de recordar. Tales contraseñas probablemente pertenezcan a un ámbito concreto de nuestra vida. Por tanto, son fáciles de averiguar tras una búsqueda intensiva.

Un estudio encontró que el 87% de las contraseñas están formadas solo por letras minúsculas, números o palabras  del diccionario. Otro análisis de contraseñas de usuarios americanos mostró que más del 60% usan la misma contraseña para la mayoría de sus cuentas y suelen ser de entre 8 y 10 caracteres. Esto sería como tener varias casas y utilizar la misma cerradura y llave para todas.

Existen dos formas principales para robar una contraseña: ataques offline y ataques online. En los ataques offline, se hackea la base de datos de una aplicación. En los ataques online las contraseñas son robadas mediante la interceptación de una red. Mientras que los ataques offline pueden prevenirse muchas veces con buenas técnicas de criptografía, los ataques online presentan un desafío más complejo.

Tres populares medidas de seguridad: ventajas y desventajas

Ante el indeseable escenario de que un hacker intente hacerse con nuestra contraseña, se han diseñado barreras adicionales de seguridad que protegerían la cuenta. Veamos rápidamente algunas de ellas.

1. Una medida muy frecuente es el bloqueo de cuenta. Tras varios intentos introduciendo la contraseña incorrecta es común que la aplicación a la que queremos acceder se bloquee. El bloqueo de la cuenta puede ser bueno para prevenir ataques de robo de contraseña. Sin embargo, esta protección hace al sistema vulnerable a los llamados ataques de “denegación de servicio”. En este ataque el delincuente tiene el objetivo de denegarnos el acceso a la cuenta simplemente probando contraseñas aleatorias hasta que se bloquee. Por ejemplo atacantes que compiten en subastas online utilizan esta técnica para denegar el acceso a otros competidores que compiten en la misma subasta.

2. Otro método muy utilizado y especialmente molesto es el retraso en la respuesta. Esta protección consiste en que el sistema no nos confirma si nuestra contraseña es la correcta de inmediato sino que nos deja esperando unos segundos. Esta protección evita que el delincuente pruebe demasiadas contraseñas en un periodo de tiempo razonable. Básicamente retrasa a todo el que intente penetrar en el sistema probando contraseñas.

Esta protección aunque efectiva en ordenadores locales, no es útil para proteger cuentas online. El atacante puede probar varias combinaciones a la vez porque normalmente las cuentas online permiten tener varias sesiones de distintos usuarios abiertas al mismo tiempo.  

3. Por último, para protegernos ante máquinas programadas para deducir nuestra contraseña, algunos sistemas añaden una barrera de seguridad extra: el CAPTCHA. Este acrónimo significa Completely Automated Public Turing Test to tell Computers and Humans Apart.

Probablemente te has topado con esta protección en alguna cuenta que tengas en Internet. La aplicación nos presenta normalmente una imagen borrosa de una palabra y nos pide que la tecleemos. Los ordenadores programados que atacan nuestras cuentas online lo tienen más complicado para identificar la imagen que un humano.

Sin embargo, debido a los avances en inteligencia artificial, se han desarrollado programas que pueden identificar fácilmente estas imágenes.

Contraseñas mnemotécnicas ¿la solución al problema?

Una contraseña mnemotécnica es un conjunto de caracteres que hacen referencia a una frase aleatoria que memorizamos. Es básicamente un acrónimo para un conjunto de palabras fáciles de recordar. Un ejemplo sería: “Mi vecino es un pesado regando las plantas”. La contraseña podría ser algo como “MvE_Upr*LP#”. No es precisamente intuitiva si no eres la persona que creó el acrónimo ¿verdad?

Esta práctica es frecuentemente recomendada por las aplicaciones cuando nos estamos creando una cuenta con nuestros datos. La fuerza de una contraseña mnemotécnica se deriva principalmente de 2 aspectos:

  1. Las personas recordamos fácilmente códigos mnemotécnicos.
  2. Es muy improbable deducir una regla mnemotécnica incluso si probáramos millones de combinaciones (siempre que la frase sea propia y no sea una cita famosa).

Un estudio de la Bauhaus University, analizó en profundidad varios aspectos de las contraseñas mnemotécnicas en relación a su seguridad. Estas son algunas de sus principales conclusiones:

  1. El efecto que tiene la longitud de la contraseña en su seguridad. Como se esperaban, la seguridad de la contraseña aumenta progresivamente cuanto más larga es la contraseña.
  2. La complejidad de la frase usada para crear la regla mnemotécnica es especialmente efectiva cuando el atacante tiene un número limitado de intentos para acceder a la cuenta.
  3. Si la aplicación no prohíbe expresamente el uso de frases famosas en la creación de una contraseña, el atacante puede incrementar significativamente sus posibilidades de éxito gracias a sus conocimientos sobre procesos de generación de contraseñas. existen procedimientos de hackeo para hacer combinaciones hasta que se da con la contraseña escogida. Tales procedimientos son más eficaces cuando la contraseña se forma a partir de una frase común o conocida.
  4. Aunque este tipo de contraseñas son fuertes ante ataques offline, son relativamente más débiles ante ataques online.

La psicología tras las contraseñas mnemotécnicas

Múltiples estudios sobre la psicología de la memoria apuntan a que los humanos recordamos mejor palabras relacionadas con experiencias propias. Por esta razón la mayoría de usuarios tienen contraseñas que incluyen información personal. Pero este tipo de contraseñas son débiles porque son fácilmente deducibles. Sin embargo, utilizar la fácil memorabilidad de hechos personales para crear contraseñas aparentemente aleatorias podría mejorar considerablemente la seguridad.

Otra característica psicológica es que recordamos mejor las palabras que generamos nosotros mismos en lugar de palabras que nos muestran. Esto se conoce como efecto de generación. Por otro lado, la memoria puede potenciarse agrupando elementos de la contraseña en varias unidades o “trozos”. Recordamos las contraseñas más fácilmente si sus caracteres están agrupados en varias unidades en nuestra mente. Por ejemplo, dada una contraseña “estaesmicontraseñaindescifrable” nuestra mente puede procesarla por unidades -“EE-MC-IDSFR” – para recordarla mejor.

Esto funciona porque se reduce el número de componentes de información que tenemos que procesar. Sin embargo, esto solo es efectivo si el modo en que agrupamos la información no es aleatorio, sino que tiene algún significado para nosotros.

Rizando el rizo

Las contraseñas mnemotécnicas son una interesante técnica para aumentar la seguridad y son ampliamente aceptadas por los expertos. Pero la tendencia de las personas a crear contraseñas débiles trasciende incluso a esta modalidad de protección. Mucha gente opta por utilizar frases de canciones o de personajes famosos como regla mnemotécnica lo cual hace a la contraseña muy vulnerable ante los hackers. ¿Sería posible implementar un sistema que combine la memorabilidad de una contraseña mnemotécnica con la seguridad que ofrece una contraseña complicada?

En un artículo publicado por la Universidad de Columbia, los autores propusieron un modelo de generación de contraseña revertido. En lugar de generar una frase mnemotécnica y luego la contraseña, primero producir un conjunto de caracteres aleatorios y a partir de ahí generar una frase con significado personal que ayude a recordarlos.

Las contraseñas mnemotécnicas pueden ser vulnerables ante ataques elaborados especialmente si la contraseña se forma a partir de una frase famosa. El enfoque de la Universidad de Columbia propone la creación de sistemas que generen una contraseña aleatoria a partir de la cual el usuario crea una frase que encaje con la contraseña y que sea fácilmente memorable.

Gracias al efecto generación recordamos bien la contraseña porque la frase ha sido creada por nosotros. Los autores proponen que el usuario se base en información personal como eventos o fotografías para que la contraseña sea única y con un significado altamente personal.

Conclusión

En conclusión, el uso de contraseñas textuales fáciles de deducir es muy desaconsejable. Como hemos visto, los hackers pueden deducir tu contraseña o entorpecer el uso de tus cuentas.

En general ninguna contraseña nos garantiza la protección total de nuestros datos, pero si valoramos nuestra información debemos usar contraseñas que reduzcan lo máximo posible el riesgo de que accedan a nuestras cuentas. ¿Usas en tu trabajo o en tu ordenador personal contraseñas mnemotécnicas? ¿Cómo de segura crees que esta tu información?

Referencias

Goyal, V., Kumar, V., Singh, M., Abraham, A., & Sanyal, S. (2005, April). CompChall: addressing password guessing attacks. In Information Technology: Coding and Computing, 2005. ITCC 2005. International Conference on(Vol. 1, pp. 739-744). IEEE.

Kiesel, J., Stein, B., & Lucks, S. (2017). A large-scale analysis of the mnemonic password advice. In Proc. NDSS.

Li, Z., He, W., Akhawe, D., & Song, D. (2014, August). The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers. In USENIX Security Symposium(pp. 465-479).

Nizamani, S. Z., Hassan, S. R., & Naz, R. (2017). A Theoretical Framework for Password Security against Offline Guessability Attacks. Indian Journal of Science and Technology, 10(33).

Wijesekera, P., Cherapau, I., Samarakoon, A., & Beznosov, K. Cued Mnemonics for Better Security and Memorability. Who are you, 1-3.

Imágenes

Imagenpor Malte Lu 

Imagenpor Christina Morillo

Leave a Reply

Your email address will not be published.