Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Mantener contraseñas seguras de cracking
Un grupo de investigadores de la Universidad de Purdue en Indiana desarrollaron una solución eficaz y fácil de implementar para proteger de los atacantes a las contraseñas.
En estos días, las contraseñas son almacenadas raramente en formato de texto, por lo regular son hashes y, aunque menos frecuente, caracteres salteados para que a los atacantes les resulte imposible o sea demasiado el tiempo que se tardarían en romperlos (por fuerza bruta, por ejemplo).
También, como los usuarios utilizan repetidamente las mismas contraseñas cortas, débiles y fáciles de adivinar, los atacantes pueden utilizar software de violación de contraseñas los cuales hacen referencia a las listas de identificadores de contraseñas que ya han sido calculados a partir de contraseñas obtenidas en el pasado.
El objetivo de los investigadores es lograr que el cracking (violación) de los hashes de las contraseñas almacenadas sean tanto detectables como insuperables.
"Utilizamos una función dependiente de la máquina, una función física que no es posible clonar (Physical Unclonable Function PUF) o un módulo de seguridad de hardware (HSM) en el servidor de autenticación", explicaron y agregaron que el esquema se puede integrar fácilmente con sistemas heredados sin necesidad de servidores adicionales, cambios de la estructura del archivo de contraseñas hash o cualquier modificación de los clientes.
"Cuando se utiliza el esquema de estructura de archivo de hashes de contraseña [...] no habrá una diferencia aparente comparado con el esquema tradicional. Sin embargo, cuando un atacante se infiltra en el archivo de contraseñas hash y trata de crackearlos, las únicas contraseñas que va a conseguir son los ErsatzPasswords o contraseñas falsas".
Configurar una alarma que se activa por intentos de conexión que utilizan estos ErsatzPasswords también hará que las organizaciones estén conscientes de que el archivo de contraseñas de alguna manera se ha visto comprometido y que alguien está tratando de acceder a una cuenta de usuario.
Más detalles sobre ErsatzPasswords se pueden encontrar en el siguiente documento.
