Llegamos a ustedes gracias a:



Noticias

Sistema de login entrega contraseñas falsas a hackers

El proyecto de investigación ErsatzPasswords apunta a detener el crackeo de los hashes de las contraseñas

[27/05/2015] Un equipo de investigadores ha desarrollado un sistema que hace que sea mucho más difícil para los hackers obtener contraseñas utilizables a partir de una base de datos filtrada, algo que podría ayudar a mitigar el daño de una fuga de datos.

El sistema es descrito en un paper de investigación que ha sido enviado para su consideración a la 2015 Annual Computer Security Applications Conference, que se realiza en Los Ángeles en diciembre.

El sistema llamado ErsatzPasswords, tiene como objetivo confundir a los hackers que usan métodos para "crackear las contraseñas, sostuvo Mohammed H. Almeshekah, estudiante del doctorado de la Universidad Purdue de Indiana.

Los hackers "podrán crackear el archivo, pero las contraseñas que van a conseguir son falsas o simples señuelos, indicó Almeshekah.

Las contraseñas generalmente son cifradas cuando son almacenadas por las organizaciones. Las contraseñas se cifran usando un algoritmo, y ese resultado -llamado hash- es almacenado.

Los hashes son considerados más seguros de almacenar que las contraseñas de texto plano. Es difícil, aunque no imposible, imaginar una contraseña de texto plano a partir de un hash.

Para hacerlo, los hackers utilizan técnicas de fuerza bruta, las cuales involucran crear listas de palabras que posiblemente pueden ser contraseñas, y calculan su hash para ver si encuentran alguna coincidencia. Esto requiere de mucho tiempo y mucho trabajo computacional.

Para reducir el tiempo, los hackers utilizan programas como John the Ripper, que puede jalar grandes listas de contraseñas de diferentes fugas de datos cuyos hashes ya han sido calculados. Estas listas crecen cada día, y ya que muchos usuarios no escogen contraseñas complicadas, esto acelera el trabajo de los hackers.

Cuando se crea una nueva contraseña para un servicio en un sistema Linux, se le añade un valor aleatorio -denominado salt- antes de que sea cifrado y el hash almacenado.

ErsatzPasswords añade un nuevo paso. Antes de que se cifre la contraseña, ésta pasa por una función que depende del hardware, como aquella generada por un módulo de seguridad de hardware, sostuvo Almeshekah.

Ese paso añade una característica a la contraseña que la hace imposible de reestablecer al texto plano exacto sino se cuenta con acceso al módulo, indicó.

ErsatzPasswords ejerce un poco de control sobre el salt que se añade a la contraseña de tal forma que aquello que salga del módulo de seguridad de hardware parezca una contraseña, aunque falsa, afirmó Almeshekah.

El resultado es que si un hacker comienza a encontrar coincidencias en una lista de hashes, ninguna de las contraseñas funcionará. El hacker no se dará cuenta de esto necesariamente hasta que intente acceder a un servicio.

El código de encuentra disponible en GitHub. Es gratuito y se publica bajo la licencia de código abierto Apache.

El paper tuvo como coautores a Christopher N. Gutiérrez, Mikhail J. Atallah y Eugene H. Spafford, todos pertenecientes al grupo de Information Assurance and Security de Purdue.

Jeremy Kirk, IDG News Service