Por @Alvy — 20 de Julio de 2010

Unos investigadores de Microsoft han tenido una idea que han denominado cómo proteger las contraseñas de ataques estadísticos, que encontré resumida en Technology Review.

La idea es tan simple como probablemente efectiva: en servicios web que utilizan miles y miles de personas, y igual que los «nombres de usuario» no se puede repetir, las contraseñas tampoco se pueden repetir cuando alcanzan cierta «popularidad» predefinida. De este modo la mayor parte de los usuarios se encuentran al poco tiempo de emplearse este sistema con la prohibición de usar contraseñas como 123456, password o qwerty (algunas de las «más habituales» del panorama).

Lo único que se me ocurrió es que un atacante de esos que prueban miles de contraseñas populares «a ver si alguna cuela» podría adivinar usando este sistema cuándo cierta contraseña ha sido usada, pero… que mucha gente va a usar 123456 ya lo conoce de antemano.

Lo que hace el sistema además es bloquear el acceso de un usuario si comprueba que hay demasiados intentos fallidos con diversas contraseñas (ataque por diccionario a una cuenta concreta) o alternativamente demasiados intentos de entrar a diversas cuentas con la misma contraseña (ataque buscando qué usuarios tienen contraseñas «populares»).

Compartir en Flipboard  Compartir en Facebook  Tuitear