[LACNIC/Seguridad] Password Strength

Carlos Bergero rak en fcien.edu.uy
Lun Ago 22 18:37:29 BRT 2011 

Hace mucho tiempo discutiendo temas de seguridad en una lista de Debian, 
se chocaron 2 visiones de lo que es o debe ser seguridad, y como se debe 
implementar. Por un lado la visión de un Norteamericano, que planteaba 
que un buen sistema de seguridad debe ser monolítico y cerrado, 
contundente, por otro lado un alemán que planteaba que la seguridad se 
construye como una pared, ladrillo por ladrillo, poco a poco. 
Personalmente esta última imagen me quedó grabada en la retina, y es un 
concepto que he visto repetirse seguido y con bastante éxito.
En este sentido los mecanismos que se utilizan de autenticación sean 
cuales sean deben estar dimensionados a las necesidades de seguridad de 
la información o activos a proteger, y es en ese entorno que debería 
verificarse su "valides".

En ese contexto, se debería evaluar el mecanismo de autenticación, y 
establecer los mecanismos necesarios para protegerlo.
Por ejemplo
Si hablamos de acceder a un sitio web, ie correo, aplicación o lo que 
sea, y la información asociada a estos sistemas no es de "vida" o 
"muerte", perfectamente se puede usar un usuario y clave de baja 
seguridad, ie, pocos caracteres 6 - 8, quizas incluso sin símbolos de 
puntuación.

HEREGÍA!!!!!!! UNA CLAVE SIN SÍMBOLOS!!!!!!
si ya se una clave así se puede romper en 15 minutos o algo más o menos.
Pero en que entorno?
Tengo el hash de la clave y lo tiro Dentro de mi NVIDIA 465 GTX y le 
corro el password cracker que usa GPUs para probar las claves.

No ese no es el contexto, se van a establecer conexiones al sitio por 
medio de una red y se van a intentar varias claves antes de dar con la 
correcta.
Voy a eliminar el factor SUERTE, y asumir que al menos voy a recibir 
alguna centena de conexiones, no, no voy a hacerlas cuentas.

En ese contexto si alguien una ip intenta lagunos cientos de conexiones 
contra mi sistema, no debería el sistema haber bloqueado la IP al 3er. o 
4to. Intento?

A PERO SI TE ATACAN CON UN ZOMBIE ARMY, QUE IP BLOQUEAS?

Primero, lo más probable es que en ese caso esté sufriendo un DDoS.
Segundo porqué no puedo bloquear al usuario por, 15 minutos? o 20?
Si le hago un DDoS al usuario y eso está mal. Pero no es menos malo a 
que le roben la clave, le corten el pulgar y le use el OTP ?

En muchos casos el uso de un lector biométrico, puede ser razonable, 
pero me da toda la impresión que están sobrevalorados en lo que se 
refiere a su eficiencia, y por otro se pretende que resuelvan todo el 
problema, cuando al ser un problema complejo debería resolverse por más 
de una medida de control.

Saludos,
                 Carlos

El 22/08/11 10:33, Victor Hugo dos Santos escribió:
> 2011/8/20 Gustavo Fernandez Guirland<gfernandezguirland en gmail.com>:
>> Justamente...esta mas que claro que el sistema actual de passwords tiene
>> muchas vulnerabilidades y cada vez que se inventa una nueva solución caemos
>> en el viejo dilema de los 2 platos de la balanza: FACILIDAD DE USO versus
>> SEGURIDAD.
>> Entonces creo que afinando los sistemas biométricos, ningun ataque de
>> diccionario puede romper por fuerza bruta un ID que es irrepetible, deberia
>> tener todos los patrones de toda la humanidad...algo improbable.
> Hola,
>
> creo que la mayoría de las personas/empresas... piensan que por tener
> un dispositivo biométrico, estarán sumamente seguros/protegidos..
> pero, el tema de los biométricos como alguien lo comento antes, esta
> relacionado directamente con la sensibilidad/calidad del
> dispositivo...
>
> si tenemos un dispositivo que simplemente detecta el color de los iris
> y/o si la huella es circular o cuadrada.. entonces, el sistema no
> sirve.
>
> en todo caso, por mas que se afine los sistemas biométricos, estés
> siempre tendrán alguna limitación (sea por capacidad, calidad,
> velocidad, accesibilidad o otra excusa que inventemos), por ejemplo,
> hace mucho tiempo que los sistemas son capaces de aceptar contraseñas
> de 255 caracteres o mas, pero los usuarios en el mejor de los casos
> usan 20.
>
> en base al anterior, es probable que empresas que requieran de
> seguridad y utilcen sistemas biometricos, simplesmente no contraten a
> gemelos, debido a que los sensores no serán capaces de detectar la
> diferencia entre ellos.
>
> al fin y al cabo, creo que lo que comenta Carlos es el correcto.. todo
> sistema de autenticación presencial "debería" de estar basado en algún
> sistema de doble o triple autenticación.. ejemplos:
> - biometria
> - contraseñas generadas por el usuario
> - alguno sistema de captcha
> - tokens
> - contraseñas de uso único ??
>
> salu2
>

Más información sobre la lista de distribución Seguridad