En Kabytes destacan un análisis de 20.000 contraseñas que se han usado para registrarse en el sitio oficial del CMS phpBB, el sistema de foros más popular de internet cuya web oficial fue hackeada no hace mucho tiempo.
Una de las cosas que hay que tener en cuenta de este análisis es que en mi opinión el perfil del usuario que se registra en el foro oficial de phpBB es mucho más alto que el del usuario medio ya que generalmente son personas que tienen los conocimientos para instalar este sistema en sus páginas web y gestionar una base de datos. Vamos que no son Hoygans precisamente.
Sin embargo los datos son escalofriantes:
- 16% de las contraseñas contiene el primer nombre de la persona.
- 14% contiene algún patrón del teclado, por ejemplo 123456.
- 4% es una variante de la palabra “password”, por ejemplo passw0rd.
- 5% hace referencia a algo de la cultura pop.
- 4% hace referencia a cosas cercanas, por ejemplo la marca del celular o de tu ordenador.
- 3% hace referencia a emociones. Ejemplo iloveyou
- 3% son palabras “no les importa en lo mas mínimo” ejemplo abc123
- 1.3% cosas que la gente vio en la televisión/cine
- 1% son cosas relacionadas a los deportes.
El informe completo [Inglés] desvela otros datos interesantes como que pasando las contraseñas por un diccionario normal de inglés se encontró un 65% de coincidencias. Con un diccionario “hacker” (ya que palabras como “pokemon” o “xbox” aunque no aparecen en los diccionarios estándar son comunes) el % ascendía al 95%.
- También en blogoff: Entrevista a Christian Van De Henst
- También en blogoff: Acceso a llaveros, tu cofre en Mac OS X
- También en blogoff: Seguridad desde cero para redes WiFi
Lo que sí queda claro, y es preocupante, es que esta gente almacena en claro las contraseñas de sus usuarios. De tenerlas hasheadas no habrían podido hacer el estudio.
En phpBB se almacenan con MD5
Entonces ¿cómo pudo el hacker sacar las 20000 contraseñas?, ¿las ha roto todas por fuerza bruta?, lo dudo.
Hay bases de MD5 disponibles por internet para consulta. .torrents incluidos de bastantes Gigas.
Escribí hace tiempo sobre el tema en:
https://www.blogoff.es/2006/11/02/%C2%BFes-segura-mi-contrasena/
Aunque el enlace a una base de datos MD5 que menciono ahí ya no funciona, lo puse a prueba con unos cuantos HASH del foro de faqoff y un 70% de acierto inmediato había.
Pero los porcentajes son muy bajos ¿no?
Hace seis años escribí el “Método maty para la creación de contraseñas seguras”. ¿Sirvió para algo? Para bien poquito, como el resto de mis/nuestros contenidos sobre seguridad, salvo para el escasísimo número de personas interesadas. El resto antepone la seguridad a la comodidad y luego pasa lo que pasa.
-> Imagen contrasenyas-nautopia-pins-maty.png
Me colé con el enlace. A ver si ahora no:
-> Imagen contrasenyas-nautopia-pins-maty.png
Sólo pondría un pero a esta encuesta:
En los servidores que administro no pongo contraseñas débiles, os lo puedo asegurar, pero si me doy de alta en un foro para consultar un artículo que me interesa, tampoco busco una de 35 caracteres con mayúsculas, cifras y caracteres raros, tampoco pongo 123456, pero no me complico mucho la vida, la verdad.
Eso sí, mi contraseña de gmail es bastante más complicada.