14 may. 2015

NoCrack: gestor de contraseñas con perfiles falsos

Un grupo de investigadores ha desarrollado un tipo de gestor de contraseñas que crea una contraseña señuelo, a la que si se le suministra una contraseña maestra mal bloquea todo y por tiempo indefinido. Un software experimental llamado NoCrack [PDF], será presentado el 19 de mayo en el Simposio IEEE sobre Seguridad y Privacidad en San José, California.

"NoCrack genera un archivo "bóveda" con contraseñas plausible, que obliga a buscar cada conjetura o contraseña mal, a través de un número ilimitado de señuelos. La única manera de averiguar si las credenciales son correctas es tratar en línea y ese enfoque es costoso y lento", dijo Rahul Chatterjee, un estudiante de maestría en la Universidad de Wisconsin en Madison, y co-autor del trabajo.

NoCrack está pensado para que sea mucho más "sucio", lento y difícil para los atacantes averiguar si han alcanzado su objetivo. "Un hacker no tiene idea de que la bóveda es la real con este software".

Al atacante no le queda otra opción que tratar de encontrar las contraseñas en sitios web y uno de los problemas con los administradores de contraseñas es que almacenan todas sus contraseñas en un archivo cifrado. Ese archivo, en caso de robo de la computadora de la víctima, puede entonces ser sometido a los llamados ataques de fuerza bruta, en la que cientos de miles de contraseñas en rápida sucesión tratan de adivinar la contraseña original.

Añade Chatterjee, que si se introduce una contraseña incorrecta, es fácil para un atacante descubrir que es la incorrecta o que está mal. El archivo que se genera es chatarra, dijo Chatterjee, y el atacante no tiene que molestarse tratando las credenciales en un servicio web en línea.

Como la mayoría de los servicios en línea limitan el número de intentos de contraseña, los atacantes no tendrían muchas posibilidades de descubrir el señuelo de la bóveda donde está la contraseña, dijo Chatterjee.

Sin embargo, NoCrack no es el primer intento de probar este enfoque. Otro sistema, llamado Kamouflage [PDF] es similar, pero Chatterjee dijo que su equipo encontró una debilidad en la forma en que genera las contraseñas maestras. "Las contraseñas maestras señuelo de Kamouflage se basan en la contraseña maestra real. El estudio de las contraseñas señuelo realmente ayuda a un atacante conocer la estructura de la contraseña real, permitiendo que sea descubierta de una manera mucho más fácil".

El equipo NoCrack estudió la creación de mejores bóvedas señuelo. Para ello, NoCrack utiliza codificación del lenguaje natural (NLE) algoritmos, que, irónicamente, también han sido utilizados por personas que tratan de descifrar contraseñas.

Los algoritmos NLE decodifican una cadena de bits seleccionado de manera uniforme y generan una nueva muestra de texto en lenguaje natural. Los investigadores encontraron que el uso de NLE hizo a NoCrack resistente a los ataques de simples máquinas-aprendizaje orientadas a tamizar la verdadera bóveda de los falsos.

Chatterjee dijo que están trabajando en las soluciones ante posibles problemas que puedan ir surgiendo, ya que el software es todavía experimental. Una posible solución es crear un hash de la contraseña maestra que está vinculado a una imagen que se muestra cuando se introduce la contraseña. El usuario autorizado debe reconocer cuando se muestra una imagen equivocada, pero el atacante no lo haría.

Otra posibilidad sería la de auto-corrección de la contraseña si es sólo un ataque leve. No hay planes por el momento de comercializar NoCrack, dijo Chatterjee.

Fuente: CIOAL

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!