La construcción de una mejor contraseña

Por: Nick Summers, Newsweek

Difícil de recordar, pero fácil de descifrar, las contraseñas son el eslabón débil en seguridad informática. Las empresas gastan miles de millones de dólares para proteger sus sistemas informáticos y las contraseñas son una pieza clave

Información relacionada

La misma contraseña para todo, el mayor riesgo para la seguridad

Comprobador de Contraseñas

Mi contraseña es gr8199. La he estado usando por más de una década, desde que un sitio Web me obligó a crear una cadena de seis a 12 caracteres, con una mezcla de letras y números. En ese momento, la única secuencia que se me pudo haber ocurrido tenía que ver con la placa de la licencia Wayne Gretzky de mi familia, que pasó a considerar: el Gran, N° 99, que dio gr8199.

Dado que los requisitos para las contraseñas han evolucionado a lo largo de los años, he añadido nueves extra, entre signos de interrogación y mezclados con mi contraseña alterna (que, increíblemente es mi número de Seguro Social). Hasta la semana pasada, gr8199 y sus descendientes estaban en mi portátil, mi e-mail, mi Scrabble, mis cuentas bancarias, mi blog, mi PC de trabajo, mi seguro de salud, Facebook, Skype, Snapfish, Hulu, mi declaración de impuestos y por lo menos 39 otros sitios de la Internet. Puedo decirles mi código secreto, porque yo lo voy a cambiar; lo voy a cambiar porque lo estoy diciendo. Mi sistema de contraseñas es un desastre y apuesto a el suyo también.

Si es un usuario típico de Internet, --en estos días, ¿qué trabajador de oficina no pasa todo el día enchufado al navegador?- tiene 6,5 contraseñas, cada una de las que utiliza en cuatro sitios-- está obligado a escribir una ocho veces por día. Su empleador probablemente le hace crear un nuevo código cada 90 días. En un determinado momento, has garabateado una contraseña en un post-it, te la haz enviado por e-mail a tí mismo, o hecho otras concesiones de seguridad a la imposibilidad fundamental de la memorización tantas cadenas, de jerga burocrática. Hoy en día no tenemos tantas contraseñas como sistemas con que lidiar.

Contraseñas de seguridad

Las empresas gastan miles de millones de dólares para proteger sus sistemas informáticos y las contraseñas son una pieza clave. Con tanta carga en las "contraseñas defectuosas" americanas, tiene que haber una mejor manera de hacer que nuestra tecnología sea segura y está tomando forma dentro del departamento de cibernética de la Universidad de Carnegie Mellon. No hay ninguna contraseña 2.0 en alas, no hay adelanto genial para asegurar nuestras cosas para siempre. Pero los últimos cinco años algunos miembros de Cylab, como se le conoce, han estado estudiando no solo la teoría matemática detrás de las contraseñas, sino como los humanos las usan. Sus hallazgos sugieren que hay mucho que podemos hacer para que esta parte de nuestra vida sea mucho menos molesta, y en mi caso, ir más allá de gr8199.

Aunque está ubicado en un edificio en el lado norte del campus de Carnegie Mellon de Pittsburgh, partes del Cylab se parecen al Q Branch de James Bond. El laboratorio biométrico, en particular, está trabajando arduamente para quitarle la ficción a las películas de ciencia-ficción como Minority Report. El área de trabajo es un hervidero de actividad, con 15 alumnos que se inclinan a usar todo tipo de aparatos, es como un taller de la preparatoria, pero con prototipos de cámaras de seguimiento en lugar de sierras. Aquí es donde la Carnegie Mellon entusiasma a sus visitantes, con juguetes que pueden leer las huellas dactilares de una persona a través del cuarto, ingeniería inversa del modelo 3-D de una cara deesde una simple instantánea 2-D y reconocer un iris que se mueve a 13 metros. Casi todos los gadgets aquí darían un abrazo a un civil.

Con su sensualidad futurista y los fondos de financiamiento militar, la biometría y la hemo-criptografía han drenado prolongadamente las mejores mentes de la seguridad informática. Pero para el consumidor promedio, la biometría también ha sido una de las mayores decepciones de la seguridad. Los escáners de huellas digitales disponibles en algunas portátiles son esencialmente novedades, por ejemplo, y la autenticación de voz nunca ha sido fiable, o lo suficientemente segura como para funcionar por sí sola. El costo es también un gran obstáculo: a menos que usted trabaje en la CIA, no es probable que su empleador le compre un lector del iris en el corto plazo. "La biometría nunca se puso de moda, y nunca lo hará", dice Richard Power, un hombre de Cylab que habla acreca de la falta de progreso --que él llama una "década perdida"-- en la seguridad informática.

Para la gente regular que accede a sitios Web y PC's, las contraseñas son lo en que estamos atascados, principalmente porque son simples y baratas. Entre investigadores de la computación, las contraseñas son un aspecto clave de un floreciente campo conocido como "la seguridad útil". En Carnegie Mellon, los científicos que han iniciado disciplina no trabajan en un laboratorio, sino arriba, en un ala que no es diferente de la mayoría departamentos de Inglés o Historia de las universidades. Una mirada más cercana, sin embargo y verá señales de que esto no es un lugar común. Las puertas están marcadas con códigos de barras 2-D; un profesor entra en su oficina tomando una fotografía con su teléfono celular. Click! Hace el teléfono, ¡Tum! Desliza el perno. Es más seguro que una llave física, que puede ser robada y copiada, y no menos útil.

Los académicos aquí se están replanteando las preguntas básicas acerca de que hace una oficina, o un sitio web seguro, sin la conducción de su propia locura. Y sus resultados ponen en tela de juicio muchos de los avances recientes de seguridad en la banca, el correo electrónico y otros sistemas críticos en los que abrimos sesión todos los días. Los investigadores aquí hacen fallar prácticamente todo lo que su departamento corporativo de TI les informa acerca de contraseñas seguras. Y toman la postura radical de que usted, el usuario, debe ser escuchado cuando las contraseñas se hace despóticas, no tan estridente cuando usted las olvida.

Como disciplina académica, la seguridad útil --una mezcla de ciencias de la computación y la psicología-- tiene sólo cinco años de edad. "Cuando empezamos a ondear la bandera, no muchos prestaron atención", dice el profesor de Carnegie Mellon, Lorrie Cranor. "Es gratificante que la gente esté empezando a hacerlo." Cranor puede ser más responsable que cualquiera para referirse al campo. Ella fundó el laboratorio de Privacidad útil y Seguridad y un simposio anual, también editó el mayor libro de texto sobre el tema y enseña uno de los pocos cursos de seguridad útiles de la nación. Amable y cálida, Cranor se esfuerza por ser amigable: cuando se pone demasiado técnica mientras describe su trabajo a alguien que decididamente no está doctorado. El reportero de Newsweek, se detiene, se ríe (¿Estabas esperando una definición más útil? "), y reanuda el debate en Inglés libre de tecnicismos. Su interés en patrones y complejidad se extiende fuera del laboratorio: es una ganadora cuyos diseños han aparecido en las portadas de libros y revistas.

Gran parte del trabajo Cranor implica hacer agujeros en la sabiduría convencional sobre cómo los usuarios deben elegir y recordar contraseñas. Tome un tip común que los usuarios de Internet escuchan: para hacer un super-contraseña segura, pensar en una frase, y encadenar la primera letra de cada palabra. El resultado se llama una contraseña mnemotécnica. La famosa línea de Ghostbusters: "Los perros y gatos, viviendo juntos!". Se convierte, con algunas sustituciones, "D & C, LT!"- en una secuencia para provocar a un director de TI un desmayo. Es fácil de recordar, y quién podría adivinarla?

De hecho, Cranor puede. En un estudio de 2006, su equipo pidió a 144 voluntarios crear contraseñas mnemotécnicas. Adivinando que los sujetos convocarían frases conocidas de memoria, los investigadores construyeron un sencillo programa para rastrear la web de citas famosas, lemas de anuncios, letras de canciones y rimas infantiles, acumulando de forma rápida 249,000 entradas. Según las normas de seguridad, es un universo relativamente pequeño de frases sobre la que basar las contraseñas. Usando la lista, su crudo programa craqueaó a 4 por ciento de los mnemotécnicos, que no eran tan especiales después de todo --dos sujetos eligieron el Jingle de Oscar Mayer -- lo que sugiere que los hackers motivados podrían hacerlo aún mejor.

En lugar de una contraseña mnemotécnica, la investigación sugiere que los usuarios están mejor construyendo contraseñas a partir de una frase en sí, una "frase de paso". Como señala el técnico Thomas Baekdal, una cadena corta pero difícil de recordar como "J4fS<2" puede ser roto por lo que se llama un ataque de fuerza bruta (en el que un equipo intenta "a", a continuación, "ab", entonces "abc", y así sucesivamente) en 219 años, mientras que una frase larga pero fácil de recordar como "du-bi-du-bi-Dub" representaría 531,855,448,467 años. (Doscientos diecinueve años es realmente muy bueno, pero la lección que permanece: más simple puede ser más fuerte.)

La idea de la frase de contraseña no es nueva. Pero nadie ha hablado de ella, porque con los años, la complejidad -- implicaba una combinación de letras, números y puntuacion de la que el investigador de AT&T William Cheswick se burla llamando "contraseña fascista brebaje de bruja de ojo-de-tritón"-- de alguna manera se convirtió en el único factor determinante de la fortaleza de las contraseñas.

Seguridad útil

Lo que impulsa a Cheswick y otros investigadores en particular, es que los ataques de "diccionario" que estas contraseñas complicadas se supone que repelen, han sido ampliamente suplantados por el "phishing", que estafa sin saberlo a los usuarios a través de e-mails engañosos y de aspecto similar a los de los sitios Web, entregando las contraseñas directamente a los piratas informáticos. Por todos los aros que los usuarios tienen que saltar, los investigadores dicen están peleando la última guerra. "Los usuarios tienen la sensación secreta de que no necesitan estas reglas y tienen razón", dice Cheswick, que es conocido como uno de los padres de la seguridad en Internet.

Eso no ha impedido que los sitios Web continuen imponiendo exigencias cada vez más complejas a los usuarios. Y una consecuencia natural de las contraseñas más complicadas y que requieren restablecerse periódicamente, es que la gente las olvida con más frecuencia. Para hacer frente a eso, muchos sitios web gratuitos -en particular, servicios de correo electrónico- han adoptado el uso de "preguntas de seguridad", tales como "¿Dónde fuiste a la escuela primaria?" y "¿Cuál es el nombre de tu mascota?" En teoría, responder a estas preguntas demuestra que usted es usted. En la práctica, está plagado de defectos. El otoño pasado, la cuenta de correo electrónico personal de Sarah Palin, Esta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla , fue hackeada por un estudiante en Tennessee que sabía de las Web rudimentarias su fecha de nacimiento, código postal y que había conocido a su esposo en la escuela secundaria. Y en julio, los ejecutivos de Twitter fueron avergonzados con un ataque similar, lo que resultó en el robo de unos 300 documentos internos, incluyendo notas de estrategia y previsiones financieras. Un estudio de mayo de 2009 de Microsoft Research y la Universidad Carnegie Mellon evidenció las estrategias de la pregunta de seguridad empleada por tres de los cuatro principales proveedores de correo web, encontrando que los sujetos podían adivinar las respuestas de sus conocidos de AOL y Yahoo más de la cuarta parte del tiempo. "Hackear" no es el único problema causado por la propagación de estas preguntas: según el estudio, uno de cada cinco sujetos olvidó las respuestas a sus propias preguntas en seis meses.

Una manera humana de hacer frente a la sobrecarga de la contraseña es contar con una contraseña única y simples variantes para la interfaz de casi todos los electrónicos en sus vidas, como lo hice. Eso es muy problemático, porque si la poderosa contraseña se agrieta en un solo sitio, le da a un hacker las llaves para el reino. Es por eso que Adrian Perrig, el director técnico de Cylab en Carnegie Mellon, promueve contraseñas desechables: generados por los dispositivos especiales, la gente utiliza estas contraseñas una vez y luego las tira. Solía ser caro para las empresas dar a los empleados dijes especiales que podrían sincronizarse con un servidor y hacer contraseñas de un solo uso posibles, pero hoy en día todos llevamos un dispositivo capaz de esta tarea: un teléfono celular. RSA, la empresa que fabricó el modelo más reconocible del "dije-contraseña", ahora cuece la tecnología directamente en BlackBerrys.

El esquema Perrig es apodado Phoolproof Phishing Prevention. Usando este sistema, un usuario entra en su registro en un sitio determinado y en un momento, su teléfono emite un pitido con un mensaje de texto que contiene una contraseña temporal. Un delincuente puede robar tu contraseña en silencio. Pero si se arrebata su teléfono celular, usted sabrá de inmediato. Otra ventaja: si un hacker está escuchando una red inalámbrica no segura, o por medio de una pieza de malware llamado keylogger, la contraseña no es buena después de una sesión. En diciembre pasado, el Bank of America se convirtió en el primer banco importante de EE.UU. que permitió a sus clientes enlazarse vía teléfonos móviles (por 20 dólares, con tarjeta tamaño billetera) a sus cuentas, un gran avance en la banca por Internet. Hasta ahora, sin embargo, sólo una fracción de los clientes han optado por ella.

Otra ruta prometedora podrían ser las contraseñas basada en imagen. No, no ese icono personalizado que recibe su login de Bank of America, Vanguard, y muchos otros sitios de bancos, ese es un truco de marketing que ha beneficiado poco a la seguridad. "Lo vimos y nos reimos de él desde el principio", dice Cranor, un estudio mostró que todo lo que un estafador tenía que hacer era insertar una frase como "Nuestro servidor de imágenes está fuera; por favor, acceda de todas formas" en una página web falsa y la gente lo haría. Paul van Oorschot, un profesor de informática en Carleton University en Ottawa, ha desarrollado planes que sustituyen a la entrada de texto con el ratón en los píxeles en una imagen determinada -por ejemplo, los faros de un coche deportivo. Este enfoque tiene fallas, que pueden utilizarse dicen los defensores de seguridad y no ha sido probado lo suficiente. Pero es barato y resistente a la suplantación de identidad.

Como sucede a menudo con la investigación académica, le ha tomado algún tiempo a la industria darse cuenta. Pero últimamente, las personas dentro de las empresas de tecnología han comenzado a prestar más atención a la labor de seguridad útil hecha en la Universidad Carnegie Mellon y en otros lugares. Cormac Herley, un doctor de Microsoft Research, ha publicado recientemente dos documentos cuestionando la sabiduría aceptada por la industria en materia de seguridad: "Logran algo las contraseñas web fuertes?" (conclusión: a veces, pero realmente no) y "Contraseñas: si somos tan inteligentes, ¿Por qué seguimos usandolas?". El último documento concluye que en el corto y mediano plazo, las contraseñas, con las fallas que tengan, están aquí para quedarse. "Ahora mismo, todos estamos de acuerdo que el sistema de contraseña es terrible, aunque esté costando mucho dinero a las empresas", van Oorschot pregunta. "¿Están sintiendo suficiente dolor de manera que estén dispuestas a hacer algo al respecto?"

Por ahora, la respuesta es no. Y, como los clientes de Bank of America lo han demostrado, aunque exista una opción más segura, muchos no optan por ella. Pero a medida que pasa el tiempo, la combinación de una importante brecha de seguridad y la creciente fatiga de los usuarios a hacer malabarismos ante tantas contraseñas probablemente hará que el mundo sea más receptivo a las innovaciones cocinadas en la Universidad de Carnegie Mellon. Hasta entonces, todos tendremos que seguir tratando de recordar nuestras propias variaciones de gr8199.

Fuente: Digg / Newsweek

Ver nota original en inglés.

Última actualización el Martes, 10 de Noviembre de 2009 11:32