Seguridad de la contraseña
La seguridad de la contraseña es una medida de la efectividad de una contraseña contra ataques de adivinación o de fuerza bruta . En su forma habitual, estima cuántos intentos necesitaría, en promedio, un atacante que no tiene acceso directo a la contraseña para adivinarla correctamente. La seguridad de una contraseña está en función de la longitud, la complejidad y la imprevisibilidad. [1]
El uso de contraseñas seguras reduce el riesgo general de una violación de la seguridad, pero las contraseñas seguras no reemplazan la necesidad de otros controles de seguridad efectivos . [2] La efectividad de una contraseña de una fortaleza dada está fuertemente determinada por el diseño y la implementación de los factores (conocimiento, propiedad, inherencia). El primer factor es el enfoque principal en este artículo.
La velocidad a la que un atacante puede enviar contraseñas adivinadas al sistema es un factor clave para determinar la seguridad del sistema. Algunos sistemas imponen un tiempo de espera de varios segundos después de un pequeño número (por ejemplo, tres) de intentos fallidos de ingreso de contraseña. En ausencia de otras vulnerabilidades, dichos sistemas pueden protegerse de manera efectiva con contraseñas relativamente simples. Sin embargo, el sistema debe almacenar información sobre las contraseñas de los usuarios de alguna forma y si esa información es robada, por ejemplo violando la seguridad del sistema, las contraseñas de los usuarios pueden estar en riesgo.
En 2019, el NCSC del Reino Unido analizó las bases de datos públicas de cuentas violadas para ver qué palabras, frases y cadenas usaban las personas. El primero de la lista fue 123456, que apareció en más de 23 millones de contraseñas. La segunda cadena más popular, 123456789, no fue mucho más difícil de descifrar, mientras que las cinco primeras incluían " qwerty ", "contraseña" y 1111111. [3]
Las contraseñas se crean automáticamente (utilizando equipos aleatorios) o por un ser humano; este último caso es más común. Si bien la fortaleza de las contraseñas elegidas al azar contra un ataque de fuerza bruta se puede calcular con precisión, es difícil determinar la fortaleza de las contraseñas generadas por humanos.
Por lo general, se les pide a los humanos que elijan una contraseña, a veces guiados por sugerencias o restringidos por un conjunto de reglas, al crear una nueva cuenta para un sistema informático o un sitio web de Internet. Solo son posibles estimaciones aproximadas de la fuerza, ya que los humanos tienden a seguir patrones en tales tareas, y esos patrones generalmente pueden ayudar a un atacante. [4] Además, las listas de contraseñas comúnmente elegidas están ampliamente disponibles para que las utilicen los programas de adivinación de contraseñas. Dichas listas incluyen los numerosos diccionarios en línea para varios idiomas humanos, bases de datos violadas [ aclaración necesaria ] de texto sin formato y hashcontraseñas de varias cuentas comerciales y sociales en línea, junto con otras contraseñas comunes. Todos los elementos de dichas listas se consideran débiles, al igual que las contraseñas que son simples modificaciones de ellos.
