texto:   A-   A+
eliax

Tabla sobre qué tan rápido un hacker puede averiguar tu clave
eliax id: 8498 josé elías en feb 14, 2011 a las 02:58 AM ( 02:58 horas)
Uno de los problemas de seguridad más graves con que todo administrador de sistemas tiene que lidiar es el de las claves de usuarios.

Por un lado, si los usuarios eligen claves muy sencilla, estas pueden ser fácilmente violadas por hackers, y si son muy complejas estas son regularmente olvidadas.

Sin embargo, sea como sea, existen ciertas reglas para crear una clave segura, y para los que crean que esto no tiene importancia, ponderen la siguiente table que detalla qué tan rápido un hacker puede averiguar tu clave, dependiendo del largo y complejidad de esta, utilizando un PC disponible en cualquier tienda del mundo.

Largo: 6 caracteres. Todas en minúsculas: 10 minutos
6 caracteres, mezcla de minúsculas y mayúsculas: 10 horas
6 caracteres, minúsculas + mayúsculas + números/símbolos: 18 días

Largo: 7 caracteres. Todas en minúsculas: 4 horas
7 caracteres, mezcla de minúsculas y mayúsculas: 23 días
7 caracteres, minúsculas + mayúsculas + números/símbolos: 4 años

Largo: 8 caracteres. Todas en minúsculas: 4 días
8 caracteres, mezcla de minúsculas y mayúsculas: 3 años
8 caracteres, minúsculas + mayúsculas + números/símbolos: 463 años

Largo: 9 caracteres. Todas en minúsculas: 4 meses
9 caracteres, mezcla de minúsculas y mayúsculas: 178 años
9 caracteres, minúsculas + mayúsculas + números/símbolos: 44530 años

Otro dato interesante es que las claves más utilizadas son estas: 123456, password, 12345678, qwerty, abc123

Además, se estima que el 50% de los usuarios eligen palabras comunes y simples combinaciones de teclas en sus claves.

Entonces, moraleja: Elegir claves lo más largas posibles, y que mezclen letras minúsculas, mayúsculas, números, y símbolos de teclado.

Sin embargo, noten que estas cifras de tiempos son basadas en equipos accesibles a cualquier persona, pero si tuvieras acceso a una máquina como esta, los tiempos de romper las claves serían dramáticamente más cortos...

fuente

autor: josé elías

Comentarios

  • "Sin embargo, noten que estas cifras de tiempos son basadas en equipos accesibles a cualquier persona, pero si tuvieras acceso a una máquina como esta, los tiempos de romper las claves serían dramáticamente más cortos..."

    Bueno estoy tranquilo, fijo que si alguien tuviese acceso a una máquina como esa para hackear buscaría blancos más provechosos que yo... suiza, gran caimán, que se yo ;)

    Por cierto, cuando haya máquinas cuánticas la criptografía se va a volver algo bastante interesante jajaja.

  • Por cierto, supongo que esos cálculos estan basados en algoritmos de fuerza bruta de "calcule todas las combinaciones" no?

    • Más o menos, y de eso se trata precisamente esta noticia: En vez de utilizar "fuerza bruta" y probar todas las posibles combinaciones, primero se empieza con claves de pocos caracteres de largo, y con palabras comunes, y de ahí se prueban los casos más factibles que le sigan en la lista, y solo al final si no se descubre nada en tiempos prácticos, se procede a algoritmos de fuerza bruta.

      • Otra cosa, aveces algunos sistemas de acceso obligan una espera por ejemplo de 10 segundos entre cada intento, me imagino que eso le resta a la fuerza bruta pues un intento por cada 10 segundos se vuelve una eternidad sin importar que tan rapido sea la computadora.

        Aunque seguro tambien los hackers tienen su truco para ignorar. Eso sin hablar de las cuentas que se bloquean cuando hay muchos intentos que no consiguen conectarse.

        • Magdiel,

          Recuerda que esta técnica no es solo para entrar a páginas web. También sirve para abrir archivos zip con claves, entrar a un sistema operativo local, etc.

          Además, en el ejemplo de una clave de una página web, una técnica que se puede utilizar es atacar por ejemplo a 10,000 cuentas serialmente, en donde esperar varios segundos entre intentos no importaría, ya que para cuando uno regrese a provar con la primera cuenta (después de haber probado 9,999 otras) es posible que ya se tengan varias claves obtenidas (pues recuerda que por pura coincidencia, si utilizadas claves débiles, es posible que adivinen tu clave en uno o pocos intentos).

  • Hummm... no se yo... Todo depende del sistema.

    Muchos sistemas sólo permiten unos pocos intentos. Otros introducen un retardo cuando la clave es incorrecta.

    Claro que si hablamos de romper claves de cifrados ya es otra cosa porque podemos hacerlo en nuestro propio equipo y con nuestras propias reglas. Sin embargo, poquísima gente utiliza cifrado y los que lo hacen están conscientes de su importancia.

  • Tengo una clave que contiene: 11 caracteres, minúsculas + mayúsculas + números, cuanto se tardaria en averiguarla a la fuerza bruta?

  • Una practica cojonuda es utilizar nmotecnicos de alguna frase facil de recordar. Por ejemplo
    Con cien cañones por banda, viento en popa a toda vela...

    Generaria una clave algo asi:
    c100cxbvepatv
    Incluso si queremos complicarla mas podemos poner la primera en mayusculas, o las vocales, ...

  • jeje de mi tiene 17 letras entre mayusculas y minusculas, entonses supongo demorarian "buen" rato jeje
    por mi experiencia , he visto que mucha gente (especialmente jovenes) ponen en su contrasena el nombre de su pareja seguido de "te amor" jejeje me recuerda a los tiempos del colegio cuando queria ser un hacker

  • Mi clave principal, para los sitios importantes. tiene 21 caracteres, sino tiene 10 masomenos.
    Letras, números y símbolos.

    Pero por otro lado, si el hacker no tiene a su disposición una red de zombies, no sería suficiente para detenerlo bloquear el login tras una determinada cantidad de veces que escribe mal el password?

    O sea, a menos que tenga el password encriptado en SU computadora, con, por ejemplo MD5, no creo que un hacker pueda adivinar tan fácilmente un password en un servidor ajeno..

    • Otra cosa importante a entender es que existen otras maneras para obtener tu clave.

      Una sencilla es utilizar un virus troyano que simplemente espere a que entres a páginas cifradas con SSL para después simplemente captar todas las teclas que presiones en tu teclado (un ataque común en Windows).

      Con esa técnica no importa que tan segura sea tu clave, será averiguada casi instantáneamente la utilices...

      Y por eso también es que importante masificar el uso de seguridad biométrica (huellas dactilares, escaneo del iris de tu ojos, etc) que al menos pone una barrera más entre nosotros y los hackers.

      • Claro, y entonces vienen los bancos y se les ocurre la idea de poner un teclado en pantalla.

        A eso los hackers responden capturando las coordenadas de los clicks en pantalla.

        Los bancos entonces desordenan el teclado de la pantalla haciendo que cada vez sea diferente.

        Y los hackers responden capturando la imagen de la pantalla alrededor del lugar donde se hace click.

        Moraleja: cuando la gente se empecina en usar un sistema operativo que no es confiable sólo porque "es fácil" y porque "no tienen tiempo de aprender a usar otra cosa" tienen que hacerse a la idea de que están a la merced de un montón de delincuentes que se aprovechan de ellos y de la debilidad intrínseca del sistema. No se trata de si te van a robar algo importante sino de cuándo ocurrirá. Para colmo a veces a los usuarios más avanzados les pasa antes porque se confían.

  • Una pregunta, es igual para cualquier sistema operativo, o tardaria mas descifrando en uno mas que otro?

    • Los algoritmos son independientes de sistemas operativos, por lo que los ataques son similares (nota que hablamos de algoritmos, no del sistema de seguridad completo en sí, que es un asunto totalmente diferente a esto).

  • Aparte de usar mayusculas + minusculas + numeros....Es buena practica cambiar la contraseña cada cierto periodo de tiempo :)

  • Eliax mira esta web http://howsecureismypassword.net/ te dice cuantop tiempo tarda en decifrar tu password ;)

    saludos desde Colombia

    • Si van a probar esa página NO escriban su clave real, pues no sabemos quien está detrás de esa página (muy bien podría ser un "cosechador" de claves que alimenta programas que violan cuentas de usuarios).

    • "Chivo Juan", jeje!

  • bahhh!! si quieres obtener una contrazeña un ataque de fuerza bruta es lo menos eficiente ai muchisimas maneras de crackear una cuenta de manera mas eficiente, segura y comoda como phishing,troyanos y demas malware 9 44530 años por una contrazeña de 9 caracteres, minúsculas + mayúsculas + números/símbolos cuando el mismo usuario te puede dar la contrazeña sin que se de cuenta...

    • Probablemente si quieras hackear a tu ex novia, eso funcione, quisiera que consigas la clave del tan misterioso "insurance.aes256" usando un troyano.

      ----

      Mi clave tiene 11 dígitos en minuscula, aleatorios, y con simbolos. Creo que es bastante segura jaja.

  • Eliax, la otra vez discutía con un tipo que decía tener un software que podía sacar la contraseña de un rar, me imagino que con fuerza bruta usando diccionarios por lo que le dije que bastana que yo inventara una palabra que no exista ni haya existido en la mente de ningún humano para que ese programa no pueda, a lo que el dijo que sí podría, crees que si escojo de password: miauxx, algún hacker o el mismo programa pueda hackearla así no tenga muchas letras sino nada más 6 ?

    • creo que el atake a fuerza bruta no solo incluye el diccionario sino que prueba todas las combinaciones alfanumericas posibles ejemp. un atake a fuerza bruta seria algo parecido a esto:
      a (denegado)
      aa (denegado)
      ab (denegado)
      ac (denegado)
      az (denegado)
      b (denegado)
      ba
      bc
      bz
      b1...
      c (denegado)
      ca....
      mial...
      miau... (denegado)
      miauxw
      miauxx (acceso autorizado)
      por supuesto no son pocas las combinaciones que el programa deberia probar, serian millones y si tu clave es fuerte hablariamos quizas de decenas de miles de millones de combinaciones.

  • Seria interesante saber cuanto tiempo se tardarian para averiguar una clave que tambien este protegida con un pin alfanumerico?

    (Username, then ( password + pin ))

    no

    (Username, then password, then pin)

  • hehe bueno yo estoy bien entonces.... mi clave contiene 15 caracteres entre minúsculas puntos y números...

  • 9 caracteres, minúsculas + mayúsculas + números/símbolos: 44530 años

    con esto será suficiente... jejeje

  • y si intentamos descifrar en el super ordenador chino ??? cuanto tarda???

  • Los metodos de cifrado RSA son tan faciles como adivinar la clave que el usuario empleo. El problema no esta en el cifrado, sino en la clave mas aun en el cifrado simetrico, el asimetrico basta robar el archivo/clave privada. Luego, los compus cuanticos, son otra cosa. Ya la NSA google y otros tienen compus cuanticos.
    Solo usando sistemas debian con claves con digitos utf-8 estaras a salvo de tu gobierno o proveedor internet. Los sistemas retardo naa, se virtualizan y no hay tiempo de espera. Por ultimo , las camaras de vigilancia publica (biblioteca, calles, bares, etc.) metes tu clave y keda grabada. Mejor visitad mi sitio que es mas divertido y util.
    http://blogthinkbig.com/ordenador-cuantico-nsa/

Añadir Comentario

tu nombre
tu email
(opcional)
web personal
(opcional)
en respuesta a...
comentario de caracteres máximo
4 + 4 = requerido (control anti-SPAM)
¿De qué color es el cielo?: requerido (control anti-SPAM)
 

"Te felicito Eliax. Hace años que casi todos los días me meto en tu blog.
Admiro tu perseverancia.
Tu positivismo.
Tu visión.
Me gusta que eres un hacer de sueños, en lugar de un simple soñador.
Espero que tu hijos hereden esa pasión tuya por vivir a pleno e inspirar a otros.
Gracias por estos 10.000!
"

por "Maty" en feb 10, 2014


en camino a la singularidad...

©2005-2024 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax