¿Podría considerarse un riesgo el uso de una clave generada desde un servicio en línea?

Navega tus respuestas
4

Con algunos colegas, estamos teniendo un debate sobre el sitio web randomkeygen.com .

Creo que existe un riesgo de seguridad al usar las claves generadas de este sitio web (o de cualquiera de este tipo).

¿Por qué? Aquí están mis pensamientos:

¿Qué impide que el propietario del sitio web almacene la contraseña generada dentro de una base de datos y la libere como un ataque de diccionario?

Sé que las combinaciones de contraseñas generadas no son infinitas, pero ¿qué pasa si con este diccionario los piratas informáticos intentan una contraseña que saben que se ha generado (por lo que es más probable que se use)?

Incluso podemos pensar en un mapa de calor utilizado por Analystics para saber qué tipo de contraseñas generadas se utilizan para limitar el alcance de las contraseñas posiblemente utilizadas (o incluso un Javascript que envía la contraseña a la base de datos una vez que se ha copiado en el portapapeles). , pero eso es un poco demasiado obvio para mi demostración).

PD: no trabajo en seguridad, así que siento pena si digo cosas equivocadas. Sé que mi teoría no es una gran "brecha de seguridad" pero si la vemos solo de forma estadística, hay más posibilidades si reducimos el número de contraseñas posibles.

Entonces, ¿podría considerarse como un riesgo el uso de una clave generada desde un servicio en línea?

    
pregunta Tristan 11.02.2014 - 16:12
fuente

3 respuestas

1

Depende de tu perfil de ataque, pero sí, teóricamente es un riesgo. Es un vector de ataque probable? No. Los ataques típicos utilizan permutaciones en diccionarios de contraseñas comunes. Dicho diccionario debe ser lo suficientemente grande para obtener la mayoría de las contraseñas y lo suficientemente pequeño para ser práctico.

Y, de hecho, muy pequeño es bastante práctico. De acuerdo con un análisis de algunas contraseñas recientemente filtradas, un diccionario de solo 100 contraseñas lo pone alrededor del 40% de todas las cuentas, mientras que 500 te da el 71%. Hay diccionarios disponibles de decenas de miles de contraseñas reales filtradas, por lo que los atacantes normalmente no tienen que adivinar.

No obstante, existe la posibilidad de que el sitio sea malicioso y registre las contraseñas que genera. O tal vez su propietario sea menos competente, y en realidad está generando contraseñas basadas en un generador de números aleatorios roto .

Puede aliviar el primer problema generando sus contraseñas en su propia computadora. Hay herramientas como LastPass que pueden realizar este mismo proceso localmente en el navegador como una extensión.

Esmuyprobablequeestascontraseñasseanlosuficientementealeatorias,loquequieredecirquenoapareceránenlalistatop50,000.Si exhibe algún sesgo puede determinarse mejor haciendo un análisis estadístico. Por lo general, utilizan el crypto RNG incorporado del sistema, que suele ser bastante seguro.

Pero incluso entonces, el peligro de tener una contraseña con un sesgo del 1% lejos de ciertos valores no es particularmente problemático para una contraseña única. Los problemas surgen cuando creas un número estadísticamente significativo de estas contraseñas (miles, millones) de manera que el sesgo se convierta en un patrón. Tal como está, un atacante no se molestará en ajustar su algoritmo para que coincida con el sesgo de un generador de contraseñas dado; no es con su tiempo: Una contraseña de 122 bits forzada de forma brutal no es más factible que una contraseña de 128 bits.

Si tu contraseña es larga y razonablemente impredecible, entonces estás razonablemente seguro.

    
respondido por el tylerl 11.02.2014 - 20:53
fuente
5
  1. Nada le impide almacenar la contraseña
  2. Sí, es un riesgo, porque no sabes lo que está sucediendo con la clave asignada en el backend del sitio web

Escribir un keygen adecuado no es difícil, hay muchos ejemplos sobre cómo escribir un script simple que haga esto por ti. Sin embargo, es importante que utilice la cantidad correcta de entropía para la aleatoriedad de la clave generada. Consulte la La respuesta de Bear aquí .

    
respondido por el Lucas Kauffman 11.02.2014 - 16:18
fuente
1

Otra cosa a tener en cuenta es que el sitio en sí puede ser de buen carácter y no mantiene un registro de los valores generados, pero podría ser posible que sus valores generados se encuentren en la red.

Se accede al sitio randomkeygen.com en su ejemplo a través de HTTP simple, por lo que es vulnerable a un MITM . En el momento de escribir no hay una versión HTTPS, esto parece darle la página Servidor Apache predeterminado y una advertencia de certificado.

Sin embargo, hay otros servicios como random.org que admiten HTTPS para garantizar que sus valores generados no puedan ser detectados.

En sus propias Preguntas frecuentes , este sitio advierte contra el uso de valores por razones de seguridad:

  

P2.4: ¿Están los números disponibles de manera segura?   Sí, desde abril de 2007 puede acceder al servidor a través de enlace

     

Probablemente deberíamos tener en cuenta que al obtener los números a través de HTTP seguro los protegerá de ser observados mientras están en tránsito, cualquier persona realmente preocupada por la seguridad no debe confiar en nadie (incluido RANDOM.ORG) para generar sus claves criptográficas.

Diría que esto se aplica a todos los servicios de terceros y que realmente debería generar sus propias claves utilizando su propio software local. El software RoboForm incluye un generador de contraseñas seguro:

    
respondido por el SilverlightFox 13.02.2014 - 11:56
fuente

Lea otras preguntas en las etiquetas

¿Cómo se combinan los exploits y las cargas útiles? ¿La verificación en dos pasos de Google / Dropbox / Github cuenta como factor doble?