[LACNIC/Seguridad] Password Strength

[Gustavo Fernandez Guirland]

De acuerdo totalmente contigo Carlos....es que yop creo que a veces en los
intercambios de opiniones olvidamos que a mi entender.....LA SEGURIDAD NO ES
UNA META ALCANZABLE SINO UN CAMINO CONTINUO, es decir no es finita siempre
estamos mejorandola, revisandola, monmitoreandola y buscando
vulnerabilidades o posibles incidentes

El 22 de agosto de 2011 18:37, Carlos Bergero <rak en fcien.edu.uy> escribió:

> Hace mucho tiempo discutiendo temas de seguridad en una lista de Debian, se
> chocaron 2 visiones de lo que es o debe ser seguridad, y como se debe
> implementar. Por un lado la visión de un Norteamericano, que planteaba que
> un buen sistema de seguridad debe ser monolítico y cerrado, contundente, por
> otro lado un alemán que planteaba que la seguridad se construye como una
> pared, ladrillo por ladrillo, poco a poco. Personalmente esta última imagen
> me quedó grabada en la retina, y es un concepto que he visto repetirse
> seguido y con bastante éxito.
> En este sentido los mecanismos que se utilizan de autenticación sean cuales
> sean deben estar dimensionados a las necesidades de seguridad de la
> información o activos a proteger, y es en ese entorno que debería
> verificarse su "valides".
>
> En ese contexto, se debería evaluar el mecanismo de autenticación, y
> establecer los mecanismos necesarios para protegerlo.
> Por ejemplo
> Si hablamos de acceder a un sitio web, ie correo, aplicación o lo que sea,
> y la información asociada a estos sistemas no es de "vida" o "muerte",
> perfectamente se puede usar un usuario y clave de baja seguridad, ie, pocos
> caracteres 6 - 8, quizas incluso sin símbolos de puntuación.
>
> HEREGÍA!!!!!!! UNA CLAVE SIN SÍMBOLOS!!!!!!
> si ya se una clave así se puede romper en 15 minutos o algo más o menos.
> Pero en que entorno?
> Tengo el hash de la clave y lo tiro Dentro de mi NVIDIA 465 GTX y le corro
> el password cracker que usa GPUs para probar las claves.
>
> No ese no es el contexto, se van a establecer conexiones al sitio por medio
> de una red y se van a intentar varias claves antes de dar con la correcta.
> Voy a eliminar el factor SUERTE, y asumir que al menos voy a recibir alguna
> centena de conexiones, no, no voy a hacerlas cuentas.
>
> En ese contexto si alguien una ip intenta lagunos cientos de conexiones
> contra mi sistema, no debería el sistema haber bloqueado la IP al 3er. o
> 4to. Intento?
>
> A PERO SI TE ATACAN CON UN ZOMBIE ARMY, QUE IP BLOQUEAS?
>
> Primero, lo más probable es que en ese caso esté sufriendo un DDoS.
> Segundo porqué no puedo bloquear al usuario por, 15 minutos? o 20?
> Si le hago un DDoS al usuario y eso está mal. Pero no es menos malo a que
> le roben la clave, le corten el pulgar y le use el OTP ?
>
> En muchos casos el uso de un lector biométrico, puede ser razonable, pero
> me da toda la impresión que están sobrevalorados en lo que se refiere a su
> eficiencia, y por otro se pretende que resuelvan todo el problema, cuando al
> ser un problema complejo debería resolverse por más de una medida de
> control.
>
> Saludos,
>                Carlos
>
> El 22/08/11 10:33, Victor Hugo dos Santos escribió:
>
>  2011/8/20 Gustavo Fernandez Guirland<gfernandezguirland@**gmail.com<gfernandezguirland en gmail.com>
>> >:
>>
>>> Justamente...esta mas que claro que el sistema actual de passwords tiene
>>> muchas vulnerabilidades y cada vez que se inventa una nueva solución
>>> caemos
>>> en el viejo dilema de los 2 platos de la balanza: FACILIDAD DE USO versus
>>> SEGURIDAD.
>>> Entonces creo que afinando los sistemas biométricos, ningun ataque de
>>> diccionario puede romper por fuerza bruta un ID que es irrepetible,
>>> deberia
>>> tener todos los patrones de toda la humanidad...algo improbable.
>>>
>> Hola,
>>
>> creo que la mayoría de las personas/empresas... piensan que por tener
>> un dispositivo biométrico, estarán sumamente seguros/protegidos..
>> pero, el tema de los biométricos como alguien lo comento antes, esta
>> relacionado directamente con la sensibilidad/calidad del
>> dispositivo...
>>
>> si tenemos un dispositivo que simplemente detecta el color de los iris
>> y/o si la huella es circular o cuadrada.. entonces, el sistema no
>> sirve.
>>
>> en todo caso, por mas que se afine los sistemas biométricos, estés
>> siempre tendrán alguna limitación (sea por capacidad, calidad,
>> velocidad, accesibilidad o otra excusa que inventemos), por ejemplo,
>> hace mucho tiempo que los sistemas son capaces de aceptar contraseñas
>> de 255 caracteres o mas, pero los usuarios en el mejor de los casos
>> usan 20.
>>
>> en base al anterior, es probable que empresas que requieran de
>> seguridad y utilcen sistemas biometricos, simplesmente no contraten a
>> gemelos, debido a que los sensores no serán capaces de detectar la
>> diferencia entre ellos.
>>
>> al fin y al cabo, creo que lo que comenta Carlos es el correcto.. todo
>> sistema de autenticación presencial "debería" de estar basado en algún
>> sistema de doble o triple autenticación.. ejemplos:
>> - biometria
>> - contraseñas generadas por el usuario
>> - alguno sistema de captcha
>> - tokens
>> - contraseñas de uso único ??
>>
>> salu2
>>
>>
> ______________________________**_________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/**mailman/listinfo/seguridad<https://mail.lacnic.net/mailman/listinfo/seguridad>
>



-- 
NetAdmin/Prog. Gustavo Fernández Guirland
Consultor Informático
Soporte/Desarrollo/Infraestructura/Coordinador Docente

Tel (598) 2 7110517 - 099264161
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110823/16b066bf/attachment.html>