El análisis del listado de 32 millones de credenciales, publicada en Internet por el atacante, muestra datos reveladores sobre las malas prácticas de los usuarios de Internet.
El mes pasado (Diciembre del 2009), un atacante violó la base de datos de la empresa desarrolladora de aplicaciones para sitios de redes sociales (RockYou.com). Teniendo acceso a "username" y "password" de 32 millones de usuarios. Posteriormente, dicho listado fué publicado en Internet.
Cabe mencionar que dicha violación fue llevada a cabo mediante técnicas de SQL Injection, y que los datos (username y password) estaban almacenados en "texto plano", es decir, NO estaban encriptados.
La empresa RockYou.com ya ha hecho el anuncio en su sitio y ha informado que ha tomado nuevas medidas para proteger los datos de sus usuarios.
Sin embargo, lo más trascendente es el análisis realizado por la empresa de seguridad IMPERVA, en el cual revela lo siguiente:
- Aproximadamente el 30% de los passwords tienen un logitud igual o menor a 6 caracteres.
- Casi el 60% de los usuarios seleccionaron su password con una combinación de números y letras.
- Cerca del 50% de los usuarios utilizaron nombres, palabras de diccionario o passwords muy sencillos (digitos consecutivos, teclas adyacentes, etc.).
- Los 10 passwords más populares son:
| Lugar |
Password
|
Cantidad de Usuarios con este Password
|
1
|
123456
|
290731
|
2
|
12345
|
79078
|
| 3 |
123456789 |
76790
|
| 4 |
Password
|
61958
|
| 5 |
iloveyou
|
51622
|
| 6 |
princess |
35231
|
| 7 |
rockyou
|
22588
|
| 8 |
1243567
|
21726
|
| 9 |
12345678
|
20553
|
10
|
abc123
|
17542
|
Estos passwords, utlizando ataques de fuerza bruta, son muy sencillos de adivinar.
Por lo que nuestras prácticas de selección de passwords deben mejorar, he aquí algunos tips:
- Usar passwords de longitud mínima de 10 caractéres.
- No usar passwords basados en información personal, ya que ésta puede ser fácilmente adivinada u obtenida. Es decir, no usar nuestro nombre, email, nombre de la mascota, nombre de la novia (esposa), nombre del equipo favorito de fútbol, etc.
- No usar passwords que contengan palabras que puedan ser encontradas en diccionarios de cualquier lenguaje. Es decir, no usar palabras como "perro", "gato", "edificio", etc.
- Usar mayúsculas y minúsculas, ya que la mayoría de los sistemas de autenticación son "Case-Sensitive".
- Si es posible, utilizar frases en lugar de palabras. Es decir, "Esta contraseña debe ser más difícil de adivinar"
- Combinar letras, números y caractéres especiales (!@#$%^&*,;"). Combinándolo con el tip anterior y haciendo algunas sustituciones, sería algo así: "3st4 contr4s3#4 d3b3 s3r m4s d1f1c1l d3 4d1v1n4r"
- No usar el mismo password para todos los accesos. Es decir, tener un password diferente para cada acceso.
Más información:
Important Security Notice from RockYou
http://www.rockyou.com/help/securityMessage.php
IMPERVA - WhitePaper - Consumer Password Worst Practices
http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
Horacio Serna, CISSP
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla
VITESSE Networks