Este título podría ser una buena contraseña
La compañía de seguridad Trustwave, cuya sede central está en Chicago, Estados Unidos, acaba de publicar una investigación que viene a confirmar algo que, tarde o temprano, sabíamos que iba a ocurrir. Esto es, que las contraseñas de 8 caracteres que combinan mayúsculas, minúsculas, números y símbolos han dejado de ser robustas (https://gsr.trustwave.com/topics/business-password-analysis/2014-business-password-analysis/).
Pero a no desesperar. En el fondo no es una mala noticia. Trustwave también descubrió que hay contraseñas mucho más fáciles de recordar y que, a la vez, resisten mejor los ataques basados en la simple fuerza bruta del cómputo.
La causa del rápido deterioro de las contraseñas del tipo Qw34$!M7 está en el abrumador crecimiento del poder de cómputo, especialmente en las placas de video (o GPU, por Graphics Processor Unit), cuya especialización en crear escenarios de altísimo realismo las hace también muy aptas para quebrar contraseñas. En última instancia, se trata de lo mismo: cálculo. Una placa Radeon 7970 de AMD es capaz de calcular a cada segundo 17.300 millones de operaciones de hashing para contraseñas basadas en el protocolo de NT LAN Manager. Y cuesta 350 dólares.
Es posible que la frase "operaciones de hash para contraseñas de NT LAN Manager" no sólo no te diga nada, sino que además te produzca alguna sensación de vacío en el estómago. Pero que algo de 350 dólares haga 17.300 millones de lo que sea pone un poder de cómputo enorme en manos de casi cualquier persona.
(Dicho muy grosso modo, el motivo por el que las placas de video son tan buenas para esta clase de tareas es que no tienen 2 o 4 núcleos, como los microprocesadores convencionales, sino cientos y, eventualmente, miles, y cada núcleo puede hacer una operación aritmética por cada ciclo de reloj. Las operaciones de hashing es una clase de proceso que se beneficia del enorme paralelismo de los GPU.)
Más aún, estas placas de video pueden hacerse funcionar en paralelo, varias a la vez. Los investigadores de Trustwave usaron dos equipos para sus experimentos, uno con 2 Radeon 7970 y otro con 4. El costo total de ambas máquinas fue de 4500 dólares, incluyendo el resto del hardware (microprocesador, memoria RAM). Es decir, ya no hace falta ni una supercomputadora ni es necesario esperar que lleguen los chips cuánticos. Con menos de 5000 dólares, Trustwave logró quebrar en los primeros minutos el 54% de las 626.718 contraseñas que tenían por objeto descubrir. Luego, en el curso de escasos 31 días, consiguieron descubrir casi el 92% de las claves (576,533). Sólo se salvaron las que tenían muchos caracteres.
Confirmaron así que las contraseñas que combinan al azar cuatro campos de caracteres (mayúsculas, minúsculas, números y símbolos) ya no son invulnerables. En algo menos de 4 días, una sola Radeon 7970 pudo descifrar la clave N^a&$1nG.
Más importante todavía (ésta es la buena noticia), cuando probaron con GoodLuckGuessingThisPassword, una contraseña que usa palabras de un lenguaje natural, pero que tiene 28 caracteres, la misma placa de video necesitaría casi 18 años para quebrarla. No sé si está demás decirlo, pero por si acaso ahí va: por favor, no usen esta contraseña en particular; es sólo un ejemplo y resulta fácil de adivinar por medio de un ataque de inteligencia.
Cerraduras frágiles
Karl Sigler, gerente de inteligencia de amenazas de Trustwave, me dijo en la semana: "Las contraseñas de muchos caracteres, las frases, son más difíciles de quebrar que las claves cortas de una sola palabra, incluso si esa palabra contiene una combinación de letras, números y símbolos.
"En nuestra investigación encontramos que la contraseña usada con mayor frecuencia era Password1. Aunque es fácil de adivinar y figura en los diccionarios que se usan para hackear claves, Password1, satisface la mayoría de los requerimientos de las políticas de seguridad. Tiene más de 8 caracteres, un número y una mayúscula. Por desgracia, muchas de las políticas de seguridad realmente no previenen la elección de malas contraseñas."
Le pregunté si el aumento en la fortaleza de las contraseñas era proporcional al número de caracteres. Por ejemplo, ¿sería todavía más fuerte una frase de casi 60 caracteres? Por ejemplo, "En un lugar de la Mancha de cuyo nombre no quiero acordarme". "Cuantos más caracteres contenga, más difícil será quebrantarla", me confirmó Sigler.
Uno de los problemas de las contraseñas tradicionales es que son muy difíciles de recordar. Se las elige, por esto, más bien breves. Viceversa, la mente humana está preparada para memorizar largos textos, en tanto tengan sentido. "Todas las familias felices se parecen, pero las infelices, cada una lo es a su manera" tiene 85 caracteres y es, con la tecnología de hoy, virtualmente indescifrable. Además, y como siempre digo, los programas de fuerza bruta pueden hacer muchas cosas, pero difícilmente vayan a escribir el principio del Quijote o de Ana Karenina.
Doble o nada
Sin embargo, las contraseñas suelen extraerse en masa por medio de ataques que explotan vulnerabilidades de sitios web. Le pregunté a Sigler por qué cree que una clave robusta sigue siendo importante, en este contexto.
"Las contraseñas no son robadas necesariamente sólo de sitios vulnerables. Cada vez que se usan credenciales de logueo, si no se siguen los pasos para proteger dichas credenciales, un criminal puede descifrarlas. Con frecuencia, los delincuentes obtienen acceso a contraseñas comprando herramientas que realizan ataques automatizados de fuerza bruta o de diccionario, herramientas que se encuentran disponibles y no son caras.
"Un ataque de fuerza bruta es cuando los hackers prueban cada posible combinación de letras, números y símbolos hasta que dan con la correcta. Los ataques de diccionario usan listas de palabras usadas frecuentemente como claves.
"Las contraseñas fuertes imponen un desafío mucho mayor a estas herramientas. Cuando los usuarios usan contraseñas fáciles de adivinar o de pocos caracteres están básicamente entregando las llaves del reino. Usamos claves para acceder a algunos de nuestros datos más valiosos –cuenta del banco, propiedad intelectual, información personalmente identificable, etcétera–, ésa es la razón por la que debemos asegurarnos de que sean de muchos caracteres."
Sigler, como casi cada experto en seguridad que he entrevistado en los últimos 2 años, aconseja poner en práctica la autenticación de dos o más factores. La tarjeta de coordenadas para home banking es un ejemplo. Otro es cuando Google o Twitter te envían un SMS con un PIN que debés colocar luego de ingresar la contraseña.
"También sugerimos implementar la doble autenticación, que añade una capa adicional de seguridad al requerir que el usuario provea más información, por ejemplo un PIN o responder una pregunta cuya respuesta sólo esa persona debería conocer."
Sigler sostiene que las contraseñas que cada uno de nosotros administra siguen siendo el eslabón más débil de la cadena de la seguridad informática. "Aunque es cierto que explotar sitios vulnerables y las técnicas de phishing pasan por alto las contraseñas, éstas son fundamentales para todo plan de seguridad. Sólo el 1% de los incidentes que investigamos en 2013 se iniciaron por medio de credenciales fugadas o comprometidas".