4 jul. 2020

"123456", esto es porqué las contraseñas deben desaparecer

En uno de los mayores estudios de reutilización de contraseñas de este tipo, un análisis de más de mil millones de credenciales filtradas descubrió que una de cada 142 contraseñas es la clásica cadena "123456".

El estudio, realizado el mes pasado por el estudiante de ingeniería informática Ata Hakçıl, analizó las combinaciones de nombre de usuario y contraseña que se filtraron en línea después de la violación de datos en varias compañías.

Estos "volcados de datos" han existido durante más de media década, y se han ido acumulando a medida que nuevas empresas están siendo hackeadas. Los volcados de datos están fácilmente disponibles en línea, en sitios como GitHub o GitLab, o se distribuyen libremente a través de foros de hackeo y portales de intercambio de archivos.

A lo largo de los años, las empresas tecnológicas han estado recopilando estos volcados de datos. Por ejemplo, Google, Microsoft y Apple han recopilado credenciales filtradas para crear sistemas de alerta internos que advierten a los usuarios cuando utilizan una contraseña "débil" o "común".

Resultados del estudio

El mes pasado, Hakçıl, un estudiante turco que estudiaba en una universidad de Chipre, descargó y analizó más de mil millones de credenciales filtradas. El descubrimiento principal fue que el conjunto de datos de credenciales de 1.000.000.000+ incluía solo 168.919.919 contraseñas únicas, de las cuales más de 7 millones eran la cadena "123456".

Esto significa que una de cada 142 contraseñas incluidas en la muestra que Hakçıl analizó era la contraseña más débil que se conoce hoy en día, siendo la cadena "123456" la contraseña en línea más comúnmente reutilizada durante los últimos cinco años seguidos, y contando.

Además, Hakçıl también descubrió que la longitud promedio de la contraseña suele ser de 9,48 caracteres, lo cual no es bueno, pero tampoco es terrible, ya que la mayoría de los expertos en seguridad recomiendan usar contraseñas el mayor tiempo posible, y generalmente en el ámbito de 16 a 24 caracteres o más.

Pero la longitud de la contraseña no fue el único problema que descubrió Hakçıl. El investigador turco dijo que la complejidad de la contraseña también era un problema, ya que solo el 12% de las contraseñas contenían un carácter especial.

En la mayoría de los casos, los usuarios eligieron contraseñas simplistas, como usar solo letras (29%) o números (13%). Esto significaba que alrededor del 42% de todas las contraseñas incluidas en el conjunto de datos de mil millones eran vulnerables a ataques rápidos de diccionario que permitirían a los actores de amenazas obtener acceso a las cuentas sin ningún esfuerzo o dificultad técnica.

Los resultados completos del estudio están disponibles en GitHub (junto a los diccionarios utilizados), con un breve resumen a continuación:
  • De más de 1.000.000.000 de líneas de vertederos, se filtraron 257.669.588 como datos corruptos (galimatías en formato incorrecto) o cuentas de prueba.
  • Mil millones de credenciales se reducen a 168.919.919 contraseñas y 393.386.953 nombres de usuario.
  • La contraseña más común es 123456. Cubre aproximadamente el 0.722% de todas las contraseñas (alrededor de 7 millones de veces por mil millones)
  • Las 1.000 contraseñas más comunes cubren 6.607% de todas las contraseñas.
  • Con la mayoría de las contraseñas de 1 millón, la tasa de aciertos está en 36.28%, y con la tasa de aciertos de 10 millones de contraseñas más comunes es de 54.00%.
  • La longitud promedio de la contraseña es de 9.4822 caracteres.
  • El 12.04% de las contraseñas contienen caracteres especiales.
  • El 28.79% de las contraseñas son solo letras.
  • 26.16% de las contraseñas son minúsculas solamente.
  • El 13.37% de las contraseñas son solo números.
  • El 34.41% de todas las contraseñas terminan con dígitos, pero solo el 4.522% de todas las contraseñas comienzan con dígitos.
  • El 8.83% de las contraseñas son únicas: solo se encontraron una vez.
  • La longitud promedio fue de 9.7965 caracteres.
  • Sorprendentemente, solo una fracción de estas contraseñas no tiene sentido.
  • Solo el 7.082% de estas contraseñas contienen caracteres especiales: las coincidencias de descanso ^[a-zA-Z0-9]$
  • El 20.02% de estas contraseñas son solo letras, y el 15.02% son solo minúsculas.
  • La longitud promedio de las contraseñas en minúsculas fue de 9.3694 caracteres.
Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!