Claves demasiado fáciles

1


El 17 de abril un ciber ataque a la tienda online de Play Station dejó al descubierto información personal  de unos 77 millones de usuarios, incluyendo datos de tarjetas de crédito. Unos días después pasó lo mismo con Sony Online Entertainment; más de 24 millones de afectados. Y, por si fuera poco, los primeros días de junio le tocó a SonyPictures.com, aunque esta vez solo lo sufrieron 1 millón de clientes.

La vulnerabilidad informática de grandes compañías demuestra que poca importancia muchas de ellas le dan a la protección de los datos personales de sus clientes. En el caso de Sony, por ejemplo, toda la información robada estaba en archivos de texto comunes y corrientes, que en parte fueron publicados en la red.

Más allá de lo anterior, algunas personas interesadas en las prácticas habituales de generación de claves, aprovecharon la oportunidad y analizaron una base de datos real. Troy Hunt, entre otros, realizó un muy interesante análisis (acotó la muestra 37,608 cuentas) teniendo en cuenta la longitud de las claves, la variedad de tipos de caracteres, la aleatoriedad y la unicidad.

Estas son las principales conclusiones:

– El 93% de las claves tiene entre 6 y 10 caracteres de largo, algo que sería aceptable.

-Aunque sólo el 4% de las contraseñas tienen tres o más tipos de caracteres, considerando números, mayúsculas, minúsculas y todos los demás.

-Más de un tercio de las claves se ajustan a un patrón relativamente predecible (Hunt se refiere a que están incluidas en un diccionario de claves como este)

-El  92% de las contraseñas se han reutilizado a través de más de un sistema. Esto último se pudo determinar ya que los ataques a Sony afectaron servicios que requieren cuentas diferentes.

Nada de esto es muy sorprendente, aunque sigue siendo alarmante. Sabemos que las contraseñas son demasiado cortas, demasiado simples, previsibles y parecidas a otras que los usuarios han creado en otros lugares”, dice Hunt.

El problema, está claro, es la naturaleza humana. Para la mayoría de las personas es imposible recordar largas cadenas aleatorias de caracteres. Aunque esto no es novedad, la mayoría de las organizaciones siguen utilizando este método de autenticación para controlar el acceso a una enorme cantidad de recursos.

¿No es hora que empresas y gobiernos dejen de usar un sistema que ya es tan viejo como las primeras computadoras?  ¿No hay una idea mejor? ¿Es tan difícil?

Comments

Leave a reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *