Jorge Alberto Mussuto Sr.

Jorge Alberto Mussuto Sr.
Somewhere in Massachusetts ®

Sunday, February 14, 2010

Malos habitos con las contraseñas


 Noticias de Seguridad Informática2/14/10 9:48 AMnoreply@blogger.com (www.segu-info.com.ar)contraseñas
Leo en The Register una nota sobre un estudio realizado a un base de datos de contraseñas ( 32 millones )que fueron expuestas en un ataque al sitio RockYou. Las passwords almacenadas en plaintext, revelaron que las mayores frecuencias estaban dadas por :
  1. 123456
  2. 12345
  3. 123456789
  4. Password
  5. iloveyou
  6. princess
  7. rockyou
  8. 1234567
  9. 12345678
  10. abc123
El estudio revelo que el 50% (16 millones !!! ) de las passwords, utilizaban nombres, slangs ( una especie de lunfardo ), palabras del diccionario y series consecutivas de letras y números.

Mas alla de la seguridad de las passwords, una vez mas vemos como también es peligroso utilizar la misma contraseñas en diferentes sitios. Quien tenia la misma contraseña en el sitio RockYou que en su cuenta de Gmail/Hotmail/Yahoo, quedo expuesto a problemas catastróficos, si además utilizaba estas cuentas para recuperar las passwords de otros sitios.

El sitio CXO realizo un excelente grafico utilizando la herramienta de Gmail que mide que tan "segura" es la password ingresada.¿Recuerdan este pot sobre el tamaño de las contraseñas?
Me tomé el trabajo de hacer lo mismo con la herramienta de Microsoft.

¿Sorprendente no?

¿GMail otorga una falsa sensación de seguridad o Microsoft es demasiado rígido?

En los ejmplos, Google crea una falsa sensacion de seguridad, al menos con passwords como "enzoferrari" al declararla como "buena".
Por otro lado debo decir que el validador de Google otorga a "enzoferrar" un valor de "strong" y le quita fortaleza al encontrar el nombre completo....

En la página de pruebas de passwords MS recomienda :
A strong password should appear to be a random row of characters. It should be at least 14 characters long. It should include a combination of uppercase and lowercase letters, numbers, punctuation, and symbols.
Por otro lado los tips de seguridad de Google :
Tips for creating a secure password:
Include punctuation marks and/or numbers.
Mix capital and lowercase letters.
Include similar looking substitutions, such as the number zero for the letter 'O' or '$' for the letter 'S'.
Create a unique acronym.
Include phonetic replacements, such as 'Luv 2 Laf' for 'Love to Laugh'.
Things to avoid:
Don't use a password that is listed as an example of how to pick a good password.
Don't use a password that contains personal information (name, birth date, etc.)
Don't use words or acronyms that can be found in a dictionary.
Don't use keyboard patterns (asdf) or sequential numbers (1234).
Don't make your password all numbers, uppercase letters or lowercase letters.
Don't use repeating characters (aa11).
La mayor diferencia esta en el largo de las passwords.

Resulta interesante notar que para Microsoft la password :
abcd1234 tiene una seguridad MEDIUM y para Google resulta en WEAK.

En cambio, en la empresa de Redmond:

dethknight55 resulta en una password WEAK y para Google la password es STRONG

Fuente: Deny All

No comments:

Blog Archive

Quilts

Where am I?