El Centro de Defensa de Aplicaciones de Imperva (ADC, por sus siglas en Inglés), fue el encargado de analizar las vulnerabilidades en el uso de contraseñas en Internet
Redwood Shores, CA – Agosto 3, 2010 – Imperva, líder en la seguridad de datos, presenta Estudio sobre las Peores Prácticas en el uso de contraseñas en Internet, el cual fue realizado por el Centro de Defensa de Aplicaciones de Imperva (ADC, por sus siglas en Inglés).
Este Estudio está basado en un descubrimiento de una potencial vulnerabilidad en Rockyou.com en diciembre 2009. Al momento de analizar el blog de un hacker se detectó un grado alto de vulnerabilidad que afecto a 32 Millones de contraseñas, las cuales fueron publicadas en Internet por el pirata informático, quien las sustrajo a través de la vulnerabilidad de Inyección SQL.
De las 32 millones de contraseñas, 1,830,196 se identificaron en idioma Español. La contraseña más común en cualquier idioma es numérica o son combinaciones como 123456 ó abc123. Las palabras encontradas en Español fueron 1,001,662.
El análisis revela la forma en que los usuarios seleccionan contraseñas y ofrece una alternativa para evaluar si las mismas funcionan realmente como mecanismos de seguridad. Cabe mencionar que anteriormente los estudios sobre contraseñas se enfocaban generalmente en encuestas, ahora el volumen de contraseñas examinadas permite un panorama global.
El mecanismo del estudio consistió en la investigación de cuáles contraseñas venían de usuarios hispanoparlantes: palabras en Español, incluyendo nombres propios y expresiones mal escritas intencionalmente; y la frecuencia de uso de las contraseñas.
Se encontró que las contraseñas utilizadas caen en seis categorías principales: Nombres de personas, secuencias del teclado, cosas favoritas (personas de películas, comida, etc.), términos cariñosos, términos de computación y términos religiosos; siendo la primera categoría la de mayor peso pues representa el 48 por ciento del uso de contraseñas. Daniel, Angel, Andrea, Carlos y Amanda son los nombres más comunes.
Respecto a la secuencia del teclado, la contraseña que mayor uso fue 123456, con 290,731 usuarios. Entre la categoría de las cosas favoritas, el chocolate fue lo más representativo con 11,827 usuarios, le siguieron, superman, america, arsenal y batman.
El 8% de las contraseñas fueron usadas para términos cariñosos, y el que más destaco con 8,201 usuarios fue, te amo. Solo el 2% fue para términos de computación, sobresaliendo la palabra contraseña con 61,958 usuarios.
Las palabras religiosas comprendieron el 2% siendo las más común, Angel con 11,251 usuarios. Escrito en español. También se utiliza como nombre masculino, pero podría suponerse que fue seleccionado bajo un contexto religioso.
En un análisis general de las 32 millones de contraseñas, y de acuerdo a recomendaciones de la NASA para la selección de contraseñas, mismas que sigue la ADC de Imperva, se reveló que sólo la mitad de las contraseñas contenía siete o menos caracteres, siendo que la recomendación mínima es de ocho caracteres; el 30% de los usuarios eligió contraseñas cuya longitud fue igual o menor a los seis caracteres (El requisito mínimo de Rockyou.com para el largo de la contraseña es cinco). Asimismo, el 60% de los usuarios eligen sus contraseñas dentro de un conjunto limitado de caracteres. Alrededor del 40% de los usuarios utilizan solo caracteres en minúsculas para sus contraseñas, y cerca del 16% utilizan solamente dígitos. Menos del 4% de los usuarios utiliza caracteres especiales; y solo el 0,2% de los usuarios de Rockyou.com tienen una contraseña que podría considerarse fuerte. Es importante destacar que en el uso de las contraseñas es recomendable una mezcla de caracteres especiales, números, letras minúsculas y mayúsculas. Además no debería ser un nombre, una “mala palabra” o una palabra que esté en el diccionario. No se deberá incluir una parte de su nombre ni su dirección de correo electrónico.
Casi la totalidad de las 5000 contraseñas más populares, utilizadas por el 20% de los usuarios, fueron solo nombres, malas palabras, palabras del diccionario o contraseñas triviales (dígitos consecutivos, teclas adyacentes del teclado, etc). Si un pirata informático hubiera utilizado las 5000 contraseñas principales como un diccionario para efectuar ataques maliciosos a los usuarios de Rockyou.com, habría necesitado sólo un intento (por cuenta) para adivinar el 0,9 por ciento de las contraseñas de los usuarios, con índice de éxito en cada 111 intentos, en resumen, un pirata informático tendrá acceso a una nueva cuenta cada segundo o un poco menos de 17 minutos para comprometer 1000 cuentas, y el problema es exponencial, ya que después de la primera ola de ataques, sólo tomaría 116 intentos por cuenta para comprometer el 5% de las cuentas, 683 intentos para comprometer al 10% de las cuentas y alrededor de 5000 intentos para comprometer al 20% de las cuentas.
Ante este panorama Imperva sugiere a los usuarios: elegir contraseña fuerte para los sitios en donde almacena información cuya privacidad le importa, utilizar una contraseña diferente para todos los sitios y nunca confiar a un tercero sus contraseñas importantes (correos electrónicos, banca, servicios médicos, etc.).
Los administradores deberán hacer cumplir una política de contraseñas seguras, asegurarse de que las contraseñas no sean guardadas en texto claro y emplear mecanismos agresivos para detectar y mitigar ataques maliciosos en las credenciales de inicio de sesión; y políticas de cambio de contraseñas.
Descargue estudio en: https://www.imperva.com/ld/contrasenas.asp
About Imperva
Imperva is the global leader in data security. With more than 1,300 direct customers and 25,000 cloud customers, Imperva’s customers include leading enterprises, government organizations, and managed service providers who rely on Imperva to prevent sensitive data theft from hackers and insiders. The award-winning Imperva SecureSphere is the only solution that delivers full activity monitoring for databases, applications and file systems. For more information, visit www.imperva.com , follow us on Twitter or visit our blog.
# # #
Imperva and SecureSphere are registered trademarks of Imperva, Inc. All other brand or product names are trademarks or registered trademarks of their respective holders.
Editorial Contacts
North America Katherine Nellums Page One PR Tel: (415) 321-2347 katherine@pageonepr.com |
Europe Neil Stinchcombe Eskenzi PR Tel: +44(0)20 71 832 833 neil@eskenzipr.com |
Latin America Leticia Rodriguez G.P.A. Tel: +55-52-5611 3183 leticia.rodriguez@global-position.com |
Asia-Pacific Grenadine Lau Imperva Tel: +65 6749 4482 grenadine.lau@imperva.com |