Esteu aquí

Contrasenyes II

Autor: Francesc Rovirosa - 28 oct. 2012 - Universitat Oberta de Catalunya

Tal i com dèiem en el capítol I, la fortalesa d'una contrasenya és proporcional al nombre de caràcters de la mateixa i a la entropia amb que s'ha generat, sent el màxim l'ús de tots els caràcters ASCII del nostre teclat. En aquest capítol ens centrarem en com construir una contrasenya forta que difícilment pugui ser trencada per alguna de les tècniques descrites anteriorment, en com pot ser fàcilment recordada i farem una recomanació sobre algun software que ens pot ajudar a gestionar les nostres mateixes contrasenyes.

Ja vam veure que un dels possibles atacs era anar recorrent un diccionari i xifrar totes les seves paraules comparant-les amb les contrasenyes ja xifrades, buscant coincidències. Aquest mètode, doncs, aprofita que molts usuaris escullen com a contrasenya termes i paraules que existeixen en una llengua determinada. Tenint en compte que molts atacants utilitzen tècniques capaces de provar 100.000 contrasenyes per segon, es pot concloure que aquest mètode de triar una contrasenya no és en absolut una bona elecció.

L'atac de força bruta consisteix en un exercici de combinació, on es van xifrant totes les possibles combinacions de caràcters i comparant-les amb les existents. Per definició, aquest mètode sempre acaba obtenint la contrasenya, amb un inconvenient: els recursos i el temps. Si una contrasenya és prou llarga, el nombre de combinacions possibles es dispara exponencialment, el que fa a afectes pràctics pràcticament impossible provar totes les possibilitats. Per tant sempre serà més difícil endevinar una contrasenya llarga que una curta.

Potser no és molt exacte, donat que les capacitats de computació dels ordinadors van augmentant, però ús deixo una taula aproximada amb el temps que es triga en resoldre una contrasenya (publicat al 2008):

Longitud Minúscules
(26 caràcters)
Lletres i dígits
(36) caràcters
Majúscules i minúscules
(52 caràcters)
Tots
(96 caràcters)
6 50 min 6 h 2,2 dies 3 mesos
7 22 h 9 dies 4 mesos 23 anys
8 24 dies 10,5 mesos 17 anys 219 anys
9 21 mesos 32,6 anys 881 anys 2.287 anys
10 45 anys 1159 anys 45.838 anys 21 milions d'anys

Vis lo vist, es pot concloure que tard o d'hora ens acabaran endevinant la contrasenya, però qui pot esperar 45 anys de computació ininterrompuda per "trencar" una contrasenya ??. Evidentment ningú.

Problemes i solucions.

Problema 1: Utilitzar la mateixa clau en diferents llocs Web

Cada vegada hi ha una llista més gran de serveis web que necessiten de l'ús de claus (correu, banca electrònica, botigues a la xarxa, xarxes socials, etc...), aleshores no és d'estranyar que moltes persones facin servir les mateixes contrasenyes en varies comptes. Arriscat: si algú sap una contrasenya, les sap totes.

Solució 1:

Mantenir contrasenyes úniques per cadascuna de les comptes


Problema 2: Utilitzar contrasenyes comuns o paraules que es troben en el diccionari.

Algunes contrasenyes comuns inclouen paraules o frases senzilles tals com "clau" o "deixamentrar" patrons del teclat tals com "*qwerty" o "*qazwsx," o patrons de seqüència tals com "*abcd1234." Utilitzar una clau senzilla o qualsevol paraula que puguis trobar en el diccionari li facilita a un pirata tenir accés a la teva informació personal.

Solució 2: Usar una contrasenyes amb barreja de lletres, nombres i símbols.

Ja ho hem vist abans, existeixen tan sols 26^8 permutacions possibles per a una clau de 8 caràcters que utilitzi solament minúscules, mentre que hi ha 94^8 permutacions possibles per a una clau de 8 caràcters que utilitzi una combinació de minúscules i majúscules, nombres i símbols. Això és més de 6 mil bilions de permutacions possibles per a una contrasenyes mixta, fent-la molt més difícil d'endevinar o trencar.


Problema 3: Usar claus basades en informació personal.

Tots compartim informació personal amb amics i amb col•legues. El nom del cònjuge, fills o mascotes en general no són secrets, pel que no té sentit utilitzar-los com clau. També has d'evitar usar dates de naixement, telèfons o adreces.

Solució 3: Crear una clau que sigui difícil d'endevinar per a uns altres.

Selecciona una combinació de lletres, nombres o símbols per a crear una clau única que no estigui relacionada amb la teva informació personal. O selecciona una paraula o frase a l'atzar i insereix lletres i nombres al principi, en la meitat i cap al final per a fer-ho difícil (#d1f1c1l)


Problema 4: Recuperar la vostra contrasenya

Sovint pot resultar més difícil recordar la contrasenya per a entrar a un lloc que fa temps no visites quan esculls claus intel•ligents com aquestes. Per a resoldre aquest problema, molts llocs Web t'ofereixen l'opció ja sigui d'enviar-te un vincle perquè seleccionis una nova clau a la teva adreça de correu electrònic, o que contestis una pregunta de seguretat.

Solució 5: Assegureu-vos que les vostres opcions per a recuperar la contrasenya estiguin al dia i siguin segures.

Heu d'assegurar de mantenir sempre una adreça de correu electrònic al dia en cadascuna de les comptes que teniu, de manera que si arribeu a necessitar que ús manin un correu electrònic per a seleccionar una clau nova, el correu vagi al lloc correcte.
Molts llocs Web demanaran seleccionar una pregunta per a verificar la vostra identitat si oblideu la contrasenya. Si podeu crear la vostra pròpia pregunta, tracteu de crear-ne una que només vosaltres pugueu contestar.


A partir d'aquests problemes i de les possibles solucions en el proper i últim capítol, proporcionarem tècniques per crear contrasenyes segures i descriurem eines i recursos per emmagatzemar-les de forma segura.