La usabilidad de las contraseñas: (por @ Baekdal).
Written by Thomas Baekdal | Saturday, August 11, 2007 | Section: tips Escrito por Thomas Baekdal | Sábado, 11 de agosto 2007 | Sección: consejos
Security companies and IT people constantly tells us that we should use complex and difficult passwords. Las empresas de seguridad y de TI la gente constantemente nos dice que debemos usar contraseñas complejas y difíciles. This is bad advice, because you can actually make usable, easy to remember and highly secure passwords. Este es un mal consejo, porque en realidad se puede hacer contraseñas útil, fácil de recordar y muy segura. In fact, usable passwords are often far better than complex ones. De hecho, las contraseñas utilizables son a menudo mucho mejor que las complejas.
So let's dive into the world of passwords, and look at what makes a password secure in practical terms. Así que vamos a bucear en el mundo de las contraseñas, y mira lo que hace que una contraseña segura en términos prácticos.
Update: Read the FAQ (updated January 2011) Actualización: Lea las preguntas frecuentes (actualizado en enero de 2011)
How to hack a password Cómo hackear una contraseña
The work involved in hacking passwords is very simple. La labor de hackear contraseñas es muy simple. There are 5 proven ways to do so: Hay 5 formas comprobadas de hacerlo:
- Asking : Amazingly the most common way to gain access to someone's password is simply to ask for it (often in relation with something else). Preguntar: Sorprendentemente la forma más común para acceder a la contraseña de alguien es simplemente para pedir que (a menudo en relación con otra cosa). People often tell their passwords to colleagues, friends and family. La gente suele decir a sus contraseñas a los colegas, amigos y familiares. Having a complex password policy isn't going to change this. Tener una política de contraseñas complejas no va a cambiar esta situación.
- Guessing : This is the second most common method to access a person's account. Adivinar: Este es el segundo método más común para acceder a la cuenta de una persona. It turns out that most people choose a password that is easy to remember, and the easiest ones are those that are related to you as a person. Resulta que la mayoría de la gente elige una contraseña que sea fácil de recordar, y las más fáciles son las que se relacionan con usted como persona. Passwords like: your last name, your wife's name, the name of your cat, the date of birth, your favorite flower etc. are all pretty common. Contraseñas como: su apellido, el nombre de su esposa, el nombre de su gato, la fecha de nacimiento, su flor favorita, etc son todos bastante común. This problem can only be solved by choosing a password with no relation to you as a person. Este problema sólo puede resolverse mediante la elección de una contraseña sin relación con usted como persona.
- Brute force attack : Very simple to do. la fuerza bruta ataque: Muy fácil de hacer. A hacker simply attempts to sign-in using different passwords one at the time. Un hacker simplemente intentos de inicio de sesión en el uso de una contraseña diferente en el momento. If you password is "sun", he will attempt to sign-in using "aaa, aab, aac, aad ... sul, sum, sun (MATCH) ". Si la contraseña es "sol", que tratará de inicio de sesión en el uso de "AAA, AAB, aad sul, suma aac ..., el sol (partido)". The only thing that stops a brute force attack is higher complexity and longer passwords (which is why IT people want you to use just that). Lo único que impide que un ataque de fuerza bruta es más alta complejidad y las contraseñas más largas (por lo que la gente quiere usar sólo eso).
- Common word attacks : A simple form of brute-force attacks, where the hacker attempt to sign-in using a list of common words. palabra ataques comunes: Una forma simple de la fuerza bruta ataques, donde el intento de hacker para inscribirse en el uso de una lista de palabras comunes. Instead of trying different combination of letters, the hacker tries different words eg "sum, summer, summit, sump, sun (MATCH) ". En lugar de intentar diferentes combinaciones de letras, el hacker trata de palabras diferentes, por ejemplo "suma, el verano, cumbre, del colector de aceite, el sol (partido)".
- Dictionary attacks : Same concept as common word attacks - the only difference is that the hacker now uses the full dictionary of words (there are about 500,000 words in the English language). Los ataques de diccionario: el concepto mismo que los ataques palabra común - la única diferencia es que el hacker utiliza ahora el completo diccionario de palabras (hay alrededor de 500.000 palabras en el idioma Inglés).
When is a password secure? Cuando es una contraseña segura?
You cannot protect against "asking" and "guessing", but you can protect yourself from the other forms of attacks. No se puede proteger contra el "pedir" y "adivinando", pero usted puede protegerse de las otras formas de ataques. A hacker will usually create an automated script or a program that does the work for him. Un hacker suele crear un script automatizado o un programa que hace el trabajo por él. He isn't going to sit around manually trying 500,000 different words to see if one of them is your password. Él no va a sentarse a tratar de forma manual 500.000 palabras diferentes para ver si uno de ellos es su contraseña.
The measure of security must then be " how many password requests can the automated program make - eg per second ". La medida de seguridad a continuación debe ser "como contraseña muchas peticiones puede el programa automatizado que - por ejemplo, por segundo". The actual number varies, but most web applications would not be capable of handling more than 100 sign-in requests per second. El número real varía, pero la mayoría de las aplicaciones web no sería capaz de manejar más de 100 de inicio de sesión en las solicitudes por segundo.
This means it takes the following time to hack a simple password like " sun ": Esto significa que se toma el tiempo después de hackear una contraseña simple como "sol":
- Brute-force: 3 minutes Fuerza bruta: 3 minutos
- Common Word: 3 minutes Palabra común: 3 minutos
- Dictionary: 1 hour 20 minutes Diccionario: 1 hora 20 minutos
Note: "sun" has 17,576 possible character combinations. Nota: "sol" tiene 17.576 combinaciones posibles de caracteres. 3 letters using the lowercase alphabet = 26 3 3 letras usando el alfabeto minúscula = 26 3
This is of course a highly insecure password, but how much time is enough for a password to be secure? Esto es por supuesto una contraseña muy inseguro, pero cuánto tiempo es suficiente para que una contraseña sea segura?
- a password that can be hacked in 1 minute is far too riksy una contraseña que puede ser hackeado en 1 minuto es demasiado riksy
- 10 minutes - still far too risky 10 minutos - y sigue siendo demasiado arriesgada
- 1 hour - still not good enough 1 hora - todavía no es suficiente
- 1 day - now we are getting somewhere. 1 día - ahora estamos llegando a alguna parte. The probability that a person will have a program running just to hack your account for an entire day is very little. La probabilidad de que una persona va a tener un programa que se ejecuta sólo para hackear su cuenta durante todo un día es muy poco. Still, it is plausible. Sin embargo, es plausible.
- 1 month - this is something that only a dedicated attacker would do. 1 mes - esto es algo que sólo un atacante dedicada haría.
- 1 year - now we are moving from practical risk to theoretical risk. 1 año - ahora estamos pasando de la práctica de riesgo para el riesgo teórico. If you are NASA or CIA then it is unacceptable. Si eres la NASA o la CIA, entonces es inaceptable. For the rest of us, well - you do not have that kind of enemies, nor is your company data that interesting. Para el resto de nosotros, y - usted no tiene esa clase de enemigos, ni datos de su empresa que interesante.
- 10 years - Now we are talking purely theoretical. 10 años - Ahora estamos hablando puramente teórica.
- A lifetime: 100 years - this is really the limit for most people. Toda una vida: 100 años - esto es realmente el límite para la mayoría de la gente. Who cares about their password being hacked after they have died? ¿Quién se preocupa por su contraseña ser hackeado después de que han muerto? Still it is nice to know that you use a password that is "secure for life" Sin embargo es bueno saber que usar una contraseña que es "seguro para la vida"
But let's take a full swing at this. Pero vamos a tomar un giro completo en esto. Let's look at "100 year - secure for life". Echemos un vistazo a "100 años - de forma segura su vida". It has good ring to it and it makes us feel safe. Tiene buena anillo a ella y nos hace sentir seguros. There is still the chance that the hacker gets lucky. Todavía existe la posibilidad de que el hacker tiene suerte. That he accidently finds the right password after only 15 years instead of 100. El hecho de que accidentalmente encuentra la contraseña después de sólo 15 años, en lugar de 100. It happens. Sucede.
Let's step that up too and go for the full high-end security level. Veamos la situación que demasiado e ir a por el nivel de seguridad completa de gama alta. I want a password that takes 1,000 years to crack - let's call this " secure forever ". Quiero una contraseña que tiene 1.000 años de roer - vamos a llamar a esto "estable para siempre". That ought to be good enough, right? Eso debería ser lo suficientemente bueno, ¿verdad?
Making usable and secure passwords Hacer contraseñas útil y seguro
Now that we have covered the basics, let's look at some real examples, and see just how usable we can make a password, while still being "secure forever". Ahora que hemos cubierto lo básico, veamos algunos ejemplos reales, y ver lo útil que puede crear una contraseña, sin dejar de ser "estable para siempre".
Note: The examples below are based on 100 password request per second. Nota: Los siguientes ejemplos se basan en la petición de contraseña 100 por segundo. The result is the approach that is the most effective way to hack that specific password - either being by the use of brute-force, common words or dictionary attacks. El resultado es el enfoque que es la forma más efectiva de hackear la contraseña específica - ya sea que por el uso de la fuerza bruta, las palabras comunes o ataques de diccionario.
First let's look at the common 6 character password - using different methods: En primer lugar vamos a ver la contraseña de carácter común 6 - utilizando diferentes métodos:
In this example complexity clearly wins. En esta complejidad ejemplo gana claramente. Using a password with mixed case characters, numbers and symbols is far more secure than anything else. Uso de una contraseña con caracteres mayúsculas y minúsculas, números y símbolos es mucho más segura que cualquier otra cosa. Using a simple word as your password is clearly useless. Utilizando una simple palabra como contraseña es claramente inútil.
Does that mean that the IT-departments and security companies is right? ¿Significa eso que el IT-departamentos y empresas de seguridad es la correcta? Nope, it just means that a 6 character password isn't going to work. No, sólo significa que una contraseña de 6 caracteres no va a funcionar. None can remember a password like "J4fS<2", which evidently mean that it will be written on a post-it note. Nadie puede recordar una contraseña como "J4fS <2", lo que evidentemente significa que será escrito en un post-it.
To make usable passwords we need to look at them differently. Para hacer utilizables las contraseñas que tenemos que mirar de manera diferente. First of all what you need is to use words you can remember, something simple and something you can type fast. En primer lugar lo que necesita es utilizar palabras que usted pueda recordar, algo simple y algo que usted puede mecanografiar rápidamente.
Like these: Como los siguientes:
Using more than one simple word as your password increases you security substantially (from 3 minutes to 2 months). El uso de más de una palabra simple como su contraseña, aumenta considerablemente la seguridad (de 3 minutos y 2 meses). But, by simply using 3 words instead of two, you suddenly got an extremely secure password. Pero, simplemente usando tres palabras en lugar de dos, de repente tiene una contraseña muy segura.
It takes: Se necesita:
- 1,163,859 years using a brute-force method 1.163.859 años utilizando un método de fuerza bruta
- 2,537 years using a common word attack 2.537 años con un ataque palabra común
- 39,637,240 years using a dictionary attack 39.637.240 años con un ataque de diccionario
It is 10 times more secure to use "this is fun" as your password, than "J4fS<2". Es 10 veces más seguro de usar "esto es divertido" como contraseña, que "J4fS <2".
If you want to be insanely secure; simply choose uncommon words as your password - like: Si quieres estar increíblemente seguro; sólo tiene que elegir palabras poco comunes como contraseña - como:
A usable and secure password is then not a complex one. Una contraseña segura es utilizable y entonces no compleja. It is one that you can remember - a simple password using 3+ words. Se trata de uno que pueda recordar - una contraseña simple con 3 + palabras.
It is not just about passwords No es sólo acerca de las contraseñas
One thing is to choose a secure and usable password. Una cosa es elegir una contraseña segura y útil. Another thing is to prevent the hacker from hacking password in the first place. Otra cosa es evitar que el hacker de hacking contraseña en el primer lugar. This is a very simple thing to do. Esto es una cosa muy simple de hacer.
All you need to do is to prevent automatic hacking scripts from working effectively. Todo lo que necesitas hacer es evitar que las secuencias de comandos automáticas de hacking de trabajar con eficacia. What you need to do is this: Lo que hay que hacer es lo siguiente:
- Add a time-delay between sign-in attempts. Instead of allowing people to sign-in again and again and again. Añadir un tiempo de retraso entre el inicio de sesión en los intentos. En lugar de permitir que las personas a firmar en una y otra vez y otra vez. Add a 5 second delay between each attempt. Añadir un retraso de 5 segundos entre cada intento.
It is short enough to not be noticeable (it takes longer than 5 seconds to realize that you have tried a wrong password, and to type in a new one). Es lo suficientemente corto como para que no se note (se tarda más de 5 segundos para darse cuenta de que han intentado una contraseña incorrecta, y para escribir uno nuevo). And, it forces the hacker to only be able make sign-in requests 1 every 5 seconds (instead of 100 times per second). Y, obliga al hacker para ser capaz de hacer que el inicio de sesión en las solicitudes de 1 cada 5 segundos (en lugar de 100 veces por segundo). - Add a penalty period if a person has typed a wrong password more than - say - 10 times - of something like 1 hour. Añadir un periodo de sanción si una persona ha escrito una contraseña incorrecta más de - digamos - 10 veces - de algo así como 1 hora. Again, this seriously disrupts the hacking script from working effectively. De nuevo, esto perturba gravemente el script de hacking de trabajar con eficacia.
A hacker can hack the password "alpine fun" in only 2 months if he is able to attack your server 100 times per second. Un hacker puede hackear la contraseña de "diversión alpino" en tan sólo 2 meses, si es capaz de atacar el servidor 100 veces por segundo. But, with the penalty period and the 5 second delay, the same password can suddenly sustain an attack for 1,889 years. Pero, con el periodo de sanción y el retraso de 5 segundos, la misma contraseña de repente puede soportar un ataque de 1.889 años.
Remember this the next time you are making web applications or discussing password policies. Passwords can be made both highly secure and user-friendly . Recuerde esto la próxima vez que usted la está haciendo aplicaciones web o discutir las políticas de contraseñas. Las contraseñas pueden ser tanto de alta seguridad y fácil de usar.
Update: Read the FAQ (updated January 2011) Actualización: Lea las preguntas frecuentes (actualizado en enero de 2011)
