Imperva ha hecho público el informe “Las malas prácticas en las contraseñas empresariales” , que es continuación del estudio realizado en 2009 titulado “Las Malas prácticas en las contraseñas de usuario” y donde se desgranan en detalle las diferentes técnicas que usan los hackers para robar contraseñas.
“Creemos que la responsabilidad en este ámbito no recae en los usuarios, sino en las empresas, que deben ser las encargadas de promover en su conjunto una disciplina de seguridad de datos completa que aúne tanto una política correcta en materia de contraseñas, como unos procedimientos de seguridad apropiados”, explica Amichai Shulman, CTO de Imperva. Y añade que “las contraseñas deben ser vistas por los equipos TI de las empresas como datos de importancia crítica. Desde Imperva esperamos que esta guía que hemos preparado sirva para que las empresas rectifiquen esas malas prácticas en la gestión de claves”.
El informe elaborado por Imperva analiza los siguientes puntos:
–Cómo los hackers “esquivan” los controles de seguridad que protegen las contraseñas.
-Los recursos on-line empleados por los propios hackers, que son muy accesibles y populares y entre los que existen sitios Web como MD5 decrypter o Cyberwar Zone, y que ponen a su disposición más de 50 millones de combinaciones de posibles contraseñas.
-Los pasos clave que Imperva recomienda a los equipos TI de las empresas para mitigar cualquier violación de las contraseñas. Entre estas recomendaciones se incluyen:
- El uso de “passphrases” o “frases de paso”, es decir, permitir que los usuarios seleccionen contraseñas largas que sean más fáciles de recordar. Estas frases pueden aportan la longitud necesaria y, al mismo tiempo, evitan que el usuario tenga que escribir la contraseña secreta en una nota que luego guarde en su mesa de trabajo.
- Exigir a las empresas políticas más firmes en lo referente a contraseñas. Esto no significa únicamente restricciones en cuanto a los tipos de caracteres, sino que también hace referencia a una necesaria comparación con los diccionarios usados por los hackers. De hecho, un ejemplo reciente lo encontramos en Hotmail que acaba de prohibir el uso de contraseñas comunes; esta situación supone para la empresa no permitir el uso de determinadas claves para sitios específicos, ni tampoco determinadas secuencias númericas o relativas a la disposición del teclado que se puedan considerar previsibles o comunes.
- Utilizar una forma especial de encriptación conocida como “salted digests” o “resumen aleatorio”. Un valor aleatorio o salteado es un valor al azar que se antepone a la contraseña antes de ser encriptada, circunstacia que complica de forma importante el coste para descifrar la contraseña; esto sirve para disuadir a aquellos hackers con motivaciones económicas que tendrían que realizar una mayor inversión para hacerse con este tipo de contraseñas.
Un caso real: analizando 100.000 contraseñas
Como referencia para realizar este estudio, Imperva ha utilizado una base de datos de cerca de 100.000 contraseñas que fueron expuestas recientemente tras una violación de datos a la página Web Filmradar.com. Las conclusiones acerca del estudio son abrumadoras y desvelan que algunas de las formas de encriptación utilizadas hasta el momento por las empresas no son suficientes, y que existen muchas herramientas y recursos en manos de los hackers para poner contra las cuerdas a los guardianes de los datos.
La Web Filmradar.com almacenaba sus datos usando funciones hash, un popular método de encriptación que convierte la contraseña en una serie moderadamente corta de caracteres que la representa. A pesar de esto, utilizando las denominadas “Rainbow Tablets” o “tablas arco-iris”, listados de datos con valores hash y sus equivalentes en combinación alfanumérica que se hallan a libre disposición de los hackers en algunos sitios Webs, Imperva comprobó que era posible averiguar un 77% de dichas contraseñas en menos de 10 minutos.
Otro de los recursos usados por los hackers son los “Diccionarios”, listas de contraseñas comunes con su valor hash pre-calculado. Debido a la tendencia de muchos usuarios de utilizar claves muy comunes relacionadas con nombres o series de números sencillas – en el anterior estudio publicado Imperva desvelaba que la contraseña más habitual era 123456-, la fórmula de los diccionarios resulta muy útil y aplicada a la lista de Filmradar.como sirvió para dar fácilmente con un 5% de las contraseñas.
Por último, cabe destacar de este estudio real, que si bien son las empresas las que han de aplicar las políticas y poner los límites en el uso de las contraseñas, siguen siendo muchos los usuarios que usan claves similares, predecibles o que siguen unos patrones iguales. Por ejemplo, en el listado de Filmradar.com:
- El 10% de las claves estaban dentro del listado de las 100 contraseñas más habituales en Internet
- Las 15 claves más repetidas por los usuarios sumaban cerca de 5.000, desvelando que la contraseña más frecuente se repetía idéntica en más de 1.500 usuarios.
- La mayoría de las contraseñas comunes empezaban por una palabra y se cerraban con una secuencia numérica.