[LACNIC/Seguridad] Password Strength

Raul Echeberria raul en lacnic.net
Mar Ago 23 12:04:59 BRT 2011 

Me parecen muy interesantes las tecnologías disponibles en el mercado de reconocimiento de patrones de tipeo.
Si bien está claro que ningun producto o tecnología es suficiente por si mismo, los datos de certeza que tienen estos productos son impresionantes. 

Me parece que es una buena opción de método biométrico para combinar con el uso de otras formas de autenticación.


Raúl  





El 23/08/2011, a las 11:38, Gustavo Fernandez Guirland escribió:

> De acuerdo totalmente contigo Carlos....es que yop creo que a veces en los intercambios de opiniones olvidamos que a mi entender.....LA SEGURIDAD NO ES UNA META ALCANZABLE SINO UN CAMINO CONTINUO, es decir no es finita siempre estamos mejorandola, revisandola, monmitoreandola y buscando vulnerabilidades o posibles incidentes
> 
> El 22 de agosto de 2011 18:37, Carlos Bergero <rak en fcien.edu.uy> escribió:
> Hace mucho tiempo discutiendo temas de seguridad en una lista de Debian, se chocaron 2 visiones de lo que es o debe ser seguridad, y como se debe implementar. Por un lado la visión de un Norteamericano, que planteaba que un buen sistema de seguridad debe ser monolítico y cerrado, contundente, por otro lado un alemán que planteaba que la seguridad se construye como una pared, ladrillo por ladrillo, poco a poco. Personalmente esta última imagen me quedó grabada en la retina, y es un concepto que he visto repetirse seguido y con bastante éxito.
> En este sentido los mecanismos que se utilizan de autenticación sean cuales sean deben estar dimensionados a las necesidades de seguridad de la información o activos a proteger, y es en ese entorno que debería verificarse su "valides".
> 
> En ese contexto, se debería evaluar el mecanismo de autenticación, y establecer los mecanismos necesarios para protegerlo.
> Por ejemplo
> Si hablamos de acceder a un sitio web, ie correo, aplicación o lo que sea, y la información asociada a estos sistemas no es de "vida" o "muerte", perfectamente se puede usar un usuario y clave de baja seguridad, ie, pocos caracteres 6 - 8, quizas incluso sin símbolos de puntuación.
> 
> HEREGÍA!!!!!!! UNA CLAVE SIN SÍMBOLOS!!!!!!
> si ya se una clave así se puede romper en 15 minutos o algo más o menos.
> Pero en que entorno?
> Tengo el hash de la clave y lo tiro Dentro de mi NVIDIA 465 GTX y le corro el password cracker que usa GPUs para probar las claves.
> 
> No ese no es el contexto, se van a establecer conexiones al sitio por medio de una red y se van a intentar varias claves antes de dar con la correcta.
> Voy a eliminar el factor SUERTE, y asumir que al menos voy a recibir alguna centena de conexiones, no, no voy a hacerlas cuentas.
> 
> En ese contexto si alguien una ip intenta lagunos cientos de conexiones contra mi sistema, no debería el sistema haber bloqueado la IP al 3er. o 4to. Intento?
> 
> A PERO SI TE ATACAN CON UN ZOMBIE ARMY, QUE IP BLOQUEAS?
> 
> Primero, lo más probable es que en ese caso esté sufriendo un DDoS.
> Segundo porqué no puedo bloquear al usuario por, 15 minutos? o 20?
> Si le hago un DDoS al usuario y eso está mal. Pero no es menos malo a que le roben la clave, le corten el pulgar y le use el OTP ?
> 
> En muchos casos el uso de un lector biométrico, puede ser razonable, pero me da toda la impresión que están sobrevalorados en lo que se refiere a su eficiencia, y por otro se pretende que resuelvan todo el problema, cuando al ser un problema complejo debería resolverse por más de una medida de control.
> 
> Saludos,
>                Carlos
> 
> El 22/08/11 10:33, Victor Hugo dos Santos escribió:
> 
> 2011/8/20 Gustavo Fernandez Guirland<gfernandezguirland en gmail.com>:
> Justamente...esta mas que claro que el sistema actual de passwords tiene
> muchas vulnerabilidades y cada vez que se inventa una nueva solución caemos
> en el viejo dilema de los 2 platos de la balanza: FACILIDAD DE USO versus
> SEGURIDAD.
> Entonces creo que afinando los sistemas biométricos, ningun ataque de
> diccionario puede romper por fuerza bruta un ID que es irrepetible, deberia
> tener todos los patrones de toda la humanidad...algo improbable.
> Hola,
> 
> creo que la mayoría de las personas/empresas... piensan que por tener
> un dispositivo biométrico, estarán sumamente seguros/protegidos..
> pero, el tema de los biométricos como alguien lo comento antes, esta
> relacionado directamente con la sensibilidad/calidad del
> dispositivo...
> 
> si tenemos un dispositivo que simplemente detecta el color de los iris
> y/o si la huella es circular o cuadrada.. entonces, el sistema no
> sirve.
> 
> en todo caso, por mas que se afine los sistemas biométricos, estés
> siempre tendrán alguna limitación (sea por capacidad, calidad,
> velocidad, accesibilidad o otra excusa que inventemos), por ejemplo,
> hace mucho tiempo que los sistemas son capaces de aceptar contraseñas
> de 255 caracteres o mas, pero los usuarios en el mejor de los casos
> usan 20.
> 
> en base al anterior, es probable que empresas que requieran de
> seguridad y utilcen sistemas biometricos, simplesmente no contraten a
> gemelos, debido a que los sensores no serán capaces de detectar la
> diferencia entre ellos.
> 
> al fin y al cabo, creo que lo que comenta Carlos es el correcto.. todo
> sistema de autenticación presencial "debería" de estar basado en algún
> sistema de doble o triple autenticación.. ejemplos:
> - biometria
> - contraseñas generadas por el usuario
> - alguno sistema de captcha
> - tokens
> - contraseñas de uso único ??
> 
> salu2
> 
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
> 
> 
> 
> -- 
> NetAdmin/Prog. Gustavo Fernández Guirland
> Consultor Informático 
> Soporte/Desarrollo/Infraestructura/Coordinador Docente
> 
> Tel (598) 2 7110517 - 099264161
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad

Raul 
Twitter @raulecheberria

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110823/988a11bc/attachment.html>

Más información sobre la lista de distribución Seguridad