La informática aproximadamente comenzó allá por el año 1981, y más de 30 años después lo que hemos logrado es que los usuario usen contraseñas difíciles de memorizar para ellos mismos, y muy fáciles de descrifrar por un ordenador.

Aprovechando el revuelo que ha generado estos días el llamado CelebGate o The Fapping, y si aún eres uno de los pocos que no se ha enterado del asunto te invito a que hagas una sencilla búsqueda sobre ello.

Resumiendo, la cuenta icloud de aproximadamente, que se sepa, 100 famosas americanas, se han visto comprometidas y sustraído de ellas una gran volumen de fotos y vídeos que en el mejor de los casos era con poca ropa… por ello Apple tardo tan sólo unas 40 horas en mandar un comunicado en el que aseguraba que no se había aprovechado ningún exploit o fallo de código para vulnerar esas cuentas, achacando a unas contraseñas poco seguras de las famosas como causa. Lo cierto es que a través del Image Board que se encuentra en la parte alta de la DeepWeb, 4chan, comenzó un hacker (o cracker) a filtrar las imágenes, y desde entonces asistimos a uno de los hitos de internet.

Publicidad

Aunque estas declaraciones revelaban otra verdad incómoda, y es que si por tanto el método usado fue el de Brute Force, o Fuerza Bruta, consistente en atacar un objetivo mediante un diccionario y elaborar combinatoria hasta lograr descifrar la contraseña, estamos reconociendo que de algún modo el sistema icloud no tenía una mínima y útil funcionalidad que evitara que durante días un atacante realizara tal ataque. Extraño sin duda, ya que Google por ejemplo tiene implementado buenas medidas a este respecto, e incluso las 5in5 de IBM anticipan sistemas que detectan entre otras, acciones irregulares, pensar que Icloud no controlaba esto se antoja irracional.

Los ataques de Brute Force, junto con los ataques de DoS, son los más sencillos de ejecutar y los más comunes, ya que se parte de un escenario conocido, la máquina a la que has de atacar, el prompt de Log on por ejemplo, o la IP de la máquina. Para ello ello se utiliza un ataque con diccionario, que no es que un Hacker coge la Espasa Calpe página a página, sino usar una de esas míticas aplicaciones como puedan ser John the Ripper o Cain.

¿Pero qué es una contraseña segura? Desmontando el mito

password-seguridad-entropia

Habría que definir el tipo de ataque, porque si es un ataque humano, es decir, alguien poniendo tu fecha de cumpleaños, el nombre de tu mascota, impera la lógica, cosa que en un ataque de fuerza bruta lo que impera es la matemática de la combinatoria.

Podrías pensar que una contraseña tipo 8T4f$s es una contraseña segura, al fin y al cabo casi ni tu la puedes recordar, no sabes si era, si era un $s o una s$ o una Ss…

Para ello es importante definir un concepto, los bits de entropía, es conoce como entropía, a una medida de incertidumbre sobre la fuente de información, es decir en este caso los caracteres del Password, y se utiliza para saber la cantidad de información que tiene un símbolo empleado, los símbolos de menor probabilidad contienen una mayor información, dicho de otro modo, de la frase que niño “que” es una palabra más común que niño, por lo que tiene mayor entropía.

8T4f$s tiene una entropia de 26 bits, 2 elevado a la 26, 2 por código binario de 0-1, nos da que un ordenador por fuerza bruta haciendo 1000 combinaciones por segundo, tardaría menos de 1 día en descifrar nuestra contraseña.

Ahora usemos 3 palabras cualquiera, pausacreativamola, la cual además de verdad es fácil de recordar y tiene una entropía de 62, en el mismo caso anterior nos lleva que la misma máquina tardaría 146 millones de años en descifrarla, yo no sé vosotros, pero creo que yo no viviré tanto.

Tiene que ver diferentes factores, pero una contraseña del tipo Escr1t0r2$ con una entropia de unos 36, sería descifrada en 2 años aproximadamente, y como ves sigue siendo complicada de adivinar, ahora que mucho interés tendrían que tener en ti, pero bueno, estamos hablando de capacidad de cálculo, si conseguimos un ordenador que sea capaz de cuatriplicar su velocidad, en apenas 6 meses tendríamos el acceso, cuando en el ejemplo de pausacreativamola, aún con esas hablamos de 36 millones de años.

Hasta que salgan esos ordenadores cuánticos en los que IBM trabaja, como puedes ver, es mucho más seguro usar una contraseña sencilla de recordar con una buena entropía.

¿Te sientes igual de seguro ahora con tu contraseña imposible de recordar?