1Password de AgileBits es una herramienta increíble para mantener sus datos seguros. Más que un simple administrador de contraseñas, 1Password le permite encriptar y organizar una amplia gama de datos (contraseñas de sitios web, no web cuentas digitales, números de tarjetas de crédito / débito y detalles de cuentas financieras, licencias de software y archivos que contienen información confidencial información.
Esas características están muy bien, pero la característica más importante es la capacidad de 1Password para mantener todos esos datos seguros frente a Ataques de fuerza bruta: el tipo de ataques en los que una pieza de software simplemente intenta una combinación tras otra de posibles contraseñas. El software de descifrado de contraseñas que se basa en tales ataques puede probar fácilmente miles de contraseñas potenciales por segundo.
Para averiguar si 1Password puede resistir o no tales ataques, AgileBits probó una 1Password contra John the Ripper, una de las herramientas para descifrar contraseñas más conocidas.
AgileBits detalló recientemente gran parte de investigación e información de antecedentes en su blog, incluido el hecho de que John the Ripper y otras herramientas de descifrado de contraseñas se pueden ajustar para atacar herramientas de cifrado específicas como 1Password.
El concepto clave aquí es que estas herramientas atacan la contraseña maestra que los usuarios establecen cuando configuran 1Password. Romper los mecanismos de cifrado y descifrar los datos no es una opción de ataque viable contra la tecnología de cifrado de alto nivel como la empleada por 1Password o Apple FileVault. La principal vulnerabilidad en sistemas seguros como 1Password son las credenciales que permiten al propietario (o personas autorizadas) de los datos desbloquear el sistema. En el caso de 1Password, eso significa la contraseña maestra (en otros sistemas podría ser la cuenta de usuario y la contraseña, dos factores autenticación que involucra un token físico o de datos que debe presentarse con una contraseña, o incluso datos biométricos como un huella dactilar).
Es ese punto de entrada contra el que AgileBits probó y estudió a John el Destripador. En última instancia, con el tiempo suficiente, John the Ripper eventualmente descifrará cualquier contraseña maestra. Lo mejor que puede hacer 1Password es crear cálculos complejos en el sistema, cálculos que deben realizarse con cada intento de contraseña. Puede que no parezca mucho, pero funciona, siempre que la contraseña maestra sea lo suficientemente larga y aleatoria.
Ambos son piezas importantes de la solución. Cuanto más larga sea la contraseña, más conjeturas debe realizar una herramienta de descifrado para obtener la contraseña correcta. Si superpone miles o decenas de miles de cálculos complejos que deben realizarse para cada conjetura, es plausible detener el ataque, o más ralentizarlo con precisión hasta el punto de detenerse eficazmente haciendo que la herramienta de craqueo tarde días, semanas, años, siglos o incluso milenios antes de cada combinación posible se prueba.
Aplicando ese concepto al uso diario, AgileBits sugiere que utilice contraseñas de varias palabras y la las palabras son verdaderamente aleatorias (tirar los dados para seleccionar palabras es algo verdaderamente aleatorio que sugiere que la empresa marcas). Como puede ver en la tableta a continuación, una contraseña de siete palabras tomaría billones de años. Incluso una contraseña de cuatro palabras sería suficiente, ya que tardaría décadas o siglos en descifrarse.
Fuente: AgileBits
Imagen: AgileBits
