El colectivo de investigadores llamado CynoSure, ha analizado los hashes de 320 millones de contraseñas proporcionadas por el investigador Troy Hunt a través de la plataforma de búsqueda Pwned Passwords.

Los resultados

En la investigación, realizada en colaboración con dos especialistas más, se revelaron distintos aspectos.

• Hay estadísticas interesantes respecto a estas contraseñas de la vida real expuestas en filtraciones.
• Esta base de datos contiene 2.5 millones de direcciones de correo y 230,000 combinaciones de correos y contraseñas (Hunt pretende purgar esa información de la base de datos)
• Se encontraron fallas en la herramienta de recuperación de contraseñas Hashcat.

“La contraseña más larga que vimos tiene 400 caracteres, mientras que la más corta tenía solo 3 caracteres. Cerca de 0.06% de las contraseñas eran de 50 caracteres o más, y 96.67% era de 16 caracteres o menos”, aseguró el colectivo.

“Aproximadamente 87.3% de contraseñas caen en el conjunto de caracteres de LowerNum 47.5%, LowerCase 24.75%, Num 8.15%, y MixedNum 6.89%, respectivamente. Además vimos contraseñas codificadas con UTF-8 junto con pases que contienen caracteres de control.”

Contraseñas comprometidas

Hunt puso a disposición la base de datos de Pwned Passwords para que los proveedores de servicio pudieran usarla y así evitar que sus usuarios elijan una contraseña contenida ahí.

“Mientras que podría sonar como una buena idea incluir en la lista negra los 320 millones de contraseñas para mejorar la seguridad, podría tener consecuencias impredecibles en la usabilidad, por ejemplo, podría aumentar la frustración de los usuarios”, advirtió CynoSure Prime.

“El análisis de las contraseñas con hashes que realizó CynoSure Prime sirve como un recordatorio a tiempo de los problemas que podría derivar del uso de ellas”, aseguró el Dr. Jamie Graves, CEO de ZoneFox.

“Inventada en una época más simple, es comprensible por qué algunos argumentan que la humilde contraseña ya no pertenece a un mundo plagado de cibercrimen que ha aumentado en sofisticación. Sin embargo, en lugar de ser relegado completamente, las contraseñas aún tienen un papel fundamental cuando se combinan con otras capas de seguridad en las técnicas de dos o más factores, una práctica bien implementada por compañías como Google y Facebook. Esencialmente han hecho de la contraseña la primera capa de defensa, apoyada por técnicas más sofisticadas, como el listado IP y la autenticación de dos factores, por el cual un mensaje es enviado a un usuario para alertarlo del acceso desde una máquina desconocida”.

Steve Manzuik, director de investigación en seguridad en Duo Security, considera que las contraseñas no deberían ser usadas como el único factor de autenticación, y recomienda que los usuarios aprovechen las ventajas de los gestores de contraseñas.

“El problema principal es que la gente no puede recordar la letanía de contraseñas muy largas o complejas, por lo que se recomienda usar un gestor (muchos de los cuales son gratis). El beneficio es que resguardas todas las contraseñas en una bóveda cifrada y solo necesitas recordar una contraseña para acceder a la bóveda”, aseguró.

“Además, la autenticación de dos factores (2FA), que suena intimidante pero en realidad es muy simple, te protege en caso de que un atacante consiga tu usuario y contraseña. Esta capa extra de seguridad te permite bloquear a cualquier atacante, o cualquier persona que no seas tú, capaz de entrar a tus cuentas después de que ha entrado en tus credenciales de acceso.”

Artículos relacionados:

• Password-fu: guía fácil para contraseñas realmente seguras
• Concienciar para prevenir