Hable, amigo y acceda
Las claves son ubicuas en la seguridad de computadoras. Con demasiada frecuencia son también ineficaces. Una buena clave tiene que ser tanto fácil de recordar como difícil de adivinar, pero en la práctica parece que las personas favorecen lo primero y no lo último. Son populares los nombres de los cónyuges y niños. Algunos llevan la simplicidad al extremo: un ex subeditor del The Economist utilizó durante muchos años la clave "z". Y cuando los hackers robaron 32 millones de claves de un sitio de juegos llamado RockYou, se descubrió que 1.1% de los usuarios del sitio - 365,000 personas - habían optado por "123456" o por "12345".
Esa predictibilidad les permite a los investigadores de seguridad (y a los hackers) crear diccionarios que enumeran las claves comunes, una bendición para los que tratan de acceder. Pero a pesar de que los investigadores saben que las claves son inseguras, el determinar qué tan inseguras ha sido difícil. Muchos estudios solo tienen muestras pequeñas - unos cuantos miles de claves como mucho. Sitios en la web que han sido violados tales como RockYou han proporcionado listas más largas, pero hay problemas éticos con el uso de información que se ha obtenido ilegalmente, y su disponibilidad no es predecible.
Sin embargo, un documento que será presentado en una conferencia sobre seguridad a celebrarse en mayo con el auspicio del Instituto de Ingenieros Eléctricos y Electrónicos, un órgano profesional ubicado en Nueva York, arroja algo de luz. Con la colaboración de Yahoo!, una compañía grande de internet, Joseph Bonneau de la Universidad de Cambridge, obtuvo la mayor muestra a la fecha - 70 millones de claves que, aunque anónimas, están acompañadas de datos demográficos útiles de sus propietarios.
Boneeau encontró algunas variaciones curiosas. Los usuarios de mayor edad tenían mejores claves que los jóvenes. (Hasta ahí la astucia tecnológica de los jóvenes.) Las personas que preferían los idiomas coreano y alemán eligieron las claves más seguras; los de habla indonesia tenían las menos seguras. Las claves diseñadas para ocultar información sensible como números de tarjetas de crédito eran solo ligeramente más seguras que las que protegen cosas menos importantes, como el acceso a juegos. "Pantallas de quejas" que le informan al usuario haber elegido una clave débil prácticamente no hacen ninguna diferencia. Y usuarios cuyas cuentas fueron violentadas en el pasado no hicieron una elección más dramáticamente segura que los que nunca habían sido violentados.
Pero es el más amplio análisis de la muestra lo que es de mayor interés para los investigadores de seguridad. Porque, a pesar de sus diferencias, los 70 millones de usuarios eran todavía suficientemente predecibles de manera que un diccionario genérico de claves era eficaz contra la muestra completa y cualquier parte demográficamente organizada. Bonneau es drástico: "Un atacante que puede lograr diez conjeturas por cuenta…comprometerá cerca de un 1% de las cuentas". Y ese, desde el punto de vista de los hackers, es un resultado que vale la pena.
Una respuesta obvia sería que los sitios limiten el número de intentos que se pueden hacer antes de bloquear el acceso, como lo hacen los cajeros automáticos. Sin embargo, mientras que los sitios más grandes, como Google y Microsoft, si toman esas medidas (y otros), muchos no lo hacen. Una muestra de 150 sitios web grandes examinados en el 2010 por Bonneau y su colega Sören Preibusch determinó que 126 no hacía nada para limitar los intentos.
Cómo surgió esta situación no está claro. Para algunos sitios, la lasitud podría ser racional, ya que sus claves no protegen nada especialmente valioso, como lo son detalles de tarjetas de crédito. Pero la lasitud en las claves le representa costos a sitios con buena seguridad, ya que las personas con frecuencia utilizan la misma clave para sitios diferentes.
Una sugerencia es que la laxa seguridad de las claves es un remanente cultural de la juventud inocente del internet - una red de investigación académica tiene pocos motivos para preocuparse por hackers. Otra posibilidad es que debido a que muchos sitios empiezan con muy pocos recursos económicos, para los que el implementar una seguridad de claves les tomaría tiempo valioso de programación, lo obvian al principio y luego nunca se preocupan por cambiarlo. Pero no importa la razón, le corresponde a los que no están dispuestos a esperar por los sitios web a que hagan las correcciones de lugar considerar las alternativas a las claves tradicionales.
Skysail dactyl gimcrack golem
Una de tales alternativas son claves de varias palabras llamadas "passphrases" (frase contraseña). El utilizar varias palabras en lugar de una hace que el atacante tenga que adivinar más letras, lo que resulta en mayor seguridad - pero solo si la frase que se escoge no es una de las que son de uso corriente y aparecen en diccionarios de frases. Que por supuesto con frecuencia lo son.
Bonneau y su colega Ekaterina Shutova analizaron un sistema del mundo real de passphrases empleado por Amazon, un detallista en línea que permitieron que sus usuarios estadounidenses utilizaran passphrases desde octubre del 2009 a febrero del 2012. Ellos determinaron que, aun cuando las passphrases ofrecen mayor seguridad que las claves, no son tan buenas como se había esperado. Una frase de cuatro o cinco palabras elegidas al azar (como las del encabezado) es bastante segura. Pero recordar varias de estas frases no es tan fácil como recordar varias claves elegidas al azar. La necesidad de la memoria es también una bendición para los atacantes. Al escarbar el internet en busca de listas de cosas tales como nombres de películas, frases deportivas y jergas, Bonneau y Shutova pudieron crear un diccionario de 20,656 palabras que permitió el acceso a 1.13% de las cuentas de Amazon.
Los investigadores sospechan también que hasta los que no utilizan frases famosas preferirían patrones encontrados en idiomas y no aleatoriedad. De manera que compararon su colección de passphrases con dos frases de dos palabras extraídas al azar del British National Corpus (una muestra de 100 millones de palabras del inglés de Oxford University Press), y de Google NGram Corpus (cosechado del internet por rastreadores web de esa empresa). Efectivamente, encontraron un traslapo considerable entre las estructuras comunes del inglés común y las frases elegidas por los usuarios de Amazon. Alrededor del 13% de las frases con adjetivo/sustantivo ("bella mujer") que los investigadores probaron resultaron eficaces, al igual que 5% de los compuestos de adverbio-verbo ("probablemente mantendrá").
Una forma de evitar estos inconvenientes es la idea de combinar una clave con una passphrase en lo que han llamado una clave mnemotécnica. Es una cadena de aparente disparate que no es difícil de recordar. Por ejemplo se puede formar utilizando la primera letra de cada palabra en una frase, utilizando letras mayúsculas y minúsculas, y sustituyendo símbolos por otros - "8" por "B", por ejemplo. ("eucMdTee9" es una contracción mnemotécnica del texto en este paréntesis.) Sin embargo, hasta las claves mnemotécnicas, no son invulnerables. Un estudio publicado en el 2006 descifró 4% de las mnemotécnicas en una muestra utilizando un diccionario be letras de canciones, nombres de películas y cosas por el estilo.
El resultado es que probablemente no hay una respuesta correcta. Toda la seguridad es irritante (si no pregúntele a alguien que vuele con frecuencia), y hay una tensión constante entre el deseo de las personas de sentirse seguros y su deseo de que las cosas sean sencillas. Mientras la tensión persista, los hackers lograrán el acceso.
Los usuarios de mayor edad tenían mejores
claves que los jóvenes. Las claves diseñadas para
ocultar información sensible como números
de tarjetas de crédito eran solo ligeramente
más seguras que las que protegen cosas menos
importantes, como el acceso a juegos.
© 2012 The Economist Newspaper Limited. All rights reserved. De The Economist, traducido por Diario Libre y publicado bajo licencia. El artículo original en inglés puede ser encontrado en www.economist.com