2 ago 2019

¡Las contraseñas han muerto!

Microsoft dijo recientemente que "el cambio obligatorio de contraseña es antiguo y obsoleto". Esto va directamente en contra de todo lo que hemos sido entrenados para pensar durante las últimas décadas, y en contra de la mayoría de las directivas de cumplimiento, incluidos algunos de los estándares de seguridad más dominantes. Y este pensamiento es el correcto.

En todo caso, Microsoft todavía no ha ido lo suficientemente lejos: el cambio de contraseña es la punta visible del iceberg: hay muchos otros inconvenientes importantes para nuestros usuarios que hacen una mala política de seguridad y deben solucionarse.

Una de las nociones más destructivas contra la seguridad de TI buena y práctica es el supuesto axioma de que "la seguridad es lo opuesto a la simplicidad yusabilidad". Esto se manifiesta en los cómics populares Dilbert que representan el entorno típico de TI de la oficina y tiene un carácter recurrente llamado "Mordac, the Preventer", que llega a capturar la creencia común de que el equipo de seguridad está allí para burlar e, idealmente, bloquear todas las funciones utilizables.
Como muchas cosas en la vida, la relación entre seguridad y usabilidad no es sencilla. En los extremos que parece tener el axioma: sí puedo bloquear todo el acceso a una máquina (por ejemplo: enterrar una computadora debajo de 30 pies de concreto) eso probablemente la haría tan segura como siempre podría ser y, al mismo tiempo completamente inútil.

El otro extremo también es mayormente correcto: si brindo acceso libre y sin filtro a cierta computadora, será tan inseguro como sea posible: cualquier aspirante a atacante podrá acceder a cualquier información en esa máquina (sin mencionar a cualquiera que pase por allí). Esa es la usbilidad perfecta con cero seguridad.

Por tentador que pueda ser ahora trazar una línea recta entre los puntos "seguridad total < - > no usabilidad" y "no seguridad < - > usabilidad total", la realidad es que esto es groseramente incorrecto. En la mayoría de los casos, reducir las molestias no hace que algo sea más seguro y viceversa. Ninguna característica de seguridad muestra este hecho mejor que las contraseñas.

Las contraseñas eran necesarias para controlar el acceso desde el momento en que los humanos comenzaron a usar "dispositivos no humanos". Las llaves de las puertas son contraseñas que controlan quién puede acceder a una casa. Los bares clandestinos usaron contraseñas para permitir a los usuarios visitar un bar ilegal mientras bloqueaban a personas no invitadas y evitar que husmearan.

Mientras que con otros humanos tenemos una gama de opciones, las máquinas no son tan flexibles; es casi seguro que una máquina de pago automático nos pedirá una identificación cada vez que compremos un paquete de seis cervezas. A medida que interactuamos cada vez más con las máquinas, las contraseñas se convierten en una forma de identificarnos. En la teoría de seguridad clásica llamamos a esto otorgar acceso basado en "algo que sé". Ese algo es la contraseña secreta.

Jugar al juego de contraseñas estaba razonablemente bien mientras éramos humanos tratando de evitar que otros humanos entraran a nuestros sistemas; elijo una contraseña secreta y no te la digo. La única forma en que se puede ingresar a mi sistema es tratando de adivinar qué contraseña usé. No saber lo que sé significa que te costará mucho adivinarlo. Hay más de 170.000 palabras en el idioma inglés. Buena suerte tratando de adivinar las palabras que usé como contraseña (suponiendo que incluso estén en el diccionario en primer lugar).

El problema con las contraseñas surgió una vez que las computadoras se involucraron en atacar otras computadoras. Las contraseñas son asimétricas: los humanos no son buenos para recordar mientras que las máquinas tienen una memoria perfecta. Los humanos invierten mucho tiempo para recordar y escribir cosas, mientras las computadoras lo hacen en milisegundos. Entonces, tan pronto como esos atacantes humanos comenzaron a recibir ayuda de las computadoras, el juego se volvió contra nosotros, como adolescentes jugando baloncesto casual en el vecindario cuando de repente un equipo le pide a su tío jugador de la NBA que se una a su equipo. Una computadora que prueba 1.000 contraseñas por segundo revisará todo el diccionario de Oxford en solo 3 minutos. No es divertido jugar este juego contra computadoras.

Aquí es donde las cosas dieron un mal giro. Aplicando la falsa máxima de que "la seguridad es lo opuesto a la usabilidad", los expertos en seguridad decidieron que hacer que cualquier cosa que sea más difícil para los usuarios mejoraría su seguridad. Por lo tanto, optaron por contraseñas más complejas; si las palabras del diccionario producen cientos de miles de combinaciones, al agregar dígitos (y luego mayúsculas y luego símbolos) se agrega un orden de magnitud de complejidades. De repente, las computadoras necesitan días, semanas o meses para pasar por todas las combinaciones. ¿Qué otra opción tengo? ¡después de todo, la seguridad es lo opuesto a la usabilidad!

Qué desafortunado giro de los acontecimientos. No solo se ha demostrado que esto no es cierto, sino que también descarriló al mundo de la seguridad de encontrar una buena solución al problema (hay varios). Primero veamos por qué no funcionó.

Al cerebro humano le gustan los patrones simples; la contraseña "12345" es fácil de recordar. También lo es la palabra "password" (ambas son las contraseña más utilizada del mundo). Los equipos de prevención decidieron obligar a los usuarios a usar contraseñas complejas, pero los humanos se adaptan bien. Si "12345" no está permitido y "abcde" no está permitido, puedo usar "abc123" en su lugar. Cualquiera que haya trabajado en una gran empresa de TI conoce docenas de formas inteligentes de construir una contraseña increíblemente simple sin pasar por las restricciones establecidas por los responsables de la política de contraseñas. En otras palabras, comenzó una carrera armamentista entre los usuarios y su personal de seguridad de TI. El perdedor: ambos. El personal de seguridad de TI estaba ocupado implementando políticas avanzadas de contraseñas, los usuarios estaban ocupados buscando formas de eludir estas políticas (sin mencionar la publicación de contraseñas secretas en notas post-it en la oficina) y los atacantes que usaban computadoras aún podían descifrar estas contraseñas en una gran variedad de manera. En resumen: baja seguridad junto con baja usabilidad.

Luego vino la era de la contraseña compleja única: como usuario, puedo encontrar una contraseña muy compleja y recordarla. El problema: uso docenas, tal vez cientos de servicios en línea y todos quieren que use una contraseña de seguridad. Y así, esta contraseña única (pero muy segura) se usa en cientos de sitios, y todo parece estar bien por un tiempo.

Hasta que los atacantes comprometan uno de esos servicios en línea. Al principio no parece alarmante: ¿a quién le importa si un grupo de delincuentes compromete un sitio de generación de memes de gatos? El problema es, por supuesto, que mi contraseña ahora está expuesta: la misma contraseña compleja que uso para mi cuenta bancaria y mi servidor principal en el trabajo. Las computadoras tienen la capacidad de probar mi contraseña contra miles de servicios en línea casi de inmediato, por lo que antes de escuchar que mi contraseña se ve comprometida, docenas de mis servicios en línea ya han sido hackeados. Pero, ¿qué podría hacer yo, como usuario? Puedo recordar algunas contraseñas simples o puedo recordar una contraseña compleja. Pero, ¿cómo puedo recordar muchas contraseñas complejas? Hay una asimetría obvia entre el atacante (usando una computadora) y el usuario (usando su cerebro humano). No es un partido justo.

Nos llevó más de 30 años darnos cuenta de que las contraseñas eran la dirección incorrecta. Podría haber sido una conclusión instantánea si nos hubiéramos librado de la falsa premisa "la seguridad es lo opuesto a la usabilidad". ¿Qué sucede si se nos ocurre algo que sea fácil para los usuarios pero difícil para las computadoras? ¡Eureka!

Tan pronto como cambiamos la definición, las soluciones aparecen en todas partes. El Bank of America permite elegir cualquier PIN de 4 dígitos que desee y luego usarlo para retirar efectivo real. Lo hacen de una manera que puedo recordarlo y no necesitaré escribirlo; ¿Por qué es seguro un PIN simple de 4 dígitos (solo 10.000 combinaciones)? Porque requiere "algo que tengo" (una tarjeta de débito) además de "algo que sé" (el código PIN). Gmail y Facebook utilizan el mismo método cuando le envían un SMS para confirmar que realmente es usted quien está iniciando sesión en la cuenta: un teléfono móvil es "algo que tiene".

También sabemos cómo bloquear computadoras mientras minimizamos las molestias para los humanos. Las pruebas de "CAPTCHA" usan las habilidades que los humanos tienen naturalmente (como encontrar todas las señales de alto en un conjunto de imágenes) y para las computadoras esto aún es complicado. Otra protección detrás de escena es un bloqueo temporal de la cuenta después de algunos intentos. Si no puede ingresar su contraseña en 3 intentos, es probable que necesite un tiempo de espera prolongado para poder continuar. ¿Por qué permitir que una computadora pruebe millones de combinaciones por hora donde podemos limitarla a 3 por hora, bloqueando estos ataques de fuerza bruta y al mismo tiempo dando un inconveniente muy menor a los usuarios legítimos?

Estamos comenzando a alejarnos de las contraseñas, y desafortunadamente sus inconvenientes estarán con nosotros por un tiempo. Pero darse cuenta de que rxiste un problema es un paso necesario hacia una solución. El mundo de la seguridad se está dando cuenta ahora de que incomodar a los usuarios no es la forma correcta de mejorar la seguridad.

Nuestro trabajo como profesionales de seguridad es encontrar aquellas soluciones de seguridad que brinden la máxima seguridad con el mínimo inconveniente para los humanos. En unas pocas décadas, será de conocimiento común que la comodidad del usuario proporciona la mejor seguridad. Deje que deshacerse de las contraseñas sea el primer paso en esa dirección aparentemente utópica.

Incluso han quienes se animan a decir una fecha sobre la desaparición de las contraseñas.

Traducción del artículo de Aviram Jenik, CEO, Beyond Security
Fuente: HelpnetSecurity

Suscríbete a nuestro Boletín

4 comentarios:

  1. excelente nota! gracias por publicarla!!

    ResponderBorrar
  2. Concedamos que las contraseñas están en decadencia. El artículo se explaya en los motivos con claridad. Ahora, hay un nuevo desafío : como garantizamos validación de identidad sin su empleo ? Como alguna vez aprendí de un excelente maestro, la contraseña es algo que se sabe. Otras formas de validar identidad es algo que se tiene, y otra, es algo que forma parte de lo que somos ( biometría, voz, ADN?, etc ) Particularmente creo que se podría abordar el tema como se aborda la seguridad informática en general : no existe un sistema absolutamente seguro, invulnerable. Pero si se puede minimizar el riesgo implementando contramedidas. La identidad y su proceso de validación como activo a proteger. Cuanto mas sensible sea la información a la que otorga acceso la persona que se identifica, mayores y mas precisos debieran ser la combinación de este tipo de controles.
    Un pensamiento nada mas.

    Saludos !

    ResponderBorrar
  3. Iba comentar algo, pero perdí la contraseña de acceso ;)... Otro gran avance es "Federated indentity", el esfuerzo que nos ahorra usar pocas cuentas (Google, Facebook, Twitter, etc), lo podemos invertir en reforzar esas cuentas con 2FA, contraseñas más tipo frases y no sólo un par de palabras con símbolos y números. La idea de "algo que sé", "algo que tengo", y la biometría, van agregando más conjuntos los cuales se tienen que intersectar, un par de conjuntos más que se pueden agregar según el caso, son una "cerca de geoposición" (o IPs concretas) y horarios.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!