Reutilizar contraseñas similares en muchas cuentas en línea puede hacerlo más vulnerable a las suposiciones de los ciberdelincuentes de lo que la gente cree, según revela una nueva investigación.
Los resultados de una investigación realizada por expertos en seguridad en el Reino Unido y China muestran, por primera vez, que un número abrumador de contraseñas para cuentas en línea, utilizadas para cualquier cosa, desde banca, redes sociales y compras, son vulnerables a las conjeturas en línea dirigidas.
Las suposiciones en línea dirigidas son cuando los delincuentes adivinan la contraseña de una víctima específica para una cuenta. Lo hacen explotando el conocimiento de la información personal de su víctima, como la contraseña que utiliza el objetivo de otro servicio, así como información de identificación personal, como su nombre ycumpleaños.
Muchas personas tienden a reutilizar contraseñas en múltiples servicios basados en la web y también usan información personal dentro de sus contraseñas. En los últimos años se ha visto una gran cantidad de violaciones de datos de las empresas, poniendo más información personal en manos de delincuentes. Estas violaciones significan quecontraseñas similares utilizadas en otros servicios se vuelven particularmente vulnerables a las suposiciones específicas.
Para verificar la vulnerabilidad de las contraseñas en línea a las conjeturas dirigidas, los investigadores de la Universidad de Lancaster, la Universidad de Pekín y la Universidad Normal de Fujian, crearon diferentes marcos de adivinanzas que priorizan el orden de las conjeturas en función de los atacantes que tienen acceso a diferentes tipos de información personal, o múltiples piezasde información. Estos modelos de priorización se probaron con diez grandes conjuntos de datos del mundo real de usuarios de Internet chinos e ingleses.
Cuando se probaron, los modelos de ataque de los investigadores, particularmente aquellos que se beneficiaron de múltiples datos personales, incluida una contraseña de otro servicio, pudieron adivinar con éxito las contraseñas de las cuentas de más del 73 por ciento de los usuarios normales, y alrededorun tercio de los usuarios expertos en seguridad con un límite de 100 conjeturas. En los EE. UU., las pautas del NIST Instituto Nacional de Estándares y Tecnología para servicios de Internet requieren que los intentos de contraseña se limiten a 100 en un período de 30 días.
El trabajo, que por primera vez evalúa sistemáticamente cómo los atacantes pueden obtener ventajas mediante la explotación de información personal, incluidas las contraseñas filtradas, características en el documento 'Adivinación de contraseñas en línea dirigida: una amenaza subestimada', que fue presentado por el Dr. Jeff Yan, co-autor del artículo y profesor titular de la Universidad de Lancaster, en la Conferencia CCS'16 en Viena.
"Nuestros resultados sugieren que los mecanismos de seguridad utilizados actualmente serían en gran medida ineficaces contra la amenaza de adivinanzas en línea dirigida, y esta amenaza ya se ha vuelto mucho más dañina de lo esperado", dijo el Dr. Yan.
“Este trabajo muestra, por primera vez, que adivinar las contraseñas específicas es una amenaza muy subestimada y hemos demostrado que se puede adivinar una gran cantidad de contraseñas si el atacante conoce la información personal, especialmente si conoce las contraseñas de otroscuentas propiedad de la víctima potencial ", dijo el Sr. Ding Wang, el principal autor estudiantil que ha sido guiado conjuntamente por el profesor Ping Wang en la Universidad de Pekín y por el Dr. Yan en Lancaster en el papel.
"Estamos descubriendo que las amenazas de adivinanzas en línea dirigidas son cada vez más dañinas y realistas. Esta es una preocupación de seguridad seria ya que hay grandes cantidades de información de identificación personal y contraseñas filtradas fácilmente disponibles para los delincuentes debido a muchas violaciones de datos de un millón de tamañoscomo Yahoo, Myspace, Linkedin, Dropbox y VK.com ", dijo el profesor Wang, el autor correspondiente del artículo.
"Nuestros resultados deberían alentar a las personas a variar las contraseñas que usan en diferentes sitios web mucho más sustancialmente para que sea más difícil para los delincuentes adivinar sus contraseñas. Este trabajo también debería ayudar a informar a los proveedores de servicios de Internet que buscan introducir medidas de seguridad más sólidas para detectar yresista las conjeturas en línea ", agregó el Dr. Yan.
Aunque los resultados de este trabajo implican que un sitio web debe permitir muchas menos conjeturas de 100 para que una cuenta sea segura, los investigadores enfatizan que esto debe equilibrarse con la necesidad de que los usuarios tengan la opción de intentar múltiples intentos para acceder a sus cuentasAdemás, un pequeño límite en los intentos de contraseña para una cuenta puede proporcionar a los atacantes otra opción maliciosa: bloquear cuentas seleccionadas o muchas con múltiples intentos fallidos de contraseña. Este es el llamado ataque de denegación de servicio.el número 100 ya es bastante pequeño, un buen equilibrio entre el ataque de adivinanzas y el ataque de denegación de servicio describe la necesidad de que los sitios web preocupados por la seguridad implementen medidas de seguridad más robustas. Un enfoque prometedor es utilizar otras señales de identificación de usuario implícitas además de la contraseña, incluyendola dirección IP del usuario, la geolocalización, las huellas digitales del dispositivo y el comportamiento del usuario, como el tiempo de inicio de sesión y la dinámica de pulsación de tecla.
"Fue alentador ver que, en una respuesta rápida a nuestros resultados, el NIST revisó parte de la Guía de autenticación digital SP 800-63-3 e invitó a nuestros comentarios adicionales sobre otras normas relacionadas", dijo el Dr. Yan.
El documento está disponible visitando http://dl.acm.org/citation.cfm?id=2978339&CFID=685234644&CFTOKEN=66042247
Los autores de los artículos son Ding Wang, Zijian Zhang y Ping Wang, Universidad de Pekín; Jeff Yan de la Facultad de Informática y Comunicaciones de la Universidad de Lancaster; y Hinyi Huang, de la Facultad de Matemáticas e Informática, Universidad Normal de Fujian.
ACM Conference of Communication and Systems Security CCS es una conferencia internacional emblemática sobre ciberseguridad.
Fuente de la historia :
Materiales proporcionado por Universidad de Lancaster . Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :