ESET Latinoamérica – Laboratorio » Blog Archive » Descubrir una contraseña de seis caracteres en 4 segundos

La tecnología avanza sin precedentes y, con eso, debería hacerlo el usuario en tratar de mantenerse al margen de los abusos que realizan de ella en beneficio de algunos delincuentes.

A través de la explotación de la arquitectura de los procesadores gráficos se han realizado importantes mejoras a nivel de procesamiento de datos. Esos avances, lamentablemente, también son utilizados por los atacantes para maximizar la eficiencia de sus ataques. Por lo tanto, la investigación de nuevas tecnologías no siempre va tener un fin positivo. Como las empresas de hardware no pueden controlar estrictamente el uso que será dado a sus dispositivos, es responsabilidad del usuario tomar medidas para prevenir posibles ataques. A continuación, analizaremos datos que nos revelan que el paralelismo proporcionado por los procesadores gráficos a través del procesamiento multi-hilo puede superar ampliamente el procesamiento de las CPU en el descifrado de contraseñas.

Capacidad de procesamiento

Los estudios arrojan resultados devastadores de utilización de GPU sobre CPU en ataques de fuerza bruta. Una contraseña de 5 caracteres alfanuméricos puede ser vulnerada, por una CPU promedio actual, en 24 segundos a una tasa de 9.8 millones comparaciones por segundo. Ese número que realmente parece asombroso, resulta ínfimo si lo comparamos con la tasa de procesamiento que puede tener una GPU (ATI Radeon 5770), ya que puede realizar 3300 millones de comparaciones por segundo. En este caso, la velocidad en que el procesador gráfico descifraría la clave es menor a un segundo.

En caso de aumentar su longitud, y contar con una clave de 9 caracteres combinando números, letras en mayúsculas y minúsculas y símbolos, entonces a la CPU le llevaría 43 años descifrar la clave mientras que la GPU la estaría rompiendo en aproximadamente un mes y medio.

Buenas prácticas y sugerencias

Esto significa que combinar letras con números es una muy buena práctica, no obstante el usuario ahora debe hacer más que nunca mayor énfasis en la longitud de sus claves. De hecho, cuanto mayor la capacidad de procesamiento que tengan los atacantes, mayor es la longitud que debe tener la clave del usuario para no salir perdiendo en el desfasaje tecnológico.

A continuación, enumeramos algunas sugerencias importantes:

Un carácter más, siempre va aumentar exponencialmente la complejidad de la clave.
Cambiar caracteres por números similares para poder recordarlos (A=4, E=3, I=1, etc.).
Utilizar varias palabras juntas.
Mezclar los números en las palabras para que ninguna palabra pertenezca a algún idioma.

La siguiente contraseña de ejemplo: L4c4s4d3cr1st4l!; puede ayudar a ilustrar al lector un caso de una contraseña de 16 dígitos, con mayúsculas, minúsculas, números y símbolos que no es tan difícil de recordar para el usuario y que con la tecnología existente se tardarían miles de años en poder descifrarla.

Raphael Labaca Castro
Awareness & Research Specialist

Promedio: 5

Compartir en |

Categorias: Curiosidades, Educación
20 Comentarios »

Phishing afecta a usuarios de importante banco de Panamá | Tecnología dijo:
20-7-2012 a las 6:30 pm

[...] se solicita el nombre de usuario. Una vez que dicha información es proveída, se pide la contraseña de acceso a la cuenta. Finalmente, se requiere que la víctima ingrese las coordenadas que aparecen [...]

Raphael Labaca Castro dijo:
3-7-2012 a las 4:54 pm

Estimado:

La contraseña: L4c4s4d3cr1st4l!, citada en el post, tiene mayúsculas, minúsculas, números y signos. Adicionalmente, una longitud de 16 caracteres. En ese formato la cantidad de posibles combinaciones asciende, por lo menos, a 62^16 (considerando la cantidad de caracteres especiales). Por lo tanto, es un número interesante de combinaciones para prevenir un ataque de fuerza bruta. Por otro lado, como bien dices, es posible que en algún momento se quede en el tiempo dados los avances tecnológicos en la capacidad de procesamiento, no obstante, por ahora, podríamos considerarla como una contraseña fuerte.

Saludos,
Raphael

HacKan dijo:
3-7-2012 a las 12:15 am

Ehm… “L4casadecristal..” es igualmente segura y mas fácil de recordar… en este ultimo tiempo se hablo mucho sobre contraseñas seguras, y creo que este post, en particular en el ultimo párrafo, se quedó en el tiempo…

ESET: Robo de credenciales, el objetivo de los ciberdelincuentes | Computerworld Venezuela dijo:
3-5-2012 a las 9:00 am

[...] -Descubrir una contraseña de 6 caracteres en 4 segundos: http://blogs.eset-la.com/laboratorio/2011/10/13/descubrir-contrasena-seis-caracteres-4-segundos/ [...]

Contraseñas: el punto débil del usuario latinoamericano dijo:
25-4-2012 a las 1:00 pm

[...] comenta el blog, más allá de las buenas prácticas para crear contraseñas seguras, “el uso de cuentas de usuarios administrador resulta muy [...]

Las contraseñas siguen siendo un punto débil de los usuarios | Antifraude dijo:
24-4-2012 a las 5:00 pm

[...] privilegios de administrador (55,3% protegidos con contraseña, 22,9% sin). Más allá de las buenas prácticas que se deben aplicar para crear contraseñas seguras, el uso de cuentas de usuarios [...]

Las contraseñas siguen siendo un punto débil de los usuarios | B1nary0's Web dijo:
23-4-2012 a las 2:31 am

ESET Latinoamérica – Laboratorio » Blog Archive » Microsoft vulnerado en Youtube dijo:
24-10-2011 a las 11:22 am

[...] de contraseñas que no son fuertes, es decir, contraseñas fáciles de corromper con , por ejemplo, una placa de video. Para evitar una posibilidad de estos tipos de ataques es importante contar con una contraseña [...]

GPU para obtener contraseñas en instantes « ΔΠҜ ÛяǾ฿ØЯø dijo:
23-10-2011 a las 4:04 pm

[...] en seguridad como ESET Latinoamerica advierten del peligro que representa una tecnología así en manos equivocadas… Pero tranquilos, [...]

Descubrir una contraseña de seis caracteres en 4 segundos | B1nary0's Web dijo:
20-10-2011 a las 1:53 am

[...] Raphael Labaca Castro Awareness & Research Specialist Compartir en [...]

GPU para obtener contraseñas en instantes | Carvajal Computación dijo:
19-10-2011 a las 11:58 am

GPU : obtener contraseñas en instantes | Techeek's Blog dijo:
17-10-2011 a las 12:04 pm

GPU para obtener contraseñas en instantes « geeksomostodos dijo:
17-10-2011 a las 11:34 am

GPU para Hackers « Sistemas Imposibles dijo:
17-10-2011 a las 8:02 am

Descubrir una contraseña de seis caracteres en 4 segundos dijo:
16-10-2011 a las 6:54 pm

[...] consultadas: GPU para obtener contraseñas en instantes | Descubrir contraseñas en segundos | Youtube | Wikipedia Temas relacionados:Campus Party: Seguridad Informática y Análisis [...]

GPU para obtener contraseñas en instantes | Monky dijo:
15-10-2011 a las 8:27 pm

GPU para obtener contraseñas en instantes | R-NET dijo:
15-10-2011 a las 7:49 pm

[...] en seguridad como ESET Latinoamerica advierten del peligro que representa una tecnología así en manos equivocadas… Pero [...]

DESCOBRIR UMA SENHA DE SEIS CARACTERES EM 4 SEGUNDOS « ANTENA PARANÓICA dijo:
15-10-2011 a las 6:51 pm

[...] artigo sobre a escolha de senhas para a rede de computadores me chamou a atenção no blog do Laboratorio. Nele, fala-se sobre o avanço da tecnologia que tem alcançado desempenhos sem precedentes e, com [...]

GPU para obtener contraseñas en instantes - La Isla Buscada dijo:
15-10-2011 a las 11:41 am

mario pòrtillo quispe dijo:
14-10-2011 a las 12:45 am

es muy buena deso probarla en su periodo de prueba

Descubrir una contraseña de seis caracteres en 4 segundos

20 Comentarios en “Descubrir una contraseña de seis caracteres en 4 segundos”

Comentarios

Categorias

Archivos

Nube de tags