[LACNIC/Seguridad] Password Strength

Gustavo Fernandez Guirland gfernandezguirland en gmail.com
Mar Ago 23 12:10:23 BRT 2011 

De acuerdo, de hecho se usa mucho en FORENSE los patrones de tipeo ya que
demostraron ser eficientes.

Saludos

El 23 de agosto de 2011 12:04, Raul Echeberria <raul en lacnic.net> escribió:

>
> Me parecen muy interesantes las tecnologías disponibles en el mercado de
> reconocimiento de patrones de tipeo.
> Si bien está claro que ningun producto o tecnología es suficiente por si
> mismo, los datos de certeza que tienen estos productos son impresionantes.
>
> Me parece que es una buena opción de método biométrico para combinar con el
> uso de otras formas de autenticación.
>
>
> Raúl
>
>
>
>
>
> El 23/08/2011, a las 11:38, Gustavo Fernandez Guirland escribió:
>
> De acuerdo totalmente contigo Carlos....es que yop creo que a veces en los
> intercambios de opiniones olvidamos que a mi entender.....LA SEGURIDAD NO ES
> UNA META ALCANZABLE SINO UN CAMINO CONTINUO, es decir no es finita siempre
> estamos mejorandola, revisandola, monmitoreandola y buscando
> vulnerabilidades o posibles incidentes
>
> El 22 de agosto de 2011 18:37, Carlos Bergero <rak en fcien.edu.uy> escribió:
>
>> Hace mucho tiempo discutiendo temas de seguridad en una lista de Debian,
>> se chocaron 2 visiones de lo que es o debe ser seguridad, y como se debe
>> implementar. Por un lado la visión de un Norteamericano, que planteaba que
>> un buen sistema de seguridad debe ser monolítico y cerrado, contundente, por
>> otro lado un alemán que planteaba que la seguridad se construye como una
>> pared, ladrillo por ladrillo, poco a poco. Personalmente esta última imagen
>> me quedó grabada en la retina, y es un concepto que he visto repetirse
>> seguido y con bastante éxito.
>> En este sentido los mecanismos que se utilizan de autenticación sean
>> cuales sean deben estar dimensionados a las necesidades de seguridad de la
>> información o activos a proteger, y es en ese entorno que debería
>> verificarse su "valides".
>>
>> En ese contexto, se debería evaluar el mecanismo de autenticación, y
>> establecer los mecanismos necesarios para protegerlo.
>> Por ejemplo
>> Si hablamos de acceder a un sitio web, ie correo, aplicación o lo que sea,
>> y la información asociada a estos sistemas no es de "vida" o "muerte",
>> perfectamente se puede usar un usuario y clave de baja seguridad, ie, pocos
>> caracteres 6 - 8, quizas incluso sin símbolos de puntuación.
>>
>> HEREGÍA!!!!!!! UNA CLAVE SIN SÍMBOLOS!!!!!!
>> si ya se una clave así se puede romper en 15 minutos o algo más o menos.
>> Pero en que entorno?
>> Tengo el hash de la clave y lo tiro Dentro de mi NVIDIA 465 GTX y le corro
>> el password cracker que usa GPUs para probar las claves.
>>
>> No ese no es el contexto, se van a establecer conexiones al sitio por
>> medio de una red y se van a intentar varias claves antes de dar con la
>> correcta.
>> Voy a eliminar el factor SUERTE, y asumir que al menos voy a recibir
>> alguna centena de conexiones, no, no voy a hacerlas cuentas.
>>
>> En ese contexto si alguien una ip intenta lagunos cientos de conexiones
>> contra mi sistema, no debería el sistema haber bloqueado la IP al 3er. o
>> 4to. Intento?
>>
>> A PERO SI TE ATACAN CON UN ZOMBIE ARMY, QUE IP BLOQUEAS?
>>
>> Primero, lo más probable es que en ese caso esté sufriendo un DDoS.
>> Segundo porqué no puedo bloquear al usuario por, 15 minutos? o 20?
>> Si le hago un DDoS al usuario y eso está mal. Pero no es menos malo a que
>> le roben la clave, le corten el pulgar y le use el OTP ?
>>
>> En muchos casos el uso de un lector biométrico, puede ser razonable, pero
>> me da toda la impresión que están sobrevalorados en lo que se refiere a su
>> eficiencia, y por otro se pretende que resuelvan todo el problema, cuando al
>> ser un problema complejo debería resolverse por más de una medida de
>> control.
>>
>> Saludos,
>>                Carlos
>>
>> El 22/08/11 10:33, Victor Hugo dos Santos escribió:
>>
>>  2011/8/20 Gustavo Fernandez Guirland<gfernandezguirland@**gmail.com<gfernandezguirland en gmail.com>
>>> >:
>>>
>>>> Justamente...esta mas que claro que el sistema actual de passwords tiene
>>>> muchas vulnerabilidades y cada vez que se inventa una nueva solución
>>>> caemos
>>>> en el viejo dilema de los 2 platos de la balanza: FACILIDAD DE USO
>>>> versus
>>>> SEGURIDAD.
>>>> Entonces creo que afinando los sistemas biométricos, ningun ataque de
>>>> diccionario puede romper por fuerza bruta un ID que es irrepetible,
>>>> deberia
>>>> tener todos los patrones de toda la humanidad...algo improbable.
>>>>
>>> Hola,
>>>
>>> creo que la mayoría de las personas/empresas... piensan que por tener
>>> un dispositivo biométrico, estarán sumamente seguros/protegidos..
>>> pero, el tema de los biométricos como alguien lo comento antes, esta
>>> relacionado directamente con la sensibilidad/calidad del
>>> dispositivo...
>>>
>>> si tenemos un dispositivo que simplemente detecta el color de los iris
>>> y/o si la huella es circular o cuadrada.. entonces, el sistema no
>>> sirve.
>>>
>>> en todo caso, por mas que se afine los sistemas biométricos, estés
>>> siempre tendrán alguna limitación (sea por capacidad, calidad,
>>> velocidad, accesibilidad o otra excusa que inventemos), por ejemplo,
>>> hace mucho tiempo que los sistemas son capaces de aceptar contraseñas
>>> de 255 caracteres o mas, pero los usuarios en el mejor de los casos
>>> usan 20.
>>>
>>> en base al anterior, es probable que empresas que requieran de
>>> seguridad y utilcen sistemas biometricos, simplesmente no contraten a
>>> gemelos, debido a que los sensores no serán capaces de detectar la
>>> diferencia entre ellos.
>>>
>>> al fin y al cabo, creo que lo que comenta Carlos es el correcto.. todo
>>> sistema de autenticación presencial "debería" de estar basado en algún
>>> sistema de doble o triple autenticación.. ejemplos:
>>> - biometria
>>> - contraseñas generadas por el usuario
>>> - alguno sistema de captcha
>>> - tokens
>>> - contraseñas de uso único ??
>>>
>>> salu2
>>>
>>>
>> ______________________________**_________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/**mailman/listinfo/seguridad<https://mail.lacnic.net/mailman/listinfo/seguridad>
>>
>
>
>
> --
> NetAdmin/Prog. Gustavo Fernández Guirland
> Consultor Informático
> Soporte/Desarrollo/Infraestructura/Coordinador Docente
>
> Tel (598) 2 7110517 - 099264161
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
>  Raul
> Twitter @raulecheberria
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>


-- 
NetAdmin/Prog. Gustavo Fernández Guirland
Consultor Informático
Soporte/Desarrollo/Infraestructura/Coordinador Docente

Tel (598) 2 7110517 - 099264161
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110823/263c3eca/attachment.html>

Más información sobre la lista de distribución Seguridad