¿Por qué es importante la seguridad de la contraseña?

  

El análisis de los 32 millones de contraseñas recientemente expuestas en la violación del desarrollador de aplicaciones de redes sociales RockYou el mes pasado proporciona una prueba más de que los consumidores utilizan de forma habitual credenciales de inicio de sesión fáciles de adivinar. Las credenciales de inicio de sesión confidenciales, almacenadas en texto sin formato, se dejaron expuestas debido a un error de inyección de SQL en el sitio web de RockYou.

  

Los correos electrónicos y contraseñas de aproximadamente 1.3 millones de usuarios registrados, incluidos aquellos El propietario de Gawker Media, Nick Denton y sus empleados, fueron accedidos y posteriormente publicados en línea.

  

El sitio web de redes sociales LinkedIn fue pirateado el 5 de junio de 2012, y se robaron las contraseñas de casi 6.5 millones de cuentas de usuarios

  

Una llamada colectiva de hackers En sí mismo, D33Ds Co. publicó públicamente más de 450,000 credenciales de inicio de sesión, es decir, nombres de usuario y contraseñas emparejados, obtenidos del sitio "Contributor Network" de Yahoo.

  

Todo comenzó cuando Adobe denunció el incumplimiento de más de 3 millones de clientes " información (incluida la información de identificación de contraseña), luego aumentó el número a 38 millones. La semana pasada se puso mucho peor cuando una empresa externa encontró los datos de unos 152 millones de clientes de Adobe en un sitio frecuentado por ciberdelincuentes.

  

El pirata informático turco Maxn3y borró avadas.de el sábado (archivo aquí) antes de deshacerse de lo que el pirata informático afirmó que era Detalles del cliente en línea. La información supuestamente filtrada incluía archivos de configuración incompletos para el dominio shop.avadas.de, lo que parecían ser auténticos detalles de inicio de sesión de administrador con contraseñas cifradas y, lo que es más importante, lo que los expertos en seguridad creen que es la información de pago de PayPal para un estimado de 20,000 consumidores. Según Cyberwarnews.info, que analizó el volcado de datos, los piratas informáticos también tomaron las direcciones de correo electrónico, los nombres de usuario, las contraseñas cifradas y ciertos datos bancarios y de pago de los clientes.

  

Miles de clientes de Tesco han publicado sus correos electrónicos y contraseñas en línea después de que los piratas informáticos consiguieron el inicio de sesión detalles.

...

Confiar en el límite de velocidad de los ataques con contraseña es bueno hasta que se filtre la base de datos de contraseñas.

Cuando la base de datos de contraseñas está en texto simple, el juego termina con esta contraseña. No puede mitigar eso al tener una contraseña segura, solo al no reutilizar la misma contraseña (o una contraseña fácil de modificar, como swordfish!Yahoo vs swordfish!Tesco ) en diferentes sitios.

Cuando la base de datos de contraseñas está oculta, los atacantes tardan un tiempo en realizar una búsqueda fuera de línea y encontrar las contraseñas. Cuanto más fuerte sea la contraseña y el mejor el hash, más tiempo necesitará el atacante . Si su contraseña es lo suficientemente segura, es posible que tenga la oportunidad de cambiarla antes de que cualquier atacante encuentre su contraseña. Esto pone a los usuarios en competencia: las contraseñas más débiles serán las primeras en ser explotadas. Incluso en este caso, deberás cambiar la contraseña en cualquier lugar que la uses, lo que aboga fuertemente por las contraseñas genuinas del sitio.

Supongamos que tiene una red de bots que puede distribuir los intentos de inicio de sesión a través de muchas direcciones IP únicas de clientes (lo suficiente como para que alguien simplemente no le coloque un firewall), y desea usar su red de bots para adivinar los inicios de sesión correctos en popularwebsite.com fuerza. Supongamos también que popularwebsite.com bloquea una cuenta de usuario después de 5 intentos de inicio de sesión incorrectos seguidos.

No hay problema. Aumente su botnet y lance 1000 intentos de inicio de sesión por segundo, desde un conjunto muy disperso de IP de origen. Cada intento de inicio de sesión utiliza una de las contraseñas más comunes ( 123456 , password , etc.) e intenta adivinar una cuenta de usuario con esa contraseña. (Debería ser fácil si tienen una base de datos de direcciones de correo electrónico para obtener ideas). ¿ popularwebsite.com deja de aceptar todos los intentos de inicio de sesión con esa contraseña si no adivina el usuario correcto? lo suficientemente rápido? ¡Lo dudo!

Entonces, ¿cuáles son nuestras perspectivas aquí? Primero hagamos algunas suposiciones:

• El 20% de los nombres de las cuentas de usuario que creemos que realmente existen (los factores que afectan esto incluyen el número bruto de cuentas, la correlación entre la cuenta de usuario y la dirección de correo electrónico, la calidad de nuestra base de datos de correo electrónico)
• El 4.7% de los usuarios usa password como su contraseña

Esto significaría que si probamos password como la contraseña cada vez, la probabilidad de que un inicio de sesión adivinado individual sea correcto es:

47 / (1000 * 5) = 0.94%

Entonces, si somos 20% efectivos adivinando cuentas de usuarios reales, entonces recibimos un impacto sobre cada 106 intentos al hacer esto, o aproximadamente 10 éxitos por segundo con nuestra botnet imaginaria. Esto es sin ningún tipo de compromiso o aprovechamiento del lado del servidor, solo adivinar inicios de sesión. Y si nuestra botnet se ejecuta en las PC domésticas de los usuarios, la única forma en que el objetivo puede detener el ataque es forzar al 4.7% de sus usuarios a cambiar su contraseña, lo que los ahuyentaría a algunos y simplemente comenzaremos de nuevo con 123456 .

Pero si la gente usa contraseñas que nadie más usa, no es tan fácil hacer que este ataque valga la pena.

Las personas con intenciones maliciosas podrían robar información confidencial (es decir, contraseñas) a través de los siguientes métodos.

• Intrusión de host

Ejemplo: el pirata informático malintencionado toma un empleo para la empresa atacada como desarrollador en un contrato de 3 meses y recibe una cuenta de shell en un servidor con privilegios limitados y le pido al administrador del sistema que compruebe si hay un problema desconocido que dificulta mi trabajo. Logré persuadirlo para que me diera privilegios de root a un script de shell escrito por mí durante cinco minutos, ya que ayuda a personalizar el entorno de trabajo y acelera enormemente mi proyecto. Como está ocupado con otras cosas y tiene una reunión en diez minutos, me otorga privilegios de root a mi script personalizado durante 10 minutos. He configurado una captura, el script malicioso se ejecuta con privilegios de raíz, que envía por correo electrónico el archivo /etc/shadow a la cuenta de correo electrónico de mi empresa. Unas semanas más tarde, después de que haya otorgado el acceso a mi VPN, haré VPN desde la máquina de mi casa y recibiré una copia / pegado del correo electrónico de mi empresa en el escritorio de mi casa. Obtuve los hashes de contraseña.

• Acceso físico no autorizado a estaciones de trabajo

Ejemplo: un pirata informático malintencionado toma un empleo como limpiador para el negocio de limpieza que está subcontratando a los subcontratos de la empresa. Tiene acceso autorizado a las instalaciones del departamento de TI, incluido el administrador del sistema o el escritorio del jefe de desarrolladores. Busca contraseñas o información confidencial en notas post-it, o intenta encontrar estaciones de trabajo desbloqueadas, etc. Tarde o temprano encontrará una. Imagine la terminal abierta del administrador del sistema que accidentalmente dejó su terminal de shell abierta después de que se fue a casa de prisa. Por supuesto, los privilegios sudo con root acceso todavía están abiertos porque se había olvidado de bloquear su estación de trabajo ... mientras limpia su escritorio, limpia el polvo de su teclado, mira a su alrededor, nadie está mirando , toda la oficina está vacía, todos se habían ido a casa por el día. Rápidamente escribe cat /etc/shadow | mail [email protected] y obtiene los hashes de contraseña.

• Ataque XSS

Ejemplo: contra un servidor web mal protegido, un pirata informático malintencionado ejecuta un script XSS, donde la inyección de código ejecuta un comando que le envía por correo el archivo llamado /root/my.cnf que el administrador del sistema había olvidado eliminar desde el servidor web. con MySQL se había configurado. Había pensado que su directorio HOME era seguro de todos modos, por lo que pensó que eliminar archivos, incluidas las contraseñas de HOME de root, no era una prioridad. La contraseña de MySQL es la misma que la contraseña root en esa máquina. Con la contraseña de root, no es nada fácil obtener otra información confidencial para las contraseñas de otros servidores más protegidos.

Los métodos anteriores son, creo, no ingeniería social. Espero que esto ayude a ampliar su imaginación :)

Me parece que estás confundiendo varias capas de seguridad. el cifrado de un archivo es el único nivel de seguridad que podría ser la codificación md5, que sería un tipo de codificación. entonces usted tiene la fuerza de compresión asociada con el md5-2048 sería de grado militar. La otra capa de seguridad es la fuerza de su contraseña, cuanto más compleja mejor. Ahora, si desea adjuntar una contraseña, debe preguntar cuál es la razón, y es la contraseña realmente lo que se necesita para evaluar la vulnerabilidad de un sistema o puede encontrar una solución alternativa.

• Si desea utilizar el mejor método posible, vaya a una computadora cuántica.jk.

Rick