Contenidos
Charla «¿Qué hay de malo en su c0ntr@señ@?» de TEDxCMU en español.
Lorrie Faith Cranor estudió miles de contraseñas reales para averiguar los errores más sorprendentes y más comunes que los usuarios, y los sitios seguros, cometen comprometiendo su seguridad. ¿Y cómo se pueden investigar miles de contraseñas reales sin comprometer la seguridad de ningún usuario?, se podrán preguntar… Esa es una historia en sí misma. Se trata de información secreta que vale la pena conocer, sobre todo si su contraseña es 123456…
- Autor/a de la charla: Lorrie Faith Cranor
- Fecha de grabación: 2014-03-31
- Fecha de publicación: 2014-06-24
- Duración de «¿Qué hay de malo en su c0ntr@señ@?»: 1061 segundos
Traducción de «¿Qué hay de malo en su c0ntr@señ@?» en español.
Soy profesora de ciencias de la computación e ingeniería aquí en Carnegie Mellon, y mi investigación se centra en la privacidad y seguridad utilizable, y por ello, a mis amigos les gusta darme ejemplos de sus frustraciones con los sistemas informáticos, especialmente de frustraciones relacionados con la privacidad y la seguridad inutilizable.
Así que he oído mucho sobre contraseñas.
Muchas personas se sienten frustradas con las contraseñas, y es bastante lamentable cuando uno debe tener una contraseña muy buena que pueda recordar pero que nadie pueda adivinar.
Pero
¿qué hacer cuando se tienen cuentas en un centenar de diferentes sistemas y que a su vez se supone que deben ser contraseñas únicas para cada uno de estos sistemas?
Es complejo.
En Carnegie Mellon solían hacerlo bastante fácil para que recordáramos nuestras contraseñas.
El requisito hasta el 2009 para las contraseñas era que estas tuvieran al menos un carácter.
Bastante fácil.
Pero luego cambiaron las cosas, y al final del 2009 se anunció que íbamos a tener una nueva política, y esta nueva política precisaba contraseñas que tuvieran al menos 8 caracteres, con una letra mayúscula, letra minúscula, un dígito y un símbolo.
No se podía utilizar el mismo carácter más de tres veces, y no podía aparecer en un diccionario.
Cuando implementaron esta nueva política, muchos de mis colegas y amigos, me vinieron para decirme: «Ahora sí que es realmente inservible.
¿Por qué nos hacen esto y por qué no los detuviste?
» Y yo dije: «
¿Saben qué?
Nadie me preguntó».
Pero me picó la curiosidad y decidí ir a hablar con las personas a cargo de nuestros sistemas informáticos y averiguar qué les llevó a introducir esta nueva política.
Y dijeron que la universidad se había unido a un consorcio de universidades, y uno de los requisitos de membresía era que debíamos tener contraseñas más seguras que cumpliesen algunos nuevos requisitos, y estos requisitos eran que nuestras contraseñas tenía que tener una gran cantidad de entropía.
La entropía es un término complicado, pero básicamente mide la fuerza de las contraseñas.
Pero el tema es que eso no es en realidad una medida estándar de entropía.
El Instituto Nacional de Estándares y Tecnología tiene un conjunto de directrices con algunas reglas básicas para medir la entropía, pero no tienen nada muy específico, y la razón por la que solo tiene reglas básicas es porque en realidad no tienen buena información sobre contraseñas.
De hecho, su informe señala, «Desafortunadamente, no tenemos mucha información sobre las contraseñas que los usuarios eligen bajo reglas particulares.
Al Instituto de estándares y tecnología (NIST) le gustaría obtener más datos sobre las contraseñas escogidas por los usuarios, pero los administradores de sistemas son comprensiblemente reacios a revelar datos de las contraseñas a externos».
Esto es un problema, pero nuestro grupo de investigación lo vio como una oportunidad.
Dijimos: «Hay una necesidad de tener buenos datos sobre contraseñas.
Tal vez podamos recoger algunos buenos datos sobre contraseñas y de hecho avanzar el estado actual aquí».
Así que lo primero que hicimos fue ir con una bolsa de caramelos a dar una vuelta por el campus para hablar con los estudiantes, profesores y personal, y pedirles información sobre sus contraseñas.
No les decíamos: «Danos tu contraseña».
Solo les preguntamos acerca de su contraseña.
¿Cuánto tiempo hace que la tienes?
¿Tiene algún dígito?
¿Tiene un símbolo?
Y
¿te molestó tener que crear una nueva la semana pasada?
Así que obtuvimos resultados de 470 estudiantes, personal docente y administrativo, y de hecho se confirmó que la nueva política era muy molesta.
No obstante, también averiguamos que se sentían más seguros con estas nuevas contraseñas.
Averiguamos que la mayoría de la gente sabía que se suponía que no debía anotar su contraseña, y solo el 13 % lo hizo, pero desconcertantemente, el 80 % dijo que reutilizaban su contraseña.
Ahora, esto es en realidad más peligroso que anotar la contraseña, porque nos hace mucho más vulnerables a los atacantes.
Así que si tienen que hacerlo, anoten sus contraseñas, pero no la reutilicen.
También averiguamos algunas cosas interesantes acerca de los símbolos que las personas utilizan en las contraseñas.
Así CMU permite 32 posibles símbolos, pero como pueden ver, solo hay un pequeño número que la mayoría de la gente utiliza, así que no estamos consiguiendo realmente mucha seguridad con los símbolos en nuestras contraseñas.
Así que fue un estudio muy interesante, y ahora teníamos los datos de 470 personas, pero en la situación actual esos no son realmente muchos datos de contraseñas, y así miramos a nuestro alrededor para ver dónde podríamos encontrar datos adicionales de contraseñas.
Resulta que hay mucha gente por ahí robando contraseñas y a menudo las publican en Internet.
Así que pudimos obtener acceso a algunos de estos conjuntos de contraseñas robadas.
Sin embargo, esto todavía no es realmente ideal para una investigación, porque no es del todo claro de dónde proceden todas estas contraseñas, o qué políticas concretas estaban en efecto cuando las personas crearon esas contraseñas.
Así es que queríamos encontrar una mejor fuente de datos.
Decidimos qué una cosa que podríamos hacer era hacer un estudio y que la gente realmente creara contraseñas para nuestro estudio.
Así que usamos un servicio llamado Amazon Mechanical Turk, que es un servicio para enviar un pequeña tarea que lleva un minuto, unos minutos, una hora, y paga a la gente un centavo, diez centavos, unos dólares por hacer la tarea por Ud., y después se les paga a través de Amazon.com.
Así que pagamos a la gente unos 50 centavos por crear una contraseña siguiendo nuestras reglas y por responder una encuesta, y luego les pagamos de nuevo para volver dos días más tarde y abrir una sesión usando su contraseña y contestar otra encuesta.
Haciendo esto, hemos recogido 5000 contraseñas, y dimos a la gente una serie de diferentes políticas para crear contraseñas.
Algunas personas debían aplicar una política bastante fácil, la llamamos Basic8, y ahí la única regla es que la contraseña debía tener al menos ocho caracteres.
Otras personas tenían que aplicar una política mucho más dura, y esto era muy similar a la política de CMU, es decir, ocho caracteres incluyendo mayúsculas, minúsculas, dígitos, símbolo, y pasar una verificación de diccionario.
Y una de las otras políticas que probamos, y había un montón más, pero una de las que probamos fue la llamada Basic16, y el único requisito aquí era que la contraseña debía tener al menos 16 caracteres.
Muy bien, así que ahora teníamos 5000 contraseñas, e información mucho más detallada.
Una vez más constatamos que la gente realmente solo usa un pequeño número de símbolos en sus contraseñas.
También queríamos tener una idea de cuánta seguridad ofrecían las contraseñas que las personas creaban, pero, como recordarán, no es una buena medida de seguridad de la contraseña.
Así que decidimos ver el tiempo que se tardaría en descifrar estas contraseñas utilizando las mejores herramientas de descifrado que usan los malos, o averiguando información al respecto en la literatura especializada.
Para que se hagan una idea de cómo los chicos malos descifran contraseñas, ellos roban un archivo de contraseñas donde están todas las contraseñas en una especie de formulario codificado llamado hash, y así lo que harán es una conjetura acerca de lo que es una contraseña, que se comparará con una función hash, para ver si coincide con las contraseñas de su lista de contraseñas robadas.
Así que un atacante tonto tratará todas las contraseñas en orden.
Empezarán con AAAAA y pasarán a AAAAB, y esto tomará mucho tiempo antes de encontrar las contraseñas que las personas son propensas a tener.
Por otra parte, un atacante astuto, hace algo mucho más inteligente.
Miran las contraseñas que se saben que son populares a partir de estos conjuntos de contraseñas robadas, y las adivinan en primer lugar.
Así que empezaremos adivinando «contraseña» y luego «Te amo» y «mono» y «12345678», porque estas son las contraseñas que con mayor probabilidad tiene la gente.
De hecho, algunos de Uds.
probablemente tienen estas contraseñas.
Así que lo que encontramos mediante la ejecución de todas estas 5000 contraseñas recogidas a través de estas pruebas para ver lo seguras que eran, encontramos que las contraseñas largas eran en realidad bastante seguras, y las contraseñas complejas eran bastante seguras también.
Sin embargo, cuando nos fijamos en los datos del estudio, vimos que la gente estaba realmente frustrada por las contraseñas muy complejas, y que las contraseñas largas eran mucho más usables, y, en algunos casos, eran en realidad incluso más seguras que las contraseñas complejas.
Así que esto sugiere que, en lugar de decirle a la gente que necesitan poner todos estos símbolos y números y cosas locas en sus contraseñas, podríamos mejorar simplemente diciendo a la gente que tengan contraseñas largas.
Sin embargo, aquí hay el problema, Algunas personas tenían contraseñas largas que en realidad no eran muy seguras.
Pueden crear contraseñas largas del tipo que un atacante podría adivinar fácilmente.
Así que debemos añadir algo más a las contraseñas largas.
Deben existir requisitos adicionales, y nuestra investigación en curso está mirando qué requisitos adicionales hay que añadir para crear contraseñas más seguras que también sean fáciles para la gente recordar y escribir.
Otra forma para lograr que las personas tengan contraseñas más seguras es usar un medidor de contraseña.
Estos son algunos ejemplos: Puede que los hayan visto en Internet al crear sus contraseñas.
Decidimos hacer un estudio para averiguar si estos medidores de contraseñas realmente funcionan.
¿Esto realmente ayuda a las personas a tener contraseñas seguras?
Y si es así,
¿cuáles son mejores?
Así que probamos medidores de contraseñas de diferentes tamaños, formas, colores, diferentes palabras al lado, y hasta probamos uno con era un conejito bailarín.
Al escribir una mejor contraseña, el conejo baila cada vez más rápido.
Así que fue bastante divertido.
Lo que encontramos fue que los medidores de contraseñas funcionan.
(Risas)
La mayoría de los medidores de contraseñas eran realmente eficaces, y el conejo bailarín era muy eficaz también, pero los medidores de contraseña más eficaces fueron los que les hicieron trabajar más antes de mostrar el pulgar alzado y decir que estábamos haciendo un buen trabajo, y de hecho encontramos que la mayoría de los medidores de contraseña en Internet hoy son demasiado permisivos.
Dicen que lo hacemos bien antes de tiempo, y si solo esperaran un poco antes de dar esa respuesta positiva, Uds.
probablemente tendrían mejores contraseñas.
Ahora, otro enfoque para mejorar las contraseñas, tal vez, es usar frases de paso en lugar de contraseñas.
Este fue un dibujo animado xkcd de hace unos años, y el dibujante sugiere que todos debemos utilizar frases de paso, y si nos fijamos en la segunda fila de esta caricatura, se puede ver que el dibujante sugiere que la frase «batería básica del caballo correcto» sería una frase muy segura y algo muy fácil de recordar.
Él dice que, de hecho, uno ya la recuerda.
Así que decidimos hacer un estudio para averiguar si esto era cierto o no.
De hecho, a todos con los que hablo que les menciono que estoy haciendo una investigación sobre contraseñas, señalan esta caricatura.
«
¿Has visto esto?
Ese xkcd.
Batería básica del caballo correcto».
Así que hicimos el estudio para ver lo que realmente pasaría.
En nuestro estudio, hemos utilizado Mechanical Turk de nuevo, e hicimos que la computadora recogiera palabras al azar en la frase de paso.
Ahora, la razón para hacerlo es que los humanos no son muy buenos escogiendo palabras al azar.
Si pidiéramos a un humano hacerlo, elegirían las cosas que no son muy arbitrarias.
Así que probamos algunas premisas diferentes.
Bajo una de las premisas la computadora escogió de un diccionario de palabras muy comunes del idioma inglés, y así se obtendría frases de paso como «Intentemos hay tres vienen».
Y nos fijamos en eso, y dijimos, «Bueno, no parece realmente muy memorizable».
Así que intentamos recoger las palabras que vinieron de partes específicas de la conversación como por ejemplo nombre-verbo-sustantivo-adjetivo.
Eso está relacionado con algo que es una especie de oración.
Así que Uds.
pueden obtener una frase como «plan construye poder seguro».
o «final determina drogas rojas».
Y estas parecían un poco más memorizables, y tal vez a la gente le gustarían más.
Queríamos compararlas con las contraseñas, y teníamos la computadora para escoger contraseñas aleatorias, y estas eran agradables y cortas, pero como pueden ver, en realidad, no parecen muy memorizables.
Y entonces decidimos probar algo llamado contraseña pronunciable.
Así que aquí la computadora recoge sílabas al azar y las pone une para obtener algo pronunciable, como «tufritvi» y «vadasabi».
Eso fluye en la lengua.
Así que eran contraseñas aleatorias generadas por nuestra computadora Lo que encontramos en este estudio fue que, sorprendentemente, utilizar frases no era, en realidad, tan bueno.
La gente no recordaba mejor las frases de paso que estas contraseñas aleatorias, y como las frases de paso son más largas, se precisa más tiempo para escribirlas y la gente cometía más errores al escribirlas.
Así que no es realmente una victoria clara para las frases de paso.
Perdón por todos los fans de xkcd.
Por otro lado, averiguamos que las contraseñas pronunciables funcionaron sorprendentemente bien, por eso estamos profundizando más para ver si podemos hacer que este enfoque sea aún mejor.
Uno de los problemas con algunos de los estudios realizados es que, debido a que está todo hecho, usando Mechanical Turk, no se trata de contraseñas reales de la gente.
Son las claves que la computadora ha creado para ellos para nuestro estudio.
Y lo que queríamos saber es si la gente en realidad se comportaría de la misma forma con sus contraseñas reales.
Así que hablamos con la oficina de seguridad informática en Carnegie Mellon y preguntamos si podíamos obtener contraseñas reales de todo el mundo.
No es de extrañar, que fueran un poco reticentes de dárnoslas, pero estábamos realmente dispuestos a elaborar un sistema con ellos donde poner todas las contraseñas reales de 25 000 estudiantes de CMU, profesores y personal, en una computadora bloqueada en una habitación cerrada, sin conexión a Internet, para ejecutar el código que escribimos para analizar estas contraseñas.
Auditaron nuestro código.
Ejecutaron el código.
Y así nunca, en realidad, vimos las contraseñas de nadie.
Obtuvimos algunos resultados interesantes, y aquellos de Uds.
estudiantes de Tepper de atrás estarán muy interesados en esto.
Así nos encontramos con que las contraseñas creadas por las personas afiliadas a la escuela de ciencias de la computación en realidad eran 1,8 veces más seguras que las de los afiliados a la escuela de negocios.
Tenemos también información demográfica muy interesante.
Otra cosa interesante que encontramos es que al comparar las contraseñas de Carnegie Mellon con las contraseñas generadas por Mechanical Turk, había una gran cantidad de similitudes, y así que esto ayudó a validar nuestro método de investigación y mostrar que en realidad, la recogida de contraseñas utilizando estos estudios de Mechanical Turk es en realidad una forma válida para estudiar las contraseñas.
Así que fue una buena noticia.
Bien, quiero cerrar hablando de algunas ideas que tuve durante mi año sabático el año pasado en la escuela de arte de Carnegie Mellon.
Una de las cosas que hice es una serie de edredones, y he hecho este edredón de aquí.
Se llama «Manta de Seguridad».
(Risas)
Este edredón tiene las 1000 contraseñas robadas con más frecuencia del sitio web RockYou.
El tamaño de las contraseñas es proporcional a la frecuencia con que aparecían en el conjunto de datos robados.
Lo que hice es crear esta nube de palabras, y examiné todas las 1000 palabras, y las categoricé en categorías temáticas sueltas.
Y, en algunos casos, era un poco difícil de entender en qué categoría debían estar y entonces las identifiqué por colores.
Así que estos son algunos ejemplos de la dificultad.
Digamos «justin».
¿Es ese el nombre del usuario, su novio, su hijo?
Tal vez son un fan de Justin Bieber.
O «princesa».
¿Es un apodo?
¿Son fans de las princesas de Disney?
O tal vez ese es el nombre de su gato.
«Iloveyou» aparece muchas veces en muchos idiomas diferentes.
Hay mucho amor en estas contraseñas.
Si miran atentamente, verán que hay también algunas palabras soeces, pero lo que fue realmente interesante ver para mí es que hay mucho más amor que odio en estas contraseñas.
Y hay animales, una gran cantidad de animales, y «mono» es el animal más común y la 14 contraseña más popular.
Y esto fue realmente curioso para mí, y me pregunté: «
¿Por qué son tan populares los monos?
» Y así, en nuestro último estudio sobre contraseñas, cuando detectamos que alguien crea una contraseña usando «mono», les preguntamos por qué tenían un mono en su contraseña.
Y lo que averiguamos…
encontramos 17 personas hasta el momento que tienen la palabra «mono»…
Encontramos que un tercio de ellos dijo que tienen una mascota llamada «mono» o un amigo cuyo apodo es «mono» y alrededor de un tercio de ellos dijo simplemente que le gustan los monos y que los monos son muy lindos.
Y ese joven es muy lindo.
Así, parece que al final, cuando hacemos las contraseñas, hacemos algo que o es muy fácil de escribir, un patrón común, o cosas que nos recuerdan a la palabra contraseña o a la cuenta para la que hemos creado la contraseña, o lo que sea.
O pensamos acerca de las cosas que nos hacen felices, y creamos nuestra contraseña basados en las cosas que nos hacen felices.
Y si bien esto facilita la escritura y recordarla es más divertido, también hace que sea mucho más fácil descifrar la contraseña.
Así que sé que un montón de estas charlas TED son fuente de inspiración y hacen pensar sobre cosas agradables y felices, pero cuando estén creando su contraseña, traten de pensar en otra cosa.
Gracias.
(Aplausos)
https://www.ted.com/talks/lorrie_faith_cranor_what_s_wrong_with_your_pa_w0rd/