La longitud de las contraseñas es clave para la seguridad

Las contraseñas utilizadas para validar usuarios en distintos sistemas deben establecerse con sumo cuidado, ya que es posible que si la contraseña no está bien construida (lo que se suele denominar una contraseña débil) puede ser averiguada fácilmente.

Uno de los factores más importantes a la hora de establecer contraseñas es la longitud de las mismas. Cuanto más larga sea una contraseña, a un atacante le va a resultar más difícil de averiguar.

Así, una contraseña alfanumérica de solamente tres caracteres resulta fácil de adivinar, ya que únicamente habría que lanzar un ataque con una colección muy limitada de posibilidades, alrededor de 50.000 combinaciones distintas.

Sin embargo, si la contraseña alcanza los 8 caracteres (entre letras y números), un ataque debería probar entre muchos billones de billones de combinaciones distintas, lo que sin duda hará desistir a un posible atacante.

A pesar de esto, en la vida diaria se siguen utilizando contraseñas tremendamente débiles en sistemas de validación muy importantes. Podemos poner por ejemplo el PIN (Personal Identification Number) utilizado en los cajeros automáticos, que en muchas ocasiones está limitado a 4 dígitos, lo que limita el número de contraseñas a únicamente 10.000. Lo mismo ocurre en los sistemas de telefonía móvil, que generalmente está asegurados con PIN cortos, de cuatro guarismos.

Este problema se manifiesta de manera acuciante en el caso de los dispositivos Bluetooth. Según Yaniv Shaked, de la Escuela de Ingeniería de Sistemas Eléctricos de la Universidad de Tel Aviv, un atacante podría interferir en la conexión de dos dispositivos Bluetooth y llegar a adivinar un número PIN de cuatro dígitos en un tiempo que oscila entre 3 décimas y 6 centésimas de segundo.

Este estudio, que será presentado en la reunión MobiSys de Seattle que se lleva a cabo entre el 6 y el 8 de junio, muestra el elevado riesgo que existe en los dispositivos Bluetooth por su falta de seguridad, peligros a los que se suman la mala construcción de contraseñas.

El estudio puede consultarse en www.usenix.org/events/mobisys05/tech/shaked.html.

Post Author: Panda Security

Panda Security es una de las principales compañías mundiales que crea y desarrolla tecnologías, productos y servicios de seguridad que mantienen las instalaciones informáticas de sus clientes libres de virus y demás amenazas informáticas con el menor Coste Total de Propiedad.
Para conseguirlo, Panda innova continuamente y trabaja en equipo internamente y junto con sus clientes, proveedores y colaboradores bajo los principios de la Calidad Total o Excelencia.