Bloquear usuarios provee al atacante de una herramienta de denegación de servicio
Porque bloquear las cuentas de usuario en un sistema completo es una mala idea.
Cuando era un muchacho (ok, cuando era un joven ingeniero de sistemas de 30 años, lo cual fue hace 30 años), me enseñaron que si un usuario comete varios errores al ingresar su contraseña, el sistema debe bloquear su cuenta hasta que el operador le dé acceso de nuevo. El objetivo era detener un atacante que intenta, sin límites, adivinar la contraseña del usuario.
En el excelente SP 800-118, “BORRADOR de la Guía para la administración de contraseñas en la empresa,” los científicos en computación Karen Scarfone y Murugiah Souppaya de la División de Seguridad Informática del Laboratorio de Tecnología de la Información en el Instituto Nacional de Estándares y Tecnología (NIST) escriben sobre impedir que se adivinen las contraseñas en las paginas 3-5:
“El segundo método recomendado para mitigar los ataques para adivinar la contraseña, es configurar el SO y los mecanismos de autenticación de contraseña de la aplicación para que limiten la frecuencia de los intentos de autenticación. Algunos ejemplos de como se puede llevar a cabo eso:
Los autores Ravi Sandhu, Jennifer Hadley, Steven Lovaas, y Nicholas Takacs escriben en el capítulo 28, “Identificación y Autenticación” del Computer Security Handbook 5th Edition (S. Bosworth, M. E. Kabay, & E. Whyne, eds. Wiley 2009) lo siguiente:
"Algunos sistemas reaccionan a los ataques en línea mediante una regla simple que bloquea las cuentas después de un cierto número de intentos fallidos. Esta regla puede haber sido tomada prestada de una regla similar con las tarjetas de los cajeros automáticos (ATM). La regla en verdad tiene sentido en el contexto de los ATMs, con dos factores de autenticación basado en la posesión de la tarjeta y el conocimiento del PIN. Sin embargo, en un esquema de contraseña únicamente, la regla de "tres golpes y afuera" puede conducir a una denegación de servicio para los legítimos usuarios. Un atacante fácilmente puede bloquear muchas cuentas ingresando tres contraseñas equivocadas en forma repetitiva. Una regla más elegante podría demorar el ritmo al cual se podrían realizar intentos de adivinar la contraseñas, de modo que un usuario legítimo percibiría ser demorado en la autenticación pero no denegado. Por ejemplo, bloquear una cuenta por un par de minutos después de tres intentos equivocados es suficiente para que hallar la contraseña por fuerza bruta se vuelva impráctico.
Adicionalmente, los sistemas de detección de intrusiones (IDS) puede ser configurados para alertar a los administradores de sistemas inmediatamente al suceder el ingreso repetido de contraseñas erróneas. Entonces pueden intervenir seres humanos para determinar la causa de las contraseñas erróneas - un error humano o malintencionado."
Esto es lo que escribí en mis comentarios a los autores del NIST:
"Demorar los ingresos del usuario insertando una demora fija pero humanamente aceptable entre los intentos de autenticación. Por ejemplo, permitir que los intentos de ingreso sucesivos sucedan no más rápido que uno cada cinco segundos. El usuario apenas notará la demora, pero cualquier programa automatizado para adivinar contraseñas será demorado y vuelto inútil. Más importante, esta política priva al atacante de poder crear un ataque de denegación de servicio hecho con sólo intentar la misma contraseña equivocada sucesivamente un número de veces."
También sugerí que los autores agreguen este punto:
"Asegúrese que las fallas repetidas de autenticación activen una alarma para los operadores humanos. Los operadores de sistemas pueden descubrir los detalles de quien está atacando su sistema observando los intentos fallidos de hacerse pasar por usuarios autorizados; la recolección de información computarizada y la observación humana puede servir como evidencia en trámites legales y como base para mejorar las medidas de seguridad.
Espero que como industria, podamos dejar la inactivación de cuentas como respuesta a las contraseñas equivocadas e ir hacia una respuesta más inteligente.
El NIST solicita comentarios al borrador SP 800-118 hasta el 29 de mayo de 2009. Por favor envíe sus comentarios por correo electrónico poniendo "Comments SP 800-118" en el asunto.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: M.E. Kabay - CISSP-ISSMP
Fuente: Networkworld
Traducción de Raul Batista para Segu-Info
Cuando era un muchacho (ok, cuando era un joven ingeniero de sistemas de 30 años, lo cual fue hace 30 años), me enseñaron que si un usuario comete varios errores al ingresar su contraseña, el sistema debe bloquear su cuenta hasta que el operador le dé acceso de nuevo. El objetivo era detener un atacante que intenta, sin límites, adivinar la contraseña del usuario.
En el excelente SP 800-118, “BORRADOR de la Guía para la administración de contraseñas en la empresa,” los científicos en computación Karen Scarfone y Murugiah Souppaya de la División de Seguridad Informática del Laboratorio de Tecnología de la Información en el Instituto Nacional de Estándares y Tecnología (NIST) escriben sobre impedir que se adivinen las contraseñas en las paginas 3-5:
“El segundo método recomendado para mitigar los ataques para adivinar la contraseña, es configurar el SO y los mecanismos de autenticación de contraseña de la aplicación para que limiten la frecuencia de los intentos de autenticación. Algunos ejemplos de como se puede llevar a cabo eso:
- Bloquear la cuenta de usuario después de un número consecutivo de intentos fallidos de autenticación (sucedidos durante un periodo particular de tiempo, tal como durante la última hora). Por ejemplo después un usuario falló en suministrar la contraseña 50 veces seguidas, ignorar todos los intentos siguientes para ese usuario durante 15 minutos. Bloquear una cuenta de usuario solo después de unos pocos intentos fallidos tiene un impacto significativo en lo verdaderos usuarios y tiende a que utilicen contraseñas más sencillas o que las guarden de forma insegura, y por lo tanto debilitan la seguridad.
- Tener un retardo fijo o de crecimiento exponencial después de cada intento fallido de autenticación. Después del primer fallo, por ejemplo, podría haber una demora de cinco segundos; después del segundo, una demora de 10 segundos; después del tercero, una demora de 20 segundos y así sucesivamente.
Los autores Ravi Sandhu, Jennifer Hadley, Steven Lovaas, y Nicholas Takacs escriben en el capítulo 28, “Identificación y Autenticación” del Computer Security Handbook 5th Edition (S. Bosworth, M. E. Kabay, & E. Whyne, eds. Wiley 2009) lo siguiente:
"Algunos sistemas reaccionan a los ataques en línea mediante una regla simple que bloquea las cuentas después de un cierto número de intentos fallidos. Esta regla puede haber sido tomada prestada de una regla similar con las tarjetas de los cajeros automáticos (ATM). La regla en verdad tiene sentido en el contexto de los ATMs, con dos factores de autenticación basado en la posesión de la tarjeta y el conocimiento del PIN. Sin embargo, en un esquema de contraseña únicamente, la regla de "tres golpes y afuera" puede conducir a una denegación de servicio para los legítimos usuarios. Un atacante fácilmente puede bloquear muchas cuentas ingresando tres contraseñas equivocadas en forma repetitiva. Una regla más elegante podría demorar el ritmo al cual se podrían realizar intentos de adivinar la contraseñas, de modo que un usuario legítimo percibiría ser demorado en la autenticación pero no denegado. Por ejemplo, bloquear una cuenta por un par de minutos después de tres intentos equivocados es suficiente para que hallar la contraseña por fuerza bruta se vuelva impráctico.
Adicionalmente, los sistemas de detección de intrusiones (IDS) puede ser configurados para alertar a los administradores de sistemas inmediatamente al suceder el ingreso repetido de contraseñas erróneas. Entonces pueden intervenir seres humanos para determinar la causa de las contraseñas erróneas - un error humano o malintencionado."
Esto es lo que escribí en mis comentarios a los autores del NIST:
"Demorar los ingresos del usuario insertando una demora fija pero humanamente aceptable entre los intentos de autenticación. Por ejemplo, permitir que los intentos de ingreso sucesivos sucedan no más rápido que uno cada cinco segundos. El usuario apenas notará la demora, pero cualquier programa automatizado para adivinar contraseñas será demorado y vuelto inútil. Más importante, esta política priva al atacante de poder crear un ataque de denegación de servicio hecho con sólo intentar la misma contraseña equivocada sucesivamente un número de veces."
También sugerí que los autores agreguen este punto:
"Asegúrese que las fallas repetidas de autenticación activen una alarma para los operadores humanos. Los operadores de sistemas pueden descubrir los detalles de quien está atacando su sistema observando los intentos fallidos de hacerse pasar por usuarios autorizados; la recolección de información computarizada y la observación humana puede servir como evidencia en trámites legales y como base para mejorar las medidas de seguridad.
Espero que como industria, podamos dejar la inactivación de cuentas como respuesta a las contraseñas equivocadas e ir hacia una respuesta más inteligente.
El NIST solicita comentarios al borrador SP 800-118 hasta el 29 de mayo de 2009. Por favor envíe sus comentarios por correo electrónico poniendo "Comments SP 800-118" en el asunto.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: M.E. Kabay - CISSP-ISSMP
Fuente: Networkworld
Traducción de Raul Batista para Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!