elparaiso.mat.uned.es

¡Pulsa Aquí!

LO DIJO...

A. De Morgan  
 
Es más fácil conseguir la cuadratura del círculo que tener la razón discutiendo con un matemático.
 
El Paraíso de las Matemáticas - Criptotaller ~ Passwords (in)seguros
.: Criptotaller :.
 
Passwords (in)seguros
    Este artículo se basa en algunas referencias de principios de los 90. Aunque las conclusiones son esencialmente válidas el tiempo empleado en crackear por fuerza bruta un fichero de passwords ha disminuido bastante lo que nos debería poner más en alerta aún.

    Desafortunadamente los passwords son en la práctica bastante menos seguros que lo que los argumentos de "longitud^(tamaño alfabeto)" sugieren, en la vida real las claves están muy lejos de ser aleatorias.

    Al final del artículo se incluyen cinco referencias importantes sobre seguridad en Unix. De ellas [1,2,5] describen características estadísticas de passwords de sistemas Unix reales, incluyendo estudios de crack de passwords a largo plazo (más de 1 año de CPU) mientras que [3,4] son historias sobre gente 'poco amigable' que pulula por Internet.

    La referencia [1] se basa en un conjunto de aproximadamente 1500 líneas de ficheros /etc/passwd (el fichero de claves de usuarios de Unix). Al parecer y en resumen después de casi 12 meses de usar exhaustivamente la CPU, aproximadamente el 25% de las claves pudieron ser adivinadas. Si esto te hace sentir seguro antes de tiempo piensa que un 21% (casi 3000 claves) se adivinaron la primera semana y en los cinco primeros minutos cayeron 368 claves (el 2.7%) usando lo que la experiencia ha demostrado que son las claves más comunes (usar el nombre de usuario como clave). Estas estadísticas son como para asustar. En un sistema Unix promedio con unas 50 cuentas, uno esperaría crackear la primera cuenta en menos de 2 minutos y tener unas 5-15 cuentas al final del primer día.

    La referencia [5] se basó en instalar versiones especiales de passwd e yppaswd en máquinas bastante diferentes durante un periodo de 6 meses que registraban los nuevos passwords introducidos en el sistema (encriptados con RSA por razones de seguridad)

    De los 13787 passwords examinados la longitud media fue 6.80 caracteres. La siguiente tabla recoge los datos.

Longitud
1
2
3
4
5
6
7
8
Cantidad 55 87 212 449 1260 3035 2917 5772

    Y en la siguiente se recogen la composición de las claves:

Caracteres Número Porcentaje
Sólo minúsculas 3988 28.9%
Mezcla mayúsculas y minúsculas 5259 38.1%
Algunas mayúsculas 5641 40.1%
Dígitos 4372 31.7%
Meta-caracteres 24 0.2%
Caracteres de control 188 1.4%
Espacio y/o tabuladores 566 4.1%
.:,; 837 6.1%
-_=+ 222 1.6%
!#$%^&*() 654 4.7%
Otros no alfanuméricos 229 1.7%

    La conclusión que sacan los autores es que en todos los sistemas Unix excepto los de ultra-alta seguridad aprox. el 10% de las cuentas tienen claves triviales -crackeables en menos de 10 intentos usando sólo la información de /etc/passwd- y otro 20% de las cuentas podrían ser crackeadas en sólo unos minutos de tiempo de CPU.

    Por supuesto esta situación varía bastante con el uso de shadow-passwords donde sólo root puede (teóricamente) acceder al verdadero /etc/passwd y cuando alguien puede acceder a él, seguramente está más interesado en otras cosas :-) pero lo que es importante de estos trabajos es que debemos ser conscientes de que un porcentaje apreciable de las personas no escogen claves sólidas, sea en una cuenta Unix, en PGP o ...

Fuentes:

  • "Foiling the Cracker: A survey of, and Improvements to, Passwords Security"
    Daniel V Klein. p.5-14 in Usenix Security II proceedings.
  • "How Crackers Crack Passwords, or, What Passwords to Avoid"
    Ana María de Alvar p.103-112 in Usenix Security II proceedings
  • "Security Breaches: Five Recent Incidents at Columbia University"
    Fuat Baran, Howard Kaye, and Margarita Saurez p.151-171 in Usenix Security II proceedings
  • "There Be Dragons"
    Steven M. Bellovin p.1-16 in Usenix Security III proceedings
  • "Observing Reusable Password Choices"
    Eugene H. Spafford p.299-312 in Usenix Security III Proceedings
Idea inicial, post de Jonathan Thornburg en sci.crypt

Area On-Line
  Todo tipo de material, para disfrutar de él completamente On-Line, sin necesidad de descargar archivos ni tener que andar descomprimiendo estos. No te olvides de pasar por el Diccionario, y las secciones Origami y Geointeractiva. Son de lo más interesante.

Criptotaller

Criptografía (clásica y moderna), criptoanálisis (primos, primos de Mersenne, etc.) y otras técnicas.

Material para descargar

Código Fuente C

Método Hill
Método Jefferson
Exponenciación Modular
Cálculo números primos
Test de Lucas-Lehmer
Factores num. Mersenne
Verificación FIPS 140.2
Teorema chino del resto
+ Códigos Fuente C

Código Fuente Python

Generación de claves

Artículos

La máquina Enigma
Criptografía y seguridad
    M. J. Lucena
Seguridad Informática
   y Criptografía PDF PPT
    J. Ramió
Criptografía clásica PDF
    J. Ramió

Programas
Cripto1 ZIP 2391 KB
    J. L. Rubio

Enlaces

Página personal de Jaime Suárez Martínez, colaborador de esta sección.

Munitions, colección de programas para Linux.

Kriptopolis, toda una referencia en castellano.

Ciphersaber

Criptonomicón: la página de Gonzalo Alvarez Marañón.

Página de Chris Caldwell, una página bien elaborada sobre números primos.

Colección de links de Peter Gutmann.

www.gnupg.org es la página original de GPG, un programa libre alternativo a PGP.

Domingo, 21 / 07 / 2019
   BUSCADOR
 

   TU CORREO
Usuario
Contraseña

   MATRACAS
Lista de correo gratuita
.: Chismes de Adán y Eva :.
Adios a Elisenda Fo...
WolframAlpha: El mo...
WIRIS para Mac...
Third CEU Summersch...
¡Más y más actualiz...
Cerca de 500 MB de ...
Ha llegado el momen...
WIRIS, matemáticas ...
El Universo Matemát...
Segundas Jornadas d...
Los Elementos de Eu...
VI Semana de la Cie...
Tras varios meses d...
¡Chiflados por los ...
Otro verano más, to...

 

Todos los derechos reservados. El Paraíso de las Matemáticas 2015Información Legal Política de PrivacidadAyudaEmail