Esteu aquí

Contrasenyes I

Autor: Francesc Rovirosa - 28 oct. 2012 - Universitat Oberta de Catalunya

Una contrasenya o clau o password, és una forma d'autenticació que utilitza informació secreta per a controlar l'accés cap a algun recurs. La contrasenya ha de mantenir-se en secret davant aquells a qui no se'ls permet l'accés. Als qui desitgen accedir a la informació se'ls sol·licita una clau; si coneixen o no coneixen la contrasenya, es concedeix o es nega l'accés a la informació segons sigui el cas.

En el control de l'accés per a tot es realitza una relació entre seguretat i conveniència, per a evitar que algú estrany al sistema tingui accés a certs recursos. És a dir, si algun recurs està protegit per una contrasenya, llavors la seguretat s'incrementa amb la conseqüent pèrdua de conveniència per als usuaris. La quantitat de seguretat és inherent a una política per a contrasenyes en particular. No existeix un mètode que sigui el millor per a definir un balanç apropiat entre seguretat i conveniència.

Alguns sistemes protegits per contrasenyes plantegen pocs o cap risc als usuaris si aquestes es revelen. Per exemple, una contrasenya que permeti l'accés a la informació d'una WebSite gratuïta. Uns altres plantegen un modest risc econòmic o de privadesa, per exemple, un password utilitzat per a accedir a l'e-mail, o alguna contrasenya per a algun telèfon cel·lular. Encara així, en altres situacions es poden tenir conseqüències severes si la contrasenya és revelada, tals com les usades per a limitar l'accés d'expedients de salut, comptes bancaris, informació classificada com confidencial, etc ... En qualsevol cas, sempre és una bona pràctica tenir contrasenyes fortes sigui quina sigui la informació que volem protegir d'accessos no autoritzats.

Fortalesa d'una contrasenya

La fortalesa d'una contrasenya especifica la dificultat que tindrà un atacant per endevinar-la en el menor temps possible. Actualment existeixen, bàsicament, 3 mètodes per trencar les contrasenyes sigui quina sigui la seva codificació:

  1. La enginyeria social.
  2. L'atac mitjançant accés a diccionaris de paraules.
  3. L'atac per força bruta.

L'enginyeria social

Aquest cas requereix que l'atacant ens conegui o conegui alguna de les nostres dades personals sobre les que realitzarà diferents hipòtesi. Probablement en un entorn empresarial o comunitari és la primera tècnica que utilitzarà. Molts de nosaltres tenim més informació a Internet de la que suposem i això pot ser utilitzat per un atacant que realitzarà una predicció.
En aquest aspecte només cal recordar el cas de la senadora i candidata a la vicepresidència dels USA, Sarah Palin.

Es pot, doncs, concloure que no és una bona idea tenir com contrasenya, dates de naixement, noms de familiars, adreces, etc... i en general qualsevol tipus d'informació personal.

Els diccionaris de paraules

Molts atacants en cas que no hagi tingut èxit la primera tècnica o en cas que decideixin fer-ho sobre un conjunt finit de codis d'usuari utilitzaran l'atac consistent en anar provant paraules que poden ser trobades, o que formen part d'un diccionari. Així com també les que han estat confeccionades a partir de paraules que han demostrat que són usades per molts usuaris com a contrasenya (vg. 12345, password1, etc...).
Alhora, per la majoria de llengües existeixen diccionaris personalitzats que inclouen, tant paraules comuns del diccionari d'aquest llengua, com noms propis, noms geogràfics, paraules comuns o paraules col·loquials.
Aquest tipus d'atac és extremadament ràpid i eficaç, ja que en ocasions per cada paraula ja existeix calculada la seva translació al tipus de contrasenya xifrada que està emmagatzemada. Podeu provar i trobar més informació en el projecte Ophcrack.

Per tant moltes vegades no és tan important la longitud de la contrasenya com la pertinença d'una paraula a un diccionari. Pex: la paraula "esternocleidooccipitomastoidal" compleix amb escreix el nombre de caràcters recomanats per a la longitud mínima d'una contrasenya, però és una paraula present en el diccionari i per tant amb tota seguretat podrà esser revelada.

Hi ha alguna variant sobre aquest tipus de tècnica, que consisteix en fer combinacions sil·làbiques a partir de patrons d'associació. Es basa en que per cada llenguatge existeixen unes síl·labes que constitueixen un conjunt finit, que es repeteixen amb més freqüència que les altres dins les paraules d'una llengua i que a més solen associar-se entre elles. Aquest tipus d'atac és poc freqüent i demana una personalització per cada tipus de llengua, amb el que dona uns resultats molt pobres. Ara be cal tenir-ho en compte per evitar la construcció de contrasenyes sil·làbicament correctes. Així: seguretatregusetat no seria una bona tria.

Atacs de força bruta

Aquest tipus d'atac també és el més usat i indiscriminat dels procediments per esbrinar fraudulentament les contrasenyes.
Esta basat en la combinació i permutació d'una sèrie de caràcters i la prova de cadascun d'ells en front del sistema de validació de la contrasenya. Té múltiples variants i regles que és poden aplicar i depèn molt del programa usat. Potser un dels més clàssics i ràpids és John the Ripper.

Aquí assumirem que la fortalesa d'una contrasenya està basada en la seva entropia que podríem definir com la incertesa associada a una variable aleatòria.

Conjunt de símbols Nombre Entropia
Només Dígits(0-9) 10 3.32 bits
Només lletres (majúscules o minúscules)(a-z o A-Z) 26 4.7 bits
Només lletres i dígits (a-z, 0-9) 36 5.17 bits
Majúscules, minúscules i dígits (a-z, A-Z, 0-9) 62 5.95 bits
Tots els caràcters estàndard del teclat ASCII 94 6.55 bits

Per tant calcularem la entropia d'una contrasenya multiplicant el nombre de caràcters de la contrasenya per la seva entropia en el rang de caràcters triats.
Per exemple:

  • Per una contrasenya de 8 dígits, tenim una entropia de 26 bits.
  • Per una contrasenya de 8 lletres en minúscules més 10 dígits, tenim una entropia de 41 bits.
  • Per una contrasenya de 8 caràcters, tenim una entropia de 52 bits.


A partir d'aquesta definició i de la relació que hi ha entre el nombre de caràcters d'una contrasenya i la seva entropia, en el pròxim capítol ens centrarem en els atacs de força bruta i en les tècniques, programes i bones pràctiques de generació de les contrasenyes.