Costumbres

argentinas en el

uso de

passwords

1111

28 de septiembre de 2011

Buenos Aires - Argentina

Santiago Kantorowiczskantorowicz@cybsec.com

2222

Un algoritmo de encripción o hash es tan seguro como la

complejidad de la contraseña utilizada.

Forma de autenticación que utiliza información secreta

para controlar el acceso hacia algún recurso.

1. Fácil de recordar

2. Difícil de adivinar por personas (desconocidas y

conocidas)

3. Difícil de obtener computacionalmente

Costumbres argentinas en el uso de passwords

¿Qué son las contraseñas?

ContraseContraseContraseContraseññññasasasas

3333

• Interno

• hashes de usuarios de dominio

• Externo

• contraseñas/hashes obtenidas de bases de datos

mediante SQL Injection

Costumbres argentinas en el uso de passwords

¿Cómo se obtienen las contraseñas?

Intento de intrusiIntento de intrusiIntento de intrusiIntento de intrusióóóón Controlado (Pen Test)n Controlado (Pen Test)n Controlado (Pen Test)n Controlado (Pen Test)

Hacking ilegalHacking ilegalHacking ilegalHacking ilegal

• Caso Sony

4444

Cracking de contraseCracking de contraseCracking de contraseCracking de contraseññññasasasas

• Fuerza Bruta (a, aa, aaa, b, bb…)

• Diccionario (genérico - dirigido)

• Combinado

Hash LM: 448E79D7771FB40DAAD3B435B51404EE

Contraseña: Cybsec

Herramienta por excelencia: John the RipperJohn the RipperJohn the RipperJohn the Ripper

Costumbres argentinas en el uso de passwords

¿Como se obtienen las contraseñas?

5555

EstadEstadEstadEstadíííísticassticassticassticas

• Contraseñas de dominio de 10 organizaciones (LM)

• 34.460 Contraseñas

• Historial de contraseñas

• Software desarrollado in-house

Costumbres argentinas en el uso de passwords

Estadísticas

6666

Diccionario trivialDiccionario trivialDiccionario trivialDiccionario trivial

1234561234567

12345678

000000000000000

quertyquerty123

111111111

111111

passwordpa$$w0rd

adminadministradoradministrator

Costumbres argentinas en el uso de passwords

Estadísticas

7777

0,8% 0,8%

44,7%

35,2%

6,1%3,7%

1,0% 1,6%

7,3%

31,2%

0,0%

5,0%

10,0%

15,0%

20,0%

25,0%

30,0%

35,0%

40,0%

45,0%

50,0%

1 2 3 4 5 6 7 8 9 10

Nombre de organizaciNombre de organizaciNombre de organizaciNombre de organizacióóóónnnn

• “Empresa2011”

• Contraseñas por defecto

Costumbres argentinas en el uso de passwords

Estadísticas

8888

Diccionario espaDiccionario espaDiccionario espaDiccionario españñññolololol

Diccionario de 50.000 palabras de 6 o más caracteres

Costumbres argentinas en el uso de passwords

Estadísticas

9999

Diccionario NombresDiccionario NombresDiccionario NombresDiccionario Nombres

Diccionario de 3.200 nombres de 5 o más caracteres

Incluyen

21%

No

Incluyen

79%

Costumbres argentinas en el uso de passwords

Estadísticas

10101010

5,13% 5,07%

0,68%

2,22%

0,00%

5,15%

3,41%

9,70%

10,73%

6,25%

0,00%

2,00%

4,00%

6,00%

8,00%

10,00%

12,00%

1 2 3 4 5 6 7 8 9 10

Parte del nombre de usuario en contraseParte del nombre de usuario en contraseParte del nombre de usuario en contraseParte del nombre de usuario en contraseññññaaaa

Al menos 6 caracteres consecutivos del nombre de usuario

Usuario: “jose.gonzalez” Contraseña: “Gonzalez71”

Costumbres argentinas en el uso de passwords

Estadísticas

11111111

Historial contraseHistorial contraseHistorial contraseHistorial contraseññññasasasas

Contraseñas con lógica consecutiva

• “Secreto10”

• “Secreto11”

• “Secreto12”

Utilizan

anterior

14%

No utilizan

86%

Costumbres argentinas en el uso de passwords

Estadísticas

12121212

Longitud contraseLongitud contraseLongitud contraseLongitud contraseññññasasasas

Caracteres promedio

0

2000

4000

6000

8000

10000

12000

14000

16000

3 4 5 6 7 8 9 10 11 12 13 14

Costumbres argentinas en el uso de passwords

Estadísticas

13131313

CCCCáááálculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraseññññaaaa

Alfabeto Cantidad de caracteres

Letras Mayúsculas 26

Letras Minúsculas 26

Números 10

Símbolos 10

TotalTotalTotalTotal 72727272

Costumbres argentinas en el uso de passwords

Cálculo de complejidad

14141414

CCCCáááálculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraseñññña: Fuerza brutaa: Fuerza brutaa: Fuerza brutaa: Fuerza bruta

#de caracteres Combinaciones Tiempo (NT MD4 Hash)

4 107 1 segundo

5 109 1 minuto

6 1010 1 hora

7 1012 3 días

8 1014 235 días

9999 1010101016161616 45 a45 a45 a45 aññññosososos

10 1018 3300 años

11 1020 240.000 años

Procesador: Pentium Dual-Core E5200 @ 2.50GHz17.750.000 contraseñas por segundo

Costumbres argentinas en el uso de passwords

Cálculo de complejidad

15151515

CCCCáááálculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraselculo de complejidad de contraseñññña: Combinadoa: Combinadoa: Combinadoa: Combinado

# de caracteres Combinaciones Tiempo (NT MD4 Hash)

8 (2+6) 1010 40 minutos

9 (3+6)9 (3+6)9 (3+6)9 (3+6) 1010101012121212 2 d2 d2 d2 dííííasasasas

10 (4+6) 1013 140 días

11 (5+6) 1015 33 años

Diccionario español: 50.000 definiciones de 6 caracteres o más

Costumbres argentinas en el uso de passwords

Cálculo de complejidad

16161616

Lpvqp1pvat+C!

Costumbres argentinas en el uso de passwords