Longitud Mínima Óptima de Contraseña recomendada por expertos
129
Views

Incluso mientras la industria avanza hacia la autenticación sin contraseña, es probable que pasará un tiempo antes de que las contraseñas desaparezcan. Mientras tanto, hay más datos que nunca que proporcionan evidencia convincente de por qué las organizaciones deberían exigir a los usuarios que utilicen contraseñas largas.

Han ocurrido varios desarrollos relacionados que impactan en el razonamiento detrás de por qué el requisito de longitud de contraseña adecuado en la política de contraseñas de tu organización es más importante que nunca. Adentrémonos en los datos detrás de encontrar la longitud mínima óptima de contraseña para aumentar la seguridad de contraseñas de tu organización hasta que haya opciones de autenticación sin contraseña más seguras disponibles en todas partes.

Los Datos Detrás de Requerir una Longitud Mínima de Contraseña

Conocer la longitud mínima de contraseña
Conocer la longitud mínima de contraseña

Considera los siguientes puntos y estadísticas relacionados con la longitud mínima de contraseña y la eliminación de contraseñas. Proporcionan buenas razones para aumentar los requisitos de longitud mínima de contraseña en la política de contraseñas de tu dominio e implementar una autenticación multifactor (MFA) fuerte.

Las siguientes estadísticas se proporcionan como ejemplo basado en la infraestructura de LMG, y se basaron en pruebas en 2020, por ejemplo, equipos de crackeo utilizando GPUs GTX 1080, pero el tiempo de crackeo en la vida real varía según las herramientas, la infraestructura y la inversión.

Nota

El NIST, que significa Instituto Nacional de Estándares y Tecnología en inglés, crea los criterios técnicos que las agencias federales de los Estados Unidos deben seguir al implementar soluciones de identidad.

  • Aunque la guía actual del NIST 800-63B establece que “los secretos memorizados deben tener al menos 8 caracteres si son elegidos por el suscriptor“, ciertos probadores de penetración (pentesters) han encontrado que esto es totalmente insuficiente dada la velocidad de los dispositivos informáticos modernos. Además, una buena cobertura de MFA no elimina la necesidad de que los administradores exijan contraseñas largas. MFA no es infalible, especialmente en el caso de que los inicios de sesión no interactivos a nivel de protocolo estén disponibles y considerando el crecimiento de las técnicas de ataque de bypass de MFA.
  • Como marco de referencia, los probadores de penetración de LMG Security pudieron crackear cualquier hash de contraseña Microsoft NT LAN Manager (NTLM) de 8 caracteres en menos de 8 horas (suponiendo que el espacio de caracteres incluya mayúsculas, minúsculas, números y símbolos).
  • En contraste, el tiempo requerido para que LMG Security calcule todo el espacio de 10 caracteres es un poco más de 8 años, 12 caracteres son 77,000 años, 14 caracteres son 710.5 millones de años, y 16 caracteres son 6.5 billones de años.
  • Para los hashes de respuesta de desafío NetNTLMv1, que son más difíciles de crackear que los hashes NTLM y no pueden pasar utilizando “pasar el hash”, LMG puede crackear cualquier hash de contraseña de 8 caracteres en aproximadamente 15 horas o menos.
    • En contraste, el tiempo requerido para que LMG calcule todo el espacio de 10 caracteres es un poco más de 16.53 años, 12 caracteres son 152,383 años, 14 caracteres son 1.4 billones de años, y 16 caracteres son más de 12.9 billones de años.
  • Para los hashes de respuesta de desafío NetNTLMv2, que son aún más difíciles de crackear que los hashes NetNTLMv1 y tampoco pueden pasar utilizando “pasar el hash”, LMG puede crackear cualquier hash de contraseña de 8 caracteres en aproximadamente 7 días.
    • En contraste, el tiempo requerido para que LMG calcule todo el espacio de 10 caracteres es un poco más de 188 años, 12 caracteres son 1 millón 735 mil años, 14 caracteres son 5 mil millones 835 millones de años, y 16 caracteres son más de 147 billones de años.
  • Los humanos están predispuestos a usar contraseñas que son menos difíciles de recordar, y por lo tanto, más fáciles de adivinar o crackear, a menudo incrementando un número en una contraseña existente o cambiando un carácter especial añadido a una contraseña utilizada previamente. Los actores maliciosos saben esto y formatearán los ataques de manera apropiada para aprovechar este comportamiento.

Los tiempos de crackeo proporcionan una buena evidencia de por qué una contraseña más larga es más segura y más difícil de crackear. Mientras esperamos la disponibilidad generalizada de soluciones sin contraseña, está claro que puedes aumentar la seguridad de contraseñas de tu organización implementando políticas de longitud mínima de contraseñas.

No olvides también ofrecer administradores de contraseñas. Consideremos el último punto sobre la predisposición humana a usar contraseñas que son menos difíciles de recordar, y por lo tanto, más fáciles de adivinar o crackear, porque esta ha sido la experiencia de LMG.

Tasas de Éxito y Aumento de Velocidad en el Crackeo de Contraseñas

Ha habido importantes mejoras en la tecnología de unidades de procesamiento gráfico (GPU), con las últimas GPUs beneficiándose de avances arquitectónicos y computacionales sustanciales. Las GPUs más avanzadas del estado actual, como la NVIDIA RTX 3090 Ti, por ejemplo, tienen 24 GB de RAM GDDR6X en comparación con las GTX 1080, que tienen 8 GB de RAM GDDR5X. Esto proporciona capacidades de procesamiento paralelo aumentadas, que son críticas para los algoritmos de fuerza bruta y crackeo de hashes. La evolución continua de las capacidades de las GPUs permite un procesamiento más rápido de los hashes criptográficos, lo que hace que las GPUs más nuevas sean más capaces para el crackeo de contraseñas de alta velocidad.

Concepto de cracking de contraseñas
Concepto de cracking de contraseñas

La adición de contraseñas capturadas en brechas del mundo real a las listas de palabras de contraseñas utilizadas al ejecutar ataques de diccionario contra hashes de contraseñas capturadas. Esto ha mejorado considerablemente los resultados del crackeo.

Los equipos de pentesting también ha mejorado las reglas de crackeo de contraseñas, empleando ataques híbridos (híbridos de diccionario y fuerza bruta) y ataques de máscara (especificación de un patrón o “máscara” para guiar el proceso de adivinanza de contraseñas), así como la implementación de herramientas privadas que han aumentado enormemente el éxito del crackeo en entornos corporativos, mientras utilizan la misma infraestructura.

Estas mejoras no se basan específicamente en la velocidad de hash (por ejemplo, qué tan rápido puede un sistema intentar diferentes combinaciones para descifrar una contraseña hasheada), que es más importante con ataques de fuerza bruta que son más útiles al crackear contraseñas generadas aleatoriamente. Se basan en métodos probabilísticos que son mejores para crackear contraseñas generadas por humanos, y cuando se configuran adecuadamente pueden crackear contraseñas en una fracción del tiempo que tomarían los ataques de fuerza bruta.

Esto resultó en un aumento de la tasa de éxito de crackeo de contraseñas de LMG de alrededor del 20% al 85%, un aumento del 65% utilizando el mismo hardware y tasa de hash pero enfocándose en el problema único de la creación de contraseñas humanas.

En resumen, la creación de contraseñas humanas sigue siendo un eslabón débil en el panorama general de seguridad de contraseñas. Moverse en la dirección de usar contraseñas largas y generadas aleatoriamente es un paso positivo, pero solo es realista en ciertos contextos y requiere el uso de una solución de administrador de contraseñas para que sea un enfoque sostenible a largo plazo. Los usuarios generalmente no ven las contraseñas generadas aleatoriamente como particularmente fáciles de usar, incluso si son las más seguras, y generalmente no las utilizan.

El Equilibrio entre la Seguridad y la Usabilidad de las Contraseñas

Las organizaciones deben tener pautas seguras de longitud de contraseña, pero si son demasiado engorrosas, los usuarios evitarán o intentarán eludir sus requisitos mínimos de longitud de contraseña. Los humanos solo pueden recordar tanta información, por lo que si su organización aún no está utilizando un administrador de contraseñas, es su mejor apuesta para ofrecer seguridad de contraseñas fácil de usar. Aquí hay algunos consejos para desarrollar sus políticas de contraseñas:

Pautas para política de contraseñas seguras
Pautas para política de contraseñas seguras
  1. Requiere que todas las cuentas privilegiadas (administradores y cuentas de servicio) tengan una longitud mínima de contraseña de 25 caracteres o más. Considera la implementación de una solución de Gestión de Cuentas Privilegiadas (PAM) para reducir aún más el riesgo de compromiso de cuentas privilegiadas.
  2. Requiere que todos los usuarios regulares utilicen una longitud mínima de contraseña de al menos 16 caracteres para aumentar la seguridad de sus contraseñas.
  3. Se debe alentar a los usuarios a usar frases de contraseña en lugar de usar una sola palabra con números y símbolos para cumplir con las políticas de contraseñas.
  4. Como parte de este cambio, comienza implementando un administrador de contraseñas aprobado y capacita a todos los usuarios en su uso para garantizar la adopción en toda la comunidad de usuarios. Incluye un requisito de uso del administrador de contraseñas en la política de contraseñas oficial de la organización y estipula que bajo ninguna circunstancia las contraseñas deben almacenarse de forma insegura (por ejemplo, no encriptadas).
  5. Las políticas de bloqueo de cuentas deben hacer cumplir una duración de bloqueo lo suficientemente larga y un umbral de bloqueo aceptablemente estricto.
  6. Las políticas de contraseñas deben aplicarse mediante controles técnicos y las contraseñas de usuario deben ser auditadas periódicamente para garantizar que los usuarios no estén usando contraseñas predeterminadas o débiles.
  7. Las contraseñas no necesitan ser cambiadas en intervalos de 90 o 180 días, ya que esto tiende a promover prácticas de contraseñas deficientes. En cambio, se recomienda capacitar a los usuarios sobre la diferencia entre contraseñas fuertes y débiles y cambiar las contraseñas anualmente o cada vez que se sospeche que una contraseña ha sido comprometida.
  8. Es crucial comunicar claramente tus políticas y expectativas de seguridad del usuario de forma regular a todos en tu organización.
  9. Las organizaciones deben requerir que se utilice una solución de MFA no basada en SMS para cualquier interfaz de autenticación externa a los sistemas comerciales. El MFA debe ser visto como la última capa de seguridad de contraseñas y defensa de autenticación.
  10. Siempre que sea posible, también debes implementar la limitación de la autenticación, donde las solicitudes de autenticación que alcancen una cierta capacidad configurable dentro de una ventana de tiempo deben bloquearse o ralentizarse, reduciendo el riesgo de ataques de fuerza bruta en interfaces expuestas.

Saber que se han establecido controles de autenticación sólidos y que se requiere que los usuarios se adhieran a ellos en general reduce drásticamente el riesgo de compromiso de cuentas, lo que de otro modo podría llevar a violaciones de datos y sistemas costosas y perjudiciales. Hay muchos ejemplos de organizaciones que han tomado atajos en esta área o han pasado por alto ciertos sistemas en su entorno, creando así puntos débiles en sus controles generales de autenticación que conducen a incidentes de ciberseguridad dañinos y costosos.

Categorías:
Consejos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *