Una realidad desafortunada para los investigadores de ciberseguridad es que los datos del mundo real para su investigación con demasiada frecuencia provienen de una violación de seguridad. Ahora los científicos informáticos han ideado una forma de permitir que las organizaciones compartan estadísticas sobre las contraseñas de sus usuarios sin poner en riesgo a esos mismos clientessiendo hackeado
El trabajo en la Universidad Carnegie Mellon y la Universidad de Stanford, parte de un campo emergente sobre autenticación humana rigurosa, convenció a Yahoo! de compartir públicamente las estadísticas de frecuencia de contraseñas para aproximadamente 70 millones de sus usuarios.
"Esta es la primera vez que una empresa importante publica información de frecuencia sobre las contraseñas de los usuarios", dijo Anupam Datta, profesor asociado de ciencias de la computación e ingeniería eléctrica e informática en CMU. "Es el tipo de información que los investigadores legítimos pueden usar para evaluarel impacto de una violación de seguridad y tomar decisiones informadas sobre las defensas de contraseñas. Esto es extremadamente valioso, por lo que esperamos que otras organizaciones sigan el ejemplo de Yahoo ".
Los investigadores presentan su método el miércoles en el Simposio de Seguridad de Redes y Sistemas Distribuidos en San Diego. Su método distorsiona los números en el conjunto de datos para que la lista sea "diferencialmente privada", una definición matemática precisa que garantiza que las estadísticas publicadas norevelar si la contraseña de un individuo específico está incluida en el conjunto de datos.
La información en cuestión no son contraseñas reales o ID de usuario, sino listas de frecuencia de contraseña: la cantidad de veces que un grupo de usuarios selecciona las contraseñas. En un caso simplificado que involucra a 10 usuarios, si ocho usuarios seleccionan "123456" comouna contraseña, y dos usuarios seleccionan "abc123", la lista de frecuencias sería 8,2.
Las listas de frecuencia de contraseñas para grandes grupos de usuarios se pueden analizar para ayudar a las organizaciones a establecer políticas de autenticación que equilibren la seguridad con la usabilidad, o para predecir qué cuentas de usuario son más vulnerables, dijo Jeremiah Blocki, un investigador postdoctoral en Microsoft Research que comenzó este estudiomientras que un post-doc en Carnegie Mellon.
Pero obtener acceso a las listas de frecuencias es difícil debido a la posibilidad de mal uso. Solo, las listas de frecuencias no ayudan a los piratas informáticos a identificar contraseñas individuales, dijo Blocki, pero potencialmente podrían proporcionar pistas importantes si se hacen referencias cruzadas a otras bases de datos. Por ejemplo, en el ejemplo anterior, si un adversario conociera las contraseñas de nueve de cada 10 usuarios, sería un juego de niños descubrir la décima contraseña sabiendo que la frecuencia era 8,2.
La mayoría de las empresas son reacias a proporcionar acceso a sus listas de frecuencia, por lo que los investigadores se conforman con los datos que se han lanzado inadvertidamente, como las 32 millones de cuentas de usuario del sitio difunto de la aplicación social RockYou, que sufrió una violación de datos en 2009.
Hace varios años, Joseph Bonneau, un investigador postdoctoral de Stanford y miembro de tecnología de la Electronic Frontier Foundation, obtuvo muestras de frecuencia de contraseña de Yahoo. Pudo publicar algunas estadísticas agregadas, pero Yahoo no lo dejó públicamentecompartir los datos sin procesar debido a posibles problemas de privacidad.
"Aquí estaban estos datos que fueron increíblemente útiles para personas como yo, pero no pudimos acceder a ellos", dijo Blocki.
Entonces Blocki, Datta y Bonneau crearon un nuevo algoritmo para agregar la distorsión suficiente a las listas de frecuencias para que sean inútiles para los piratas informáticos, pero aún así permiten a los investigadores ver los patrones de alto nivel que buscan en los datos.
Su algoritmo se basa en una poderosa herramienta diferencialmente privada llamada mecanismo exponencial, que introduce una distorsión mínima pero no es computacionalmente eficiente en general. Al explotar la estructura matemática inherente de una lista de frecuencias de contraseña, los investigadores pudieron desarrollar una computacionalmente eficienteversión del mecanismo exponencial adaptada a las listas.
"Con nuestro nuevo enfoque, podemos proporcionar garantías precisas sobre la privacidad", dijo Bonneau. "Espero que esto convenza a más organizaciones a compartir públicamente datos sobre contraseñas y potencialmente otros datos que podrían ser útiles para la seguridad".
Blocki dijo que lograr que organizaciones adicionales publiquen listas de frecuencia de contraseñas permitiría a los investigadores explorar el impacto de las diferentes políticas de contraseñas. El método también podría extenderse a las redes sociales, lo que permite el estudio de listas de distribución de títulos que rastrean la cantidad de amigos que los usuarios tienen- y a estructuras de datos más complicadas.
Esta investigación fue apoyada por la National Science Foundation, la Oficina de Investigación Científica de la Fuerza Aérea, el Instituto Simons para la Teoría de la Computación y el Fondo de Tecnología Abierta.
Fuente de la historia :
Materiales proporcionado por Universidad Carnegie Mellon . Original escrito por Byron Spice. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :