[LACNIC/Seguridad] Password Strength
Raul Echeberria
raul en lacnic.net
Mar Ago 23 12:32:41 BRT 2011
Creo que el nombre de la tecnología es Keystroke Dynamic
Raúl
El 23/08/2011, a las 12:10, Gustavo Fernandez Guirland escribió:
> De acuerdo, de hecho se usa mucho en FORENSE los patrones de tipeo ya que demostraron ser eficientes.
>
> Saludos
>
> El 23 de agosto de 2011 12:04, Raul Echeberria <raul en lacnic.net> escribió:
>
> Me parecen muy interesantes las tecnologías disponibles en el mercado de reconocimiento de patrones de tipeo.
> Si bien está claro que ningun producto o tecnología es suficiente por si mismo, los datos de certeza que tienen estos productos son impresionantes.
>
> Me parece que es una buena opción de método biométrico para combinar con el uso de otras formas de autenticación.
>
>
> Raúl
>
>
>
>
>
> El 23/08/2011, a las 11:38, Gustavo Fernandez Guirland escribió:
>
>> De acuerdo totalmente contigo Carlos....es que yop creo que a veces en los intercambios de opiniones olvidamos que a mi entender.....LA SEGURIDAD NO ES UNA META ALCANZABLE SINO UN CAMINO CONTINUO, es decir no es finita siempre estamos mejorandola, revisandola, monmitoreandola y buscando vulnerabilidades o posibles incidentes
>>
>> El 22 de agosto de 2011 18:37, Carlos Bergero <rak en fcien.edu.uy> escribió:
>> Hace mucho tiempo discutiendo temas de seguridad en una lista de Debian, se chocaron 2 visiones de lo que es o debe ser seguridad, y como se debe implementar. Por un lado la visión de un Norteamericano, que planteaba que un buen sistema de seguridad debe ser monolítico y cerrado, contundente, por otro lado un alemán que planteaba que la seguridad se construye como una pared, ladrillo por ladrillo, poco a poco. Personalmente esta última imagen me quedó grabada en la retina, y es un concepto que he visto repetirse seguido y con bastante éxito.
>> En este sentido los mecanismos que se utilizan de autenticación sean cuales sean deben estar dimensionados a las necesidades de seguridad de la información o activos a proteger, y es en ese entorno que debería verificarse su "valides".
>>
>> En ese contexto, se debería evaluar el mecanismo de autenticación, y establecer los mecanismos necesarios para protegerlo.
>> Por ejemplo
>> Si hablamos de acceder a un sitio web, ie correo, aplicación o lo que sea, y la información asociada a estos sistemas no es de "vida" o "muerte", perfectamente se puede usar un usuario y clave de baja seguridad, ie, pocos caracteres 6 - 8, quizas incluso sin símbolos de puntuación.
>>
>> HEREGÍA!!!!!!! UNA CLAVE SIN SÍMBOLOS!!!!!!
>> si ya se una clave así se puede romper en 15 minutos o algo más o menos.
>> Pero en que entorno?
>> Tengo el hash de la clave y lo tiro Dentro de mi NVIDIA 465 GTX y le corro el password cracker que usa GPUs para probar las claves.
>>
>> No ese no es el contexto, se van a establecer conexiones al sitio por medio de una red y se van a intentar varias claves antes de dar con la correcta.
>> Voy a eliminar el factor SUERTE, y asumir que al menos voy a recibir alguna centena de conexiones, no, no voy a hacerlas cuentas.
>>
>> En ese contexto si alguien una ip intenta lagunos cientos de conexiones contra mi sistema, no debería el sistema haber bloqueado la IP al 3er. o 4to. Intento?
>>
>> A PERO SI TE ATACAN CON UN ZOMBIE ARMY, QUE IP BLOQUEAS?
>>
>> Primero, lo más probable es que en ese caso esté sufriendo un DDoS.
>> Segundo porqué no puedo bloquear al usuario por, 15 minutos? o 20?
>> Si le hago un DDoS al usuario y eso está mal. Pero no es menos malo a que le roben la clave, le corten el pulgar y le use el OTP ?
>>
>> En muchos casos el uso de un lector biométrico, puede ser razonable, pero me da toda la impresión que están sobrevalorados en lo que se refiere a su eficiencia, y por otro se pretende que resuelvan todo el problema, cuando al ser un problema complejo debería resolverse por más de una medida de control.
>>
>> Saludos,
>> Carlos
>>
>> El 22/08/11 10:33, Victor Hugo dos Santos escribió:
>>
>> 2011/8/20 Gustavo Fernandez Guirland<gfernandezguirland en gmail.com>:
>> Justamente...esta mas que claro que el sistema actual de passwords tiene
>> muchas vulnerabilidades y cada vez que se inventa una nueva solución caemos
>> en el viejo dilema de los 2 platos de la balanza: FACILIDAD DE USO versus
>> SEGURIDAD.
>> Entonces creo que afinando los sistemas biométricos, ningun ataque de
>> diccionario puede romper por fuerza bruta un ID que es irrepetible, deberia
>> tener todos los patrones de toda la humanidad...algo improbable.
>> Hola,
>>
>> creo que la mayoría de las personas/empresas... piensan que por tener
>> un dispositivo biométrico, estarán sumamente seguros/protegidos..
>> pero, el tema de los biométricos como alguien lo comento antes, esta
>> relacionado directamente con la sensibilidad/calidad del
>> dispositivo...
>>
>> si tenemos un dispositivo que simplemente detecta el color de los iris
>> y/o si la huella es circular o cuadrada.. entonces, el sistema no
>> sirve.
>>
>> en todo caso, por mas que se afine los sistemas biométricos, estés
>> siempre tendrán alguna limitación (sea por capacidad, calidad,
>> velocidad, accesibilidad o otra excusa que inventemos), por ejemplo,
>> hace mucho tiempo que los sistemas son capaces de aceptar contraseñas
>> de 255 caracteres o mas, pero los usuarios en el mejor de los casos
>> usan 20.
>>
>> en base al anterior, es probable que empresas que requieran de
>> seguridad y utilcen sistemas biometricos, simplesmente no contraten a
>> gemelos, debido a que los sensores no serán capaces de detectar la
>> diferencia entre ellos.
>>
>> al fin y al cabo, creo que lo que comenta Carlos es el correcto.. todo
>> sistema de autenticación presencial "debería" de estar basado en algún
>> sistema de doble o triple autenticación.. ejemplos:
>> - biometria
>> - contraseñas generadas por el usuario
>> - alguno sistema de captcha
>> - tokens
>> - contraseñas de uso único ??
>>
>> salu2
>>
>>
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>
>>
>>
>> --
>> NetAdmin/Prog. Gustavo Fernández Guirland
>> Consultor Informático
>> Soporte/Desarrollo/Infraestructura/Coordinador Docente
>>
>> Tel (598) 2 7110517 - 099264161
>>
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>
> Raul
> Twitter @raulecheberria
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
>
>
> --
> NetAdmin/Prog. Gustavo Fernández Guirland
> Consultor Informático
> Soporte/Desarrollo/Infraestructura/Coordinador Docente
>
> Tel (598) 2 7110517 - 099264161
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
Raul
Twitter @raulecheberria
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110823/f3fd6fc2/attachment.html>
Más información sobre la lista de distribución Seguridad