Comentarios en: Datos de seguridad en contraseñas http://www.tufuncion.com/ataques-passwords-hacker-msn Wed, 17 Mar 2010 19:42:39 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-442 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-442 <p>Buenas, ha habido algunos problemillas con la traduccion y es que yo cuando paso de los mil millones me pierdo y más aún cuando los datos estan en ingles, ya sabeis... la traduccion no es literal... hasta ellos mismo se equivocan porque no tiene un estandar definido, bueno por lo que he podido investigar:</p> <p>Un billion son mil millones; un trillion son mil billion (un billón en español); un quadrillion son mil trillions, o sea, mil billones; y un quintillion son mil quadrillions, o sea, un trillón en español.</p> <p>Por lo tanto creo que los datos son ya correctos si veis algo anomalo o hay algún erudito en el tema por favor no dudeis en poneros en contacto jeje, porque yo estoy hecho un lio...</p> <p>Erudito: Que tiene y demuestra poseer sólidos y profundos conocimientos en una o múltiples disciplinas:<br /> Saludos</p> Buenas, ha habido algunos problemillas con la traduccion y es que yo cuando paso de los mil millones me pierdo y más aún cuando los datos estan en ingles, ya sabeis… la traduccion no es literal… hasta ellos mismo se equivocan porque no tiene un estandar definido, bueno por lo que he podido investigar:

Un billion son mil millones; un trillion son mil billion (un billón en español); un quadrillion son mil trillions, o sea, mil billones; y un quintillion son mil quadrillions, o sea, un trillón en español.

Por lo tanto creo que los datos son ya correctos si veis algo anomalo o hay algún erudito en el tema por favor no dudeis en poneros en contacto jeje, porque yo estoy hecho un lio…

Erudito: Que tiene y demuestra poseer sólidos y profundos conocimientos en una o múltiples disciplinas:
Saludos

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-445 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-445 La latencia de los sistemas on-line es suficiente para que no sea facil hacer un ataque de fuerza bruta. Es por eso que se suela trabajar en local (con el fichero con las passwords encriptadas). Una vez que tienes dicho fichero se pueden hacer varias cosas: - Ataques de fuerza bruta - Ataques de diccionario (no probar todas las combinaciones, sino un conjunto más probable como nombres de mujeres, palabras del castellano, ...) - Rainbow tables [wikipedia.org] Aparte de eso, lo que se guarda de una clave es un hash. Y las funciones de hash pueden tener colisiones con combinaciones más simples. Esto es lo que se suele tratar de explotar en los ataques de cumpleaños [wikipedia.org]. Basicamente. Mejor que tener passwords "raras" o meter más latencia de la que los sitios tienen de por si, es ocultar los hashes de las passwords (tener las passwords en limpio no es siquiera una opción). En UNIX esta el fichero shadow password solo accesible por root. Los servidores LDAP permiten ocultar el campo de la password. En cambio, con la cookie de barrapunto (que viaja en un canal sin encriptar) es posible que alguien pudiera sacar tu password (habria que mirar el slashcode para asegurarse) sin importarle los tiempos de retardo que te pusiera barrapunto (más alla de los de la propia latencia del sitio). ---- El consumo consume al que consume consuma lo que consuma y con las sumas que sume. La latencia de los sistemas on-line es suficiente para que no sea facil hacer un ataque de fuerza bruta. Es por eso que se suela trabajar en local (con el fichero con las passwords encriptadas).

Una vez que tienes dicho fichero se pueden hacer varias cosas:
- Ataques de fuerza bruta
- Ataques de diccionario (no probar todas las combinaciones, sino un conjunto más probable como nombres de mujeres, palabras del castellano, …)
- Rainbow tables [wikipedia.org]

Aparte de eso, lo que se guarda de una clave es un hash. Y las funciones de hash pueden tener colisiones con combinaciones más simples. Esto es lo que se suele tratar de explotar en los ataques de cumpleaños [wikipedia.org].

Basicamente. Mejor que tener passwords “raras” o meter más latencia de la que los sitios tienen de por si, es ocultar los hashes de las passwords (tener las passwords en limpio no es siquiera una opción). En UNIX esta el fichero shadow password solo accesible por root. Los servidores LDAP permiten ocultar el campo de la password. En cambio, con la cookie de barrapunto (que viaja en un canal sin encriptar) es posible que alguien pudiera sacar tu password (habria que mirar el slashcode para asegurarse) sin importarle los tiempos de retardo que te pusiera barrapunto (más alla de los de la propia latencia del sitio).
—-
El consumo consume al que consume consuma lo que consuma y con las sumas que sume.

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-446 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-446 Es en momentos como í©ste en los que me alegro de memorizar contraseñas de 16 carácteres sin sentido. :P Es en momentos como í©ste en los que me alegro de memorizar contraseñas de 16 carácteres sin sentido. :P

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-447 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-447 Suponiendo que la contraseña tenga más de 6 caracteres, si se utilizan solo letras, la contraseña puede ser rápidamente descifrable. Si usas mayúsculas y minúsculas, la cosa se complica. Si usas además un número, la cosa está jodida. Si pones un sí­mbolo (siempre que estí© permitido), tu contraseña es indescifrable. Suponiendo que la contraseña tenga más de 6 caracteres, si se utilizan solo letras, la contraseña puede ser rápidamente descifrable. Si usas mayúsculas y minúsculas, la cosa se complica. Si usas además un número, la cosa está jodida. Si pones un sí­mbolo (siempre que estí© permitido), tu contraseña es indescifrable.

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-448 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-448 Un truco para sacar contraseñas raras, y acordarse de ellas, es hacerlo a partir de nombres de pelis, canciones, libros, versí­culos de la biblia, frases hechas... Por ejemplo, se puede sacar la segunda y penúltima letra de: Más vale pájaro en mano que 100 volando ááalarneanuuod Con una pequeña transformación nos queda: íáAlSrNeAnUuOd Y añadiendo el número íáAlSrNeAnUu10Od Claro, siempre se puede aplicar la misma regla al número: íáAlSrNeAnUu0Od Y por dar un último quiebro cambiamos un cero por una C: íáAlSrNeAnUuCOd Aunque bueno, bií©n pensado, se puede añadir al principio un "más vale" de forma simbólica: +>íáAlSrNeAnUuCOd Como todo, esto es una forma, pueden hacerse miles de formas, usando diferentes trucos y tranformaciones, tambií©n, se pueden dar más pasos o menos, en función del gusto, y como en Bricomaní­a, aquí­ el toque personal cuenta mucho. Bueno, de nada sirve todo esto, si apuntamos la contraseña en un papel, y nos olvidamos el papel en el peor lugar que se nos pueda olvidar. Un truco para sacar contraseñas raras, y acordarse de ellas, es hacerlo a partir de nombres de pelis, canciones, libros, versí­culos de la biblia, frases hechas…
Por ejemplo, se puede sacar la segunda y penúltima letra de:
Más vale pájaro en mano que 100 volando
ááalarneanuuod
Con una pequeña transformación nos queda:
íáAlSrNeAnUuOd
Y añadiendo el número
íáAlSrNeAnUu10Od
Claro, siempre se puede aplicar la misma regla al número:
íáAlSrNeAnUu0Od
Y por dar un último quiebro cambiamos un cero por una C:
íáAlSrNeAnUuCOd
Aunque bueno, bií©n pensado, se puede añadir al principio un “más vale” de forma simbólica:
+>íáAlSrNeAnUuCOd

Como todo, esto es una forma, pueden hacerse miles de formas, usando diferentes trucos y tranformaciones, tambií©n, se pueden dar más pasos o menos, en función del gusto, y como en Bricomaní­a, aquí­ el toque personal cuenta mucho.
Bueno, de nada sirve todo esto, si apuntamos la contraseña en un papel, y nos olvidamos el papel en el peor lugar que se nos pueda olvidar.

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-449 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-449 Es solo una prueba de que hay que tener cuiado al elegir los passwords pero ya la mayoria de los sistema de password ya incluyen segmentos que evitan ataques de fuerza bruta ademas los tiempos aumentan combinatoriamente cuando se busca la combinacion User/Password de todas formas es muy interesante e ilustrativo Es solo una prueba de que hay que tener cuiado al elegir los passwords

pero ya la mayoria de los sistema de password ya incluyen segmentos que evitan ataques de fuerza bruta

ademas los tiempos aumentan combinatoriamente cuando se busca la combinacion User/Password

de todas formas es muy interesante e ilustrativo

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-450 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-450 Lamentablemente en muchos de los sistemas que utilizan una contraseña no se admiten sí­mbolos, o sólo se pueden introducir un número limitado de caracteres, como 6 ú 8, e incluso los hay de sólo 4. Siempre he pensado que se podrí­an tener password de hasta un centenar de caracteres, y poder introducir una frase entera (sin espacios), aunque la frase sea absurda y mezclando idiomas, sí­mbolos y/o números, aunque para algunos podrí­a ser poco práctico, pero al menos otros podrí­amos escoger. Tambií©n es cierto que algunos sistemas de acceso ya no te permiten hacer más que unas pocas conexiones e intentos limitados durante un espacio de tiempo. Lamentablemente en muchos de los sistemas que utilizan una contraseña no se admiten sí­mbolos, o sólo se pueden introducir un número limitado de caracteres, como 6 ú 8, e incluso los hay de sólo 4.

Siempre he pensado que se podrí­an tener password de hasta un centenar de caracteres, y poder introducir una frase entera (sin espacios), aunque la frase sea absurda y mezclando idiomas, sí­mbolos y/o números, aunque para algunos podrí­a ser poco práctico, pero al menos otros podrí­amos escoger.

Tambií©n es cierto que algunos sistemas de acceso ya no te permiten hacer más que unas pocas conexiones e intentos limitados durante un espacio de tiempo.

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-451 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-451 Me gustaria saver que son exactamente ataques de fuerza bruta, graciasssssss Me gustaria saver que son exactamente ataques de fuerza bruta, graciasssssss

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-452 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-452 pues, probar una a una todas las combinaciones hasta que das con la correcta, esta es la opción más lenta(de romper) de todas, lo que se acostumbra hacer es usar diccionarios(listas de palabras comunes) y hacer variaciones de ellas, por ejemplo, partiendo de una de las palabras(las que contiene el diccinario que uses) en minusculas probar con alguna de sus letras en mayuscula(o varias letras),etc.Osea, no es muy aconsejable usar nombres de personajes de peliculas, libros, etc(lo digo por que conozco casos, pardillos!!).Yo acostumbro usar frases, por ejemplo el titular de una noticia del periodico, me es mas facil que memorizar una palabra corta con letras minusculas/mayusculas y numeros. Otra cosa longitud minima 8(o 9) caracteres,seamos serios!. menudo rollo me ha salido! pues, probar una a una todas las combinaciones hasta que das con la correcta, esta es la opción más lenta(de romper) de todas, lo que se acostumbra hacer es usar diccionarios(listas de palabras comunes) y hacer variaciones de ellas, por ejemplo, partiendo de una de las palabras(las que contiene el diccinario que uses) en minusculas probar con alguna de sus letras en mayuscula(o varias letras),etc.Osea, no es muy aconsejable usar nombres de personajes de peliculas, libros, etc(lo digo por que conozco casos, pardillos!!).Yo acostumbro usar frases, por ejemplo el titular de una noticia del periodico, me es mas facil que memorizar una palabra corta con letras minusculas/mayusculas y numeros. Otra cosa longitud minima 8(o 9) caracteres,seamos serios!.

menudo rollo me ha salido!

]]> Por: Anónimo http://www.tufuncion.com/ataques-passwords-hacker-msn/comment-page-1#comment-454 Anónimo Tue, 30 Nov 1999 00:00:00 +0000 #comment-454 El ejemplo puede ser ilustrativo pero el resultado es cuestionable. No es lo mismo implementar un algoritmo de encriptación de contraseñas como MD5 o 3DES. El número de cálculos y su complejidad en cada caso es distinto. Cualquier mí­nima desviación, multiplicada por el inmenso número de comprobaciones a hacer hará variar enormemente el tiempo necesario para el ataque. El ejemplo puede ser ilustrativo pero el resultado es cuestionable. No es lo mismo implementar un algoritmo de encriptación de contraseñas como MD5 o 3DES. El número de cálculos y su complejidad en cada caso es distinto. Cualquier mí­nima desviación, multiplicada por el inmenso número de comprobaciones a hacer hará variar enormemente el tiempo necesario para el ataque.

]]>