Empezando

febrero 23rd, 2004

Empezaremos este blog con un viejo artículo que escribí hace ya cinco años sobre la seguridad de los passwords en la Facultad de Informática de Barcelona (FIB). Está ya obsoleto, pero es bueno recordar habitualmente este tipo de cosas.

LA IMPORTANCIA DE LOS PASSWORD

Como todos sabeis, el cuatrimestre anterior el Laboratorio de Cálculo de la FIB cambió el anticuado sistema de números de automatrícula y ahora podemos escoger el password que queramos cuando nos matriculamos y no tener que depender de acordarse de los dichosos numeritos.

Bueno, no es todo tan bonito como parece. Estos passwords se utilizan para TODO (primera regla de los buenos passwords: no utilizar el mismo password dos veces), con lo cual en todos los sistemas en los que tengamos cuenta en el Laboratorio de Cálculo tendran el mismo password en un principio.

Supongo que no hará falta que explique los riesgos de esto, verdad? Supongo que la mayoria todavia recuerda las listas de números de automatricula que circularon por la facultad hace tiempo, verdad? Seguramente a ninguno de vosotros le haria gracia que le hicieran disuser por algo que no ha hecho él, pero que ha sido hecho desde cuenta (mails ofensivos, hacking…), verdad que no?

Y os pensareis, buah, yo estoy seguro, nadie sabe mi super-clave. Ja!!! Empecemos viendo las reglas de todo buen password, y veremos como no se está cumpliendo ninguna:

1) No se debe utilizar el mismo password dos veces en diferentes máquinas

2) El password debe tener el mayor número posible de carácteres, y debe combinar números con letras mayusculas y minúsculas

3) No apuntar nuestro password en ningún sitio

4) El password no debe tener ninguna relación con nosotros, ni deber ser ninguna combinación de nuestro nombre, fecha de nacimiento, nick, el nombre de nuestro perro…

Bueno, y veamos como casi todo esto no se cumple nunca:

1) Bueno, que vamos a contar de esto. Medio Laboratorio de cálculo está empapelado con:
EL PASSWORD EN TODOS LOS ENTORNOS ES EL QUE PUSISTEIS EN LA AUTOMATRICULA EN MAYUSCULAS.
Pues eso: meiga (y chooyu), alabi, fisio, linux, los nuevos terminales SUN (ya era hora de que pusieran algo asi, a ver si cambian los VTs ya de una p*** vez…)
El unico bueno parece ‘meiga’ que la primera vez que te conectas te obliga a cambiar la contraseña. Además, OpenVMS es un sistema ‘bastante’ seguro, o sea que por este lado no deberiais tener problemas.
Y que recuerde ahora ninguno de los otros me ha pedido que cambie el password todavia y llevamos casi un mes aqui.

2) A ver, mayor número posible de caracteres; pues que le vamos a hacer, pero la mayoria de sistemas solo aceptan 8 carácteres como máximo, con lo cual, vamos a conformarmos con 8. Deberia ser suficiente si el password es bueno.
Combinación de letras mayúsculas y minúsculas y números. Pues nada, que vamos como los cangrejos, el cuatrimestre pasado se podian mezclar letras y números, y en cambio este solo letras, y encima en mayusculas
Imaginar las posibilidades que se reducen… (supongamos 25 letras en el alfabeto)

– Letras mayúsculas, minúsculas y números: 25+25+9, nos da un alfabeto de 59 carácteres diferentes. Esto nos da que el número de claves posibles es:

59x59x59x59x59x59x59x59 = 146830437604321

Lo cual no está nada mal si queremos aplicar fuerza bruta (tardaremos lo suyo :)) A ver, que calcule: suponiendo que probamos 10000 claves por segundo (que ya son claves) tardaremos:

146830437604321/10000 = 14683043760 segundos = 244717396 minutos = 4078623 horas = 169942 dias = 465 años

– Veamos solo con mayúsculas: el número de claves posibles será:

25x25x25x25x25x25x25x25 = 152587890625

Y tardaremos 152587890625/10000 = 15258789 segundos = 254313 minutos = 4238 horas = 176 dias, o sea, del orden de 1:900 de diferencia (más o menos)

Todo esto suponiendo el caso más desfavorable, de media tardariamos la mitad de este tiempo.

3) Bueno, la mayoria direis ahora: eh, que yo no le he apuntado en ningún sitio, y no se lo he dicho a nadie… Bueno, eso crees tú.
No te has dado cuenta de que cuando accedes al ‘Raco del Estudiant’ te pide tu username y tu password? A que no habias oido nunca que el HTTP es uno de los protocolos más inseguros?
Pues resulta que tanto tu username como tu password circulan por la red libremente, a la vista del que quiera (y pueda 😉 verlos.
Si quereis, aquellos que tengais algun sniffer podeis probarlo en casa:
Conectaros a Internet y espiaros vuestras propias conexiones (las de los demás no, queda muy feo 😉 Si os fijais en unos ficheritos que habeis enviado al servidor ‘www.fib.upc.es’ vereis que son algo asi:

GET /FIB/plsql/RACO_EST.menu HTTP/1.0

Connection: Keep-Alive
User-Agent: Mozilla/4.51 [en] (X11; I; Linux 2.2.12 i586)
Host: 147.83.41.23
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Authorization: Basic Y3HIiTiG7UIiKIH=

Pues este campo de Authorization es simplemente vuestro username y vuestro password escritos asi: ‘username:password’ y a los que se les ha aplicado BASE64 (una cosa como el uuencode, para que me entendais)

Y eso circula por la red tan campante. No quiero imaginarme que podria pasar si a alguien se le ocurre poner un sniffer en los PCs del A5 (no lo hagais, sobretodo; está prohibido, y no me gustaria que os echaran de la
carrera, o por lo menos, no por esto)

4) Ostras, y ahora que password pongo? Es que no se me ocurre nada…
Bueno, va, pongo mi nombre: PEPITO y como no llega a los 8 carácteres lo acabo con ES.
Toma ya, vaya password. Un ejemplo de lo que no debeis hacer nunca.
Nunca, nunca, nunca, pongais passwords que esten relacionados con vosotros. (ah, y lo que ya es pecado es poner como password el username)

Bueno, espero haberos asustado lo suficiente como para que me hagais un poco de caso.
Si no os molesta os daré unos consejos para evitar problemas:

– Utilizar el password más largo posible (si puede ser más de 8 mejor, si no puede ser, pues 8) No utiliceis passwords de menos de 6 letras.
Conozco gente que utiliza passwords de 20 letras y me los han enseñado y os aseguro que después de más de medio minuto de verlo me fué imposible acordarme de nada, o sea, que ya sabeis 😉

– Mezclar letras mayusculas y minusculas, números, signos de puntuación, todo lo que podais. Como más signos utiliceis más dificil será sacar el password.
Lo ideal para no olvidarse después de él es escoger una frase un poco larga y coger la primera letra de cada palabra. P.ej.:

Todos los passwords que utilizo son seguros al 100 por 100.

T L P Q U S S A 1 P 1

Ahora, mezclais mayusculas con minusculas:

TLpQusSa1p1

Con esto seguro que conseguis un buen password y que no se os olvidará (bueno, siempre hay algún despistado que se olvida de los suyos, y no quiero señalar a nadie, eh? (ella sabe quien es ;))

– Y no se lo digais a nadie, bajo ningún precepto. No me vale eso de: va, si no se lo diré a nadie más, que solo quiero bajar una cosa y no me cabe en mi cuenta…
Más vale ponerse una vez rojo que cien amarillo.

Ala, y eso es todo por hoy. Hacerme caso, os vendrá bién.

Guardado en Artículo | Comentarios desactivados en Empezando

Los comentarios están cerrados.