El tiempo de antes y el que tarda ahora un Hacker en "descifrar" tu contraseña.

[famososMuertos]

Realmente no es una guía, pero que me resulta en una buena información a tener presente en el porque debemos hacer ciertas cosas que siempre se recomiendan.

La fuente informa que por ejemplo en el 2012 una contraseña de 10 caracteres alfanumérica era la guía a seguir para recomendaciones de la época.

Hoy en día las cosas han cambiado y bastante, en el 2012, fecha mencionada en la fuente, con los recursos "hackerianos^{inspiración mía, sorry}" se podía en 106 años con fuerza bruta.

En la presente época solo tarda semanas, es así como una empresa especializada ha levantado la siguiente tabla:



Un considere siempre tener una contraseña fuerte, o más en términos de las páginas web o jerga en cuestión "Strong" color verde. Es incluso destacable como algunas web o donde sea que incluya su, la clave a pesar de señalar "débil" ignoran el mensaje.

Las minúsculas y mayúsculas no son suficientes, hay que agregar algún símbolo.

^{Fuente imagen: Hive Systems. Consulta:https://www.xataka.com/seguridad/sabemos-que-tarda-hacker-averiguar-tu-contrasena-fuerza-bruta-da-miedo}

[1714639837]

1714639837

[1714639837]

1714639837

[1714639837]

1714639837

[1714639837]

1714639837

[DdmrDdmr]

Veo que en la tabla autor del del artículo faltan algunas combinaciones en los títulos de las columnas, pero nos podemos más o menos ubicar si alguien incurre en alguna de las casuísticas que faltan (ej/ números y letras en minúsculas).

Los tiempos lógicamente también dependerán de cuantos caracteres hay de cada tipo (no es lo mismo por ejemplo combinaciones de números y letras donde el 90% sea letras que si el 90% son números).

A modo de referente, los datos son tomados en base a:

<…> esos tiempos de 2022 se basan en el uso de 8 GPUs NVIDIA A100 Tensor Core GPUs en Amazon Web Services a través de sus instancias P4 de EC2.

Lógicamente los tiempos pueden ser mucho más rápidos con más recursos, donde el común de los mortales puede que no tenga acceso a los equipos necesarios, pero grupos de hackers, gobiernos y demás sí. Viendo la segunda tabla del artículo, uno además percibe cómo un solo año basta para reducir el tiempo diez veces – una progresión brutal (pero sujeta al equipo elegido en cada ocasión).

Si nos vamos al umbral de lo más recomendado, con lo que protegeríamos carteras de bitcoin y cuentas bancarias por ejemplo, vemos que cada vez es más difícil asimilar la memorización de las contraseñas (ya no hablemos de múltiples), avocándonos a necesitar una estrategia de gestión de contraseñas para tener más seguridad (*). Luego añadir 2FA si es posible, etc.

(*) Papel, gestores custom, gestores opensource, etc. pero con cuidado con soluciones que puedan, como hemos visto recientemente, filtrar los datos sensibles de uno, y ser peor la solución que el problema.

[Hispo]

Al ver este hilo lo primero en lo que he pensado es en esas cuentas de a principios y mediados de los 2010's que la gente creó con contraseñas fuertes en la época, pero que ya no lo son.
E incluso están esas cuentas que están abandonadas, pero que incluso en ese estado podrían tener información personal y documentos de valor.

¿Soy el único que debe tener alguna que otra cuenta abandonada por allí desde esos tiempos?

En todo caso, consultando la tabla mis contraseñas actuales no deberían ser vulnerables, no al menos en un muy largo tiempo.

Gracias por compartir. 

[DdmrDdmr]

Supongo que hay muchos casos similares, pero hay uno de Mayo 2022 donde el OP afirma tener una wallet de bitcoin core 2012 de la cual se ha olvidado la contraseña. Uno diría que, posiblemente, estos son los casos potenciales con contraseñas no demasiado seguras, aunque también es posible que la gente más early adopter tuviese mayor concienciación de la seguridad de las contraseñas (en relación al común de los mortales).

El caso citado no obstante es probablemente falso, dado que en el hilo se ve como tiene una TX de salida de todo el balance en 2021. Es más probable que sea una de esas wallets que circulan y que la gente intenta crackear, que no un caso de hackeo ni nada por el estilo.

Lo interesante es tomar conciencia de que existen herramientas para crackear contraseñas de multitud de productos, y no asumir que no pueda llegar a suceder, relajando la adopción de las recomendaciones en la longitud y complejidad de las contraseñas.

[darxiaomi]

Muy buena info, ahora yo tengo una preguntas y otras aseveraciones.

Si bien la tabla indica el tiempo y demas, no toma en consideracion el tema de que en muchos casos ante x cantidad de pruebas se bloquearia la cuenta. Me refiero a cuentas de sitios y/o mails logicamente.


Por otro lado, por esto yo creo importante en la seguridad mas basica la diferencia que hacen algunas paginas/plataformas entre nick y username, porque digamos que por ejemplo si nadie tiene nuestro user por mas que tenga la contraseña tampoco va a poder hacer demasiado. DIgamos que tendrian la llave de la puerta pero no la direccion. Creo que es una forma muy sencilla pero que abortaria muchos casos de hackeo.
Si mal no recuerdo steam funciona algo asi. Eso si cuando uno deja de usarla por mucho tiempo a veces se le olvida su username porque se acuerda solo de su nickname.

[DdmrDdmr]

<…>

Diría que los casos de uso para tabla del estilo del OP no están tanto orientados a accesos a través de páginas hospedadas donde, si están bien hechas, deberían bloquear la cuenta ante n-intentos fallidos, sino más bien a situaciones donde uno tiene pleno acceso al fichero protegido con contraseña (tipo wallet de criptomonedas de autocustodia, ficheros rar, copias de seguridad, etc.).

En el caso del foro Bitcointalk, me da que no tiene un control del número de intentos fallidos. Me imagino que Cloudflare hará lo suyo para delimitar los intentos frecuentes de acceso, permitiendo 1 por segundo o algo así, y por ende, mitigando el riesgo de un ataque sostenido y rápido, aunque no tengo claro si podría llegar a ser sostenido pero lento. A razón de un intento por segundo, se podría probar 31.536.000 veces en un año.

[Porfirii]

<…>

...A razón de un intento por segundo, se podría probar 31.536.000 veces en un año.

¿Habría que tener una máquina dedicada exclusivamente a ello? Supongo que habrá algún pez realmente gordo en el foro al que a alguno le podría interesar hackear específicamente, pero para el común de cuentas de bitcoin-aficionados creo que sería como matar moscas a cañonazos.

De todos modos, está bien tomar precauciones por si acaso. Yo hace ya mucho tiempo que añadí los símbolos a mis contraseñas. Estamos de acuerdo en que dificulta su escritura y su memorización, pero junto con la longitud de la contraseña es lo que marca la diferencia en cuanto a mayor o menor seguridad, como se puede ver en la imagen del OP.

[DdmrDdmr]

Este artículo de Hive Systems es interesante para echarle un vistazo. En él, se observa cómo la tabla que confeccionaron para el 2022 es la del OP, pero también encontramos la tabla para el 2020, cuyos datos coinciden con los de Statista, y que siguen circulando como si fuesen datos actuales.

Si comparamos ambas tablas (2022 vs 2020), las diferencias en 2022 se han reducido por un factor aproximado de 10. Es decir, se tarda 10 veces menos en tan solo dos años.

En el artículo también se comparan los tiempos con distintos equipamientos, los cuales lógicamente difieren notablemente. Siendo equipamientos potentes pero no tremebundos, uno puede suponer que equipamientos de grupos de hackers profesionales y entidades gubernamentales se pasan estos tiempos por el arco de triunfo, logrando resultados netamente mejores en sus infraestructuras.

Digamos que, para proteger una wallet con una contraseña, cualquier referencia de tiempo que veamos del estilo deberíamos suponer que es netamente mejorable al amparo de los ejes tiempo y equipamento.

[darbitmobilerecovery]

Claramente no tengo que aclarar mucho quien soy .

Pero bueno estoy probando esta cuenta y tengo algo que aportar.

https://www.youtube.com/watch?v=9_Kg5hWMxSI&ab_channel=SupraPixel

Resulta que encontre ese video y me parecio por demas de interesante para los que tenemos muchas contraseñas. Tal vez a alguno le sirva, o muchos ya lo conozcan.

[DdmrDdmr]

<…>

Es una de las maneras recomendables para llevar una gestión adecuada de las contraseñas sin tener que depender de una memoria de elefante: Usar un gestor de contraseñas.

El gestor no se utiliza no sólo para almacenar una cantidad importante de contraseñas en agregado (debería ser una única por cada site al cual estamos suscrito), sino que además permite customizar la complejidad de la elaboración aleatoria de la misma, de manera que usemos contraseñas complejas.  Eso sí, hemos visto recientemente como ciertos gestores online de contraseñas han tenido fallas de seguridad, por lo que es mejor usar soluciones opensource que tengan tus datos únicamente en local.

A modo de anéctota, indicar que yo no conozco ni mi propia constraseña de Bitcointalk. La tengo en un gestor de contraseñas, además de tener un mensaje bitcoin firmado por si tuviese que recurrir a ello para recuperar la cuenta.

Edit:

<...>

Nope.

[Porfirii]

Claramente no tengo que aclarar mucho quien soy .

Pero bueno estoy probando esta cuenta y tengo algo que aportar.

¿No serás la inteligencia artificial que estaba probando nuestro amigo Ddmr, no?

Lo dudo porque:
1.- Ninguno de tus dos posts parecen haber sido escritos por ninguna máquina.
2.- Dudo que el principio de integridad (en caso de ser humano) o código fuente (en caso contrario) de DdmrDdmr le permita contestarse a sí mismo. En el primer caso se sentiría mal; en el segundo, quizá se creara un bucle espacio temporal que nos atrapara a todos dentro de un círculo vicioso infinito.

Bueno, tonterías aparte:

A modo de anéctota, indicar que yo no conozco ni mi propia constraseña de Bitcointalk. La tengo en un gestor de contraseñas, además de tener un mensaje bitcoin firmado por si tuviese que recurrir a ello para recuperar la cuenta.

Yo tampoco me la sé. Me suena, de haber tenido que meterla a mano alguna vez en algún dispositivo en el que no tengo el gestor de contraseñas habilitado. Pero si este fallara, y no pudiera acceder tampoco a mi email, probablemente adiós Porfirii. Afortunadamente para algo tenemos el PGP, siempre quedaría esa última bala. O se me podría hacer un análisis de escritura como al Unabomber para verificar que sería efectivamente quien dijera ser


Gracias por la aportación darbitmobilerecovery. Uso uno de esos macro-gestores de contraseña alojados en algún servidor de una gran empresa privada y, igual que no le cedo mis satoshis al banco, tampoco debería hacer esto con mis passwords. Al final, es el mismo principio.

[famososMuertos]

Claramente...

+1
Vaya! con el Clara de moda es bueno meterle el darbit  

...
Resulta que encontre ese video y me parecio por demas de interesante para los que tenemos muchas contraseñas. Tal vez a alguno le sirva, o muchos ya lo conozcan.

Creo que sin duda todo suma para informarse y luego decidir.

...//...,,,O se me podría hacer un análisis de escritura como al Unabomber para verificar que sería efectivamente quien dijera ser
...//...

Si me permites, usar tu jerga "Tontearías aparte 2"  

Nunca se sabe por donde reviente lo que creemos bien cifrado o resguardado, lo descubrió y delato (la equivalencia de fuerza bruta, por eso dije TA2 ) fue impensable para él, su hermano. Si eso no sucede seguiría haciendo login para UnaBomber.

[famososMuertos]

Hay que agregar 25 minutos para 12 palabras si las mismas se conocen. Aunque resultados no "oficiales" de esta nueva posibilidad de "ataque".

El DdmrDdmr nos deja un post con esa interesante información que para futuros lectores se puede "concatenar" :
https://bitcointalk.org/index.php?topic=5450627.msg62172847#msg62172847

[famososMuertos]

Adopción de Passkeys por parte de empresas y aplicaciones.
Fuente: https://wwwhatsnew.com/2023/05/03/el-futuro-sin-contrasenas-google-lanza-passkeys-en-todo-el-mundo-para-mayor-seguridad-y-comodidad/

Lanzan al aire la frase "el futuro sin contraseñas..."  Y sin miramientos, está es la solución final...

Cómo es contenido relacionado voy a dejarme está fuente y comentario por aquí...