martes, 26 de enero de 2010

El nombre secreto

La edición dominical de La Nación trae un muy buen artículo sobre seguridad informática, extraído a su vez del Blog de Tecnología del New York Times.

Las ideas básica son las mismas que en el Medioevo, donde se creía que un saber mágico otorgaba poder sobre los objetos. Pensándolo bien, el asunto es actual: Harry Potter y JK Rowling son una especie de edad medieval reloaded. Si se tiene el nombre oculto de las cosas, se tiene el poder sobre ellas. Lo cual nos lleva a la pregunta: cómo elegimos las passwords?

32 millones de registros son suficiente evidencia. Esto es la materia prima "perdida" por RockYou, un desarrollador de Facebook, que sirvió para realizar un estudio sobre contraseñas. Los resultados son alarmantes: el riesgo de olvidar la password hace que los usuarios sean (seamos?) algo predecibles en la elección de las claves.

Si el problema más grave fuera el "123456" o el "123abc" no estaría tan mal. Pero repetir en la clave el nombre del usuario o colocar directamente "password" nos acerca tener problemas en la cuenta bancaria. El efecto Pareto siempre está: el 20% de los casos se centra en sólo 5000 palabras clave.

Una forma de sobrevivir a esto es mezclar una componente esencial de la password (un núcleo recordable, alfanumérico, con sentido solo para uno) y sumarle 3 a 4 letras de la aplicación, ámbito de uso y alguna cifra más. Si esto parece complejo, pensemos que los algoritmos de fuerza bruta usados por un hacker con una cantidad razonable de tiempo de procesamiento terminan descubriendo todo... casi como con un toque de magia Potteriana.

1 comentario:

Daniel dijo...

Addendum, en TechCrunch indican que Twitter prohíbe "de facto" unas 400 contraseñas demasiado obvias.
http://www.techcrunch.com/2009/12/27/twitter-banned-passwords/