SlideShare ist ein Scribd-Unternehmen logo

Cripto p.pptx (2)

V
vaneslz

Este documento describe la evolución del hackeo de contraseñas a través de los años. Ha avanzado más en los últimos 5 años que en décadas anteriores debido a técnicas como ataques de diccionario, de máscara, híbridos y tablas de arco iris. Además, fugas masivas de contraseñas han proporcionado datos para mejorar estos ataques. A pesar del progreso, la fuerza bruta todavía requiere mucho tiempo incluso con hardware avanzado.

1 von 19
Downloaden Sie, um offline zu lesen
Contraseñas y Hackers
● A finales de 2010, Sean Brooks recibió tres mensajes de correo electrónico en un lapso de 30 horas de advertencia de que sus cuentas en LinkedIn, Battle. net y otros sitios populares corrían peligro. Fue tentado a despedirlos como bulos — hasta que notó que incluyeron características que no son típicas de fraudes de estafadores. ● Los avisos de advertencias y millones de otras personas que recibieron en diciembre de ese año no eran mentiras. Dentro de algunas horas de hackers anonymous penetrando servidores de Gawker y exponiendo las contraseñas protegidas criptográficamente de 1,3 millones de sus usuarios, fueron las contraseñas que se hackearon y utilizándolas para entrar en las cuentas de Twitter y enviar spam. ● En los próximos días, los sitios de asesoramiento obligaron a sus usuarios a cambiar las contraseñas y se amplió para incluir Twitter, Amazon y Yahoo. ● El antiguo arte de hackeo de contraseñas ha avanzado más en los últimos cinco años que en la anterior varias décadas combinado. Al mismo tiempo, ha aumentado la peligrosa práctica de reutilización de contraseña. El resultado: seguridad proporcionada por la contraseña promedio en 2012 nunca ha sido más débil.
Un nuevo mundo ● El usuario Web promedio mantiene 25 cuentas separadas pero utiliza 6.5 contraseñas sólo para protegerlos, según un estudio desde 2007. ● El Hardware más reciente y las técnicas modernas también han ayudado a contribuir al aumento de hackeo de la contraseña. Ahora utilizan cada vez más para la informática, procesadores de gráficos que permiten hackeo de contraseña con programas para trabajar miles de veces más rápidos que lo hicieron sólo una década igualmente al precio de PC que utiliza CPUs tradicionales solos. Un PC con un solo AMD Radeon HD7970 GPU, por ejemplo, puede intentar en promedio unas asombrosas combinaciones de 8,2 billones de contraseña cada segundo, según el algoritmo utilizado para codificarlos. Sólo hace una década, dichas velocidades son posibles solamente cuando se usa superordenadores caros.
● Lo más importante, una serie de fugas en los últimos años que contiene más de 100 millones de contraseñas de reales han proporcionado hackeos con importantes ideas nuevas sobre cómo personas en diferentes ámbitos de la vida eligen contraseñas en sitios diferentes o en diferentes contextos. La creciente lista de contraseñas filtradas permite a los programadores escribir reglas que hagan algoritmos más rápidos y más precisos; los ataques de contraseña se han convertido en ejercicios de cortar y pegar algún script kiddies(personas sin habilidad para programar) y que pueden realizar con facilidad. ● La contribución más importante de hackeo vino a finales de 2009, cuando se atacan una inyección SQL contra Juegos online por servicio RockYou.com exponiendo 32 millones contraseñas de texto simple utilizadas por sus miembros para iniciar sesión en sus cuentas. ● Las claves de acceso, que llegó a 14,3 millones una vez duplicados fueron retirados, fueron publicados en línea; casi toda la noche, el corpus sin precedentes de credenciales reales cambió las manera whitehat blackhat hackers tanto agrietadas y contraseñas
Hashing hacia fuera ● En diciembre de 2010, existían 1,3 millones contraseñas legibles. En cambio, habían sido convertidos en lo que se conoce como "valores hash" pasándolas a través de una función criptográfica unidireccional que crea una única secuencia de caracteres para cada entrada de texto. ● Cuando pasaba por el algoritmo MD5, por ejemplo, la cadena "contraseña" (menos las comillas) se traduce en “5f4dcc3b5aa765d61d8327deb882cf99” ● En teoría, una vez que una cadena se ha convertido en un valor de hash, es imposible volver a texto simple utilizando medios criptográficos. Password cracking(rompimiento o descifrado de claves), entonces, es la práctica de ejecutar conjeturas de texto simple a través de la misma función criptográfica utilizada para generar un hash comprometido. Cuando los dos valores hash coinciden, la contraseña ha sido identificada. ●
“Rockyou” lo haremos ● Tras RockYou, todo cambió en el pasado fueron listas de palabras que compilan de Webster y otros diccionarios que luego fueron modificadas con la esperanza de imitar a la gente de palabras que realmente utilizan para acceder a su correo electrónico y otros servicios en línea. En su lugar fue una colección única de letras, números y símbolos — incluyendo todo, desde mascotas nombres de personajes de dibujos animados, que sería la semilla contraseña futuros ataques. ● Casi tan importante como las palabras precisas que se utiliza para tener acceso a millones de cuentas en línea, el incumplimiento de RockYou reveló las pensamiento estratégico de personas empleadas a menudo cuando escogieron un código de acceso. Para la mayoría de las personas, el objetivo era hacer la contraseña fácil de recordar y difícil de adivinar. No en vano, la lista de RockYou confirmaron que casi todas las letras mayúsculas al principio de una contraseña; casi todos los números y signos de puntuación aparecen al final. También reveló una fuerte tendencia a utilizar el primer nombre seguido por años, tales como Julia1984 o Christopher1965.
● Uno es agregar números o caracteres no alfanuméricos como "!" para ellos, generalmente al final, pero a veces al principio. Otra, conocida como la "mutilación", transformaciones de palabras como "super" o "Princesa" en "sup34" y "Príncipe$ $". Todavía otros anexar una imagen espejo de la palabra elegida, por lo que «libro» se convierte en "bookkoob" y "contraseña" se convierte en "passworddrowssap."
Un poco de tacto Que sutileza toma todo tipo de formas. Una técnica prometedora es utilizar programas como el Passpal de código abierto para reducir el tiempo de hackeo identificando patrones que exhiben en un porcentaje significativo de contraseñas interceptadas. Por ejemplo, como se señaló anteriormente, muchos de los usuarios del sitio tienden a añadir años a nombres propios, palabras u otras cadenas de texto que contienen una sola letra capital al principio. ● Usando técnicas de fuerza bruta para descifrar la contraseña Julia1984 requeriría 629 posibles combinaciones, una "clave" que se calcula por el número de posibles letras (52) más el número de números (10) y elevar la suma del poder de nueve (que en este ejemplo es el número máximo de caracteres de la contraseña está dirigida un hacker). Usando un AMD Radeon HD7970, todavía tardaría unos 19 días para recorrer todas las posibilidades.
Utilizando las funciones incorporadas en apps de hackeo de contraseñas como Hashcat y fuerza bruta extrema GPU, la misma contraseña puede recuperarse en unos 90 segundos realizando lo que se conoce como un ataque de la máscara. Funciona reduciendo inteligentemente la clave en sólo esas conjeturas probables que coincidan con un patrón determinado. ● En lugar de intentar aaaaa0000, ZZZZZ9999 y todas las combinaciones posibles entre estas, se trata de una letra minúscula o superior sólo para el primer carácter y trata de caracteres sólo minúsculas para los próximos cuatro caracteres. Luego agrega todos los posibles números de cuatro dígitos al final. El resultado es una clave drásticamente reducida de unos 237,6 billones, o 52 * 26 * 26 * 26 * 26 * 10 * 10 * 10 * 10.
Ataque híbrido ● Una técnica aún más poderosa es un ataque híbrido. Combina una lista de palabras, como el utilizado por Redman, con reglas para ampliar enormemente el número de contraseñas pueden romper esas listas. En lugar de fuerza bruta-obligar a las cinco letras en Julia1984, los hackers simplemente recopilan una lista de nombres para cada usuario de Facebook y agregan a un diccionario de tamaño mediano de, digamos, 100 millones palabras. ● Mientras que el ataque requiere más combinaciones que el ataque de máscara anterior — específicamente aproximadamente 1 trillón (100 millones * 104) posibles cadenas — sigue siendo un número manejable que toma sólo unos dos minutos, usando la misma tarjeta de AMD 7970. La recompensa, sin embargo, es más que vale la pena el esfuerzo adicional, ya que rápidamente quebrara o romperá, Christopher2000, thomas1964 y decenas de otros.
Ataque de diccionario ● Este tipo de rompimiento de contraseña entró el agradecimiento de la conciencia pública en gran medida a la década de 1980 de una novela de suspenso The Cuckoo's Egg, en qué el autor Cliff Stoll relata su búsqueda de la vida real de un hacker que se rompe en los sistemas informáticos y roba militar sensible y documentos de seguridad en nombre de la KGB Soviética. ● El libro está repleto de gente en lugares altos que socava la seguridad nacional con higiene deficiente contraseña — una cuenta en la red de contratista de defensa SRI Inc. con un nombre de usuario y contraseña del "Saco", por ejemplo, o una cuenta de superusuario para Lawrence Berkeley Labs que no había sido cambiado en años. ● "Cuando el dinero fue almacenado en bóvedas, seguro-quebaradas atacaron las cerraduras de combinación," escribe Stoll, quien como un astrónomo desplazado se convierte en el protagonista del libro improbable hacker- caza. "Ahora que los valores son solo bits en la memoria de una computadora, ladrones van tras las contraseñas".
La conexión de arco- Rainbow ● El nucleo de este nuevo enfoque se originó con Martin E. Hellman. En 1980, Hellman publicó un libro titulado "Un criptoanalítico de memoria de tiempo de compensación" que propuso lo que llegó a ser llamado tablas Hellman. Estas tablas fueron compiladas por delante de un ataque de contraseña y trabajadas utilizando previamente calculados de los datos almacenados en disco. ● Las tablas de Hellman redujeron los recursos informáticos necesarios para crackear un hash DES de alrededor de $5.000 a solo $10. En 2003, criptógrafo compañero Phillippe Oechslin propone mejoras a la técnica de Hellman que había mejorado enormemente la eficacia. ● El resultado es ahora lo que se conoce como las tablas de arcoiris. En vez de pedir un equipo para enumerar cada contraseña posible en tiempo real y compararla con un hash específico, los datos previamente calculados eran almacenados en la memoria o en disco en forma altamente comprimida para acelerar el proceso y bajo los requisitos informáticos necesitan para bruta fuerza a enormes cantidades de hashes.
● Cada tabla dirige un algoritmo específico y clave, y contiene una colección de cadenas. Cada cadena se inicia con una contraseña arbitraria por un lado y termina con un valor de hash único en el otro extremo. ● Se pone la contraseña de inicio mediante el algoritmo para generar el hash, y ese valor se pasa a través de uno de los muchos diferente "funciones de reducción" para generar una nueva estimación de contraseña. La nueva contraseña luego es quebrada.
● El proceso continúa hasta que se alcance el hash al final de la cadena
● El avance no fue sólo la velocidad con que las tablas podrían descifrar contraseñas; también fue su habilidad para descifrar casi cada contraseña posible mientras que no caiga fuera de la clave específica. ● Las tablas Rainbow se creen que recibe su nombre debido a que cada eslabón de la cadena utiliza una función de reducción diferentes, pero todas las cadenas siguen el mismo patrón — tanto como cada color en rainbow es diferente pero todos rainbows siguen el patrón ROYGBIV.
El SHA1 no es un algortimo de hash seguro ● Un gran porcentaje de los sitios que son víctimas de violaciones de contraseña cometer otro error que disminuye aún más la protección de hashes: utilizan algoritmos que nunca fueron diseñados para proteger las contraseñas. Eso es porque MD5, SHA1 y DES fueron diseñados para convertir texto plano hashes muy rápidamente con mínimos recursos de computación, y esto es exactamente lo que las personas que ejecutan programas de descifrado de contraseñas más desean. ● Para apreciar cuán pobre una contraseña hash se seleccionaron estos son algoritmos , considere esto: El investigador de seguridad independiente Jeremi Gosney tomó cerca de seis días más del 90% de los 6,5 millones hash SHA1 expuestos en el incumplimiento de LinkedIn. Recuperó una quinta parte de las contraseñas de texto simple en sólo 30 segundos. En las siguientes dos horas, él había recuperado otro tercio de ellos. Un día en el ejercicio, había recuperado un total de 64 por ciento, y en los cinco días que siguieron él rajados otro 26 por ciento. ●
● El algoritmo de Bcrypt es incluso más costoso computacionalmente, en gran parte debido a que somete el texto a varias iteraciones del cifrado Blowfish que deliberadamente se ha modificado para aumentar el tiempo necesario para generar un hash. ● Estas funciones costosas computacionalmente requieren mayor servidor de procesamiento, por supuesto. Esto puede aumentar la carga en los servidores Web y aún podía abrirlos hasta nuevos tipos de ataques DoS, dijo Matt Weir, un estudiante post-doctoral de Florida State University, cuyo Doctorado centrado en contraseñas.
Fuerza bruta- Golpeando la pared ● Computación incluso potentes motores tienen problemas para grietas más contraseñas mediante la fuerza bruta. Suponiendo que dicho ataque comprueba todas las combinaciones de todos los 95 letras, números y símbolos disponibles en un teclado estándar de inglés, tarda una cuestión de horas para un equipo de escritorio con un núcleo de Intel procesador i7 980 x fuerza bruta averiguar cualquier contraseña de cinco caracteres. ● Agregar una tarjeta GPU a un sistema sin duda ayuda, pero no tanto como muchos podrían imaginar. Un AMD Radeon 6970 todavía necesita más de 10 días a la fuerza bruta de un código de siete caracteres. Y la pared apenas mineralización incluso cuando significativamente más potentes recursos llegan a tener. Utiliza un sistema de cloud de Amazon EC2 que combina la potencia de más de 1.000 GPUs individuales, todavía tarda unos 10 días a fuerza bruta una contraseña de ocho caracteres.
● Por Thorsheim, un asesor de seguridad que se especializa en contraseñas para una gran empresa con sede en Noruega, dijo que el atributo más importante de cualquier código de acceso es que sea exclusivo de cada sitio. ● Ambas aplicaciones permiten a los usuarios, crear contraseñas generadas aleatoriamente y almacenar de forma segura en un archivo criptográficamente protegido que se desbloquea con una sola contraseña maestra. También es esencial usar un gestor de contraseñas para cambiar contraseñas con regularidad. ● Dada la sofisticación de los hackers, cualquier cosa menos simplemente significa que su contraseña es trivial para romper.

Empfohlen

Cripto p.pptx (1)
Cripto p.pptx (1)Cripto p.pptx (1)
Cripto p.pptx (1)vaneslz
 
Cripto p.pptx
Cripto p.pptxCripto p.pptx
Cripto p.pptxvaneslz
 
Información personal en internet. Contraseñas, Manual del usuario.
Información personal en internet. Contraseñas, Manual del usuario.Información personal en internet. Contraseñas, Manual del usuario.
Información personal en internet. Contraseñas, Manual del usuario.Juan Carlos Blanco Colomer
 
Autenticacion Doble Factor
Autenticacion Doble FactorAutenticacion Doble Factor
Autenticacion Doble FactorChema Alonso
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
Cripto p.pptx (3)
Cripto p.pptx (3)Cripto p.pptx (3)
Cripto p.pptx (3)vaneslz
 
Unidad 14 - SAMBA, NFS y LDAP
Unidad 14 - SAMBA, NFS y LDAPUnidad 14 - SAMBA, NFS y LDAP
Unidad 14 - SAMBA, NFS y LDAPvverdu
 
Nfs1
Nfs1Nfs1
Nfs1guest1e8955
 

Empfohlen

Cripto p.pptx (1)
Cripto p.pptx (1)Cripto p.pptx (1)
Cripto p.pptx (1)vaneslz
 
Cripto p.pptx
Cripto p.pptxCripto p.pptx
Cripto p.pptxvaneslz
 
Información personal en internet. Contraseñas, Manual del usuario.
Información personal en internet. Contraseñas, Manual del usuario.Información personal en internet. Contraseñas, Manual del usuario.
Información personal en internet. Contraseñas, Manual del usuario.Juan Carlos Blanco Colomer
 
Autenticacion Doble Factor
Autenticacion Doble FactorAutenticacion Doble Factor
Autenticacion Doble FactorChema Alonso
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
Cripto p.pptx (3)
Cripto p.pptx (3)Cripto p.pptx (3)
Cripto p.pptx (3)vaneslz
 
Unidad 14 - SAMBA, NFS y LDAP
Unidad 14 - SAMBA, NFS y LDAPUnidad 14 - SAMBA, NFS y LDAP
Unidad 14 - SAMBA, NFS y LDAPvverdu
 
Nfs1
Nfs1Nfs1
Nfs1guest1e8955
 
Como mejorar sus Contraseñas
Como mejorar sus ContraseñasComo mejorar sus Contraseñas
Como mejorar sus ContraseñasAbel Alvarez
 
Rsa eddy montalvan
Rsa eddy montalvanRsa eddy montalvan
Rsa eddy montalvanJan Pier Montalvan
 
Stalin Salgado Algoritmo Cifrado Publico Privado
Stalin Salgado Algoritmo Cifrado Publico PrivadoStalin Salgado Algoritmo Cifrado Publico Privado
Stalin Salgado Algoritmo Cifrado Publico PrivadoStalin Salgado
 
Criptografia
CriptografiaCriptografia
Criptografiachristian
 
Criptografia
CriptografiaCriptografia
Criptografiachristian
 
Criptografia
CriptografiaCriptografia
Criptografiachristian
 
¿Cómo hacer una contraseña segura?
¿Cómo hacer una contraseña segura?¿Cómo hacer una contraseña segura?
¿Cómo hacer una contraseña segura?Juan Fernando Zuluaga
 
HACKERS
HACKERSHACKERS
HACKERSUNIVERSIDAD GALILEO
 
Seguridad en contraseñas
Seguridad en contraseñasSeguridad en contraseñas
Seguridad en contraseñasRafa González Jiménez
 
Encriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves PrivadasEncriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves Privadaschristian
 
Encriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves PrivadasEncriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves Privadaschristian
 
G:\Criptografia
G:\CriptografiaG:\Criptografia
G:\Criptografiaenriquemorenoramos
 
Criptogtafia
CriptogtafiaCriptogtafia
CriptogtafiaAiko Himeko
 
Métodos de encriptacion en las redes privadas virtuales
Métodos de encriptacion en las redes privadas virtualesMétodos de encriptacion en las redes privadas virtuales
Métodos de encriptacion en las redes privadas virtualesESPE
 
Act.6 seguridad privada y encriptamiento de datos
Act.6 seguridad privada y encriptamiento de datosAct.6 seguridad privada y encriptamiento de datos
Act.6 seguridad privada y encriptamiento de datosYesenia Hernandez Ortiz
 
Introducción a la c
Introducción a la cIntroducción a la c
Introducción a la cJesús Moreno León
 
La ética hacker
La ética hackerLa ética hacker
La ética hackerDatalore perez
 
Encriptación
EncriptaciónEncriptación
EncriptaciónESPE
 
2.3 criptografia
2.3 criptografia2.3 criptografia
2.3 criptografiajorgecan91
 
Tipos de criptografias
Tipos de criptografiasTipos de criptografias
Tipos de criptografiasabfckg54
 
Reporte semana 10
Reporte semana 10Reporte semana 10
Reporte semana 10vaneslz
 
Reporte semana 10
Reporte semana 10Reporte semana 10
Reporte semana 10vaneslz
 

Weitere ähnliche Inhalte

Ähnlich wie Cripto p.pptx (2)

Como mejorar sus Contraseñas
Como mejorar sus ContraseñasComo mejorar sus Contraseñas
Como mejorar sus ContraseñasAbel Alvarez
 
Stalin Salgado Algoritmo Cifrado Publico Privado
Stalin Salgado Algoritmo Cifrado Publico PrivadoStalin Salgado Algoritmo Cifrado Publico Privado
Stalin Salgado Algoritmo Cifrado Publico PrivadoStalin Salgado
 
Criptografia
CriptografiaCriptografia
Criptografiachristian
 
Criptografia
CriptografiaCriptografia
Criptografiachristian
 
Criptografia
CriptografiaCriptografia
Criptografiachristian
 
¿Cómo hacer una contraseña segura?
¿Cómo hacer una contraseña segura?¿Cómo hacer una contraseña segura?
¿Cómo hacer una contraseña segura?Juan Fernando Zuluaga
 
Encriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves PrivadasEncriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves Privadaschristian
 
Encriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves PrivadasEncriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves Privadaschristian
 
Métodos de encriptacion en las redes privadas virtuales
Métodos de encriptacion en las redes privadas virtualesMétodos de encriptacion en las redes privadas virtuales
Métodos de encriptacion en las redes privadas virtualesESPE
 
Act.6 seguridad privada y encriptamiento de datos
Act.6 seguridad privada y encriptamiento de datosAct.6 seguridad privada y encriptamiento de datos
Act.6 seguridad privada y encriptamiento de datosYesenia Hernandez Ortiz
 
Encriptación
EncriptaciónEncriptación
EncriptaciónESPE
 
2.3 criptografia
2.3 criptografia2.3 criptografia
2.3 criptografiajorgecan91
 
Tipos de criptografias
Tipos de criptografiasTipos de criptografias
Tipos de criptografiasabfckg54
 

Ähnlich wie Cripto p.pptx (2) (20)

Como mejorar sus Contraseñas
Como mejorar sus ContraseñasComo mejorar sus Contraseñas
Como mejorar sus Contraseñas
 
Rsa eddy montalvan
Rsa eddy montalvanRsa eddy montalvan
Rsa eddy montalvan
 
Stalin Salgado Algoritmo Cifrado Publico Privado
Stalin Salgado Algoritmo Cifrado Publico PrivadoStalin Salgado Algoritmo Cifrado Publico Privado
Stalin Salgado Algoritmo Cifrado Publico Privado
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Criptografia
CriptografiaCriptografia
Criptografia
 
¿Cómo hacer una contraseña segura?
¿Cómo hacer una contraseña segura?¿Cómo hacer una contraseña segura?
¿Cómo hacer una contraseña segura?
 
HACKERS
HACKERSHACKERS
HACKERS
 
Seguridad en contraseñas
Seguridad en contraseñasSeguridad en contraseñas
Seguridad en contraseñas
 
Encriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves PrivadasEncriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves Privadas
 
Encriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves PrivadasEncriptacion De Claves Publicas Y Claves Privadas
Encriptacion De Claves Publicas Y Claves Privadas
 
G:\Criptografia
G:\CriptografiaG:\Criptografia
G:\Criptografia
 
Criptogtafia
CriptogtafiaCriptogtafia
Criptogtafia
 
Métodos de encriptacion en las redes privadas virtuales
Métodos de encriptacion en las redes privadas virtualesMétodos de encriptacion en las redes privadas virtuales
Métodos de encriptacion en las redes privadas virtuales
 
Act.6 seguridad privada y encriptamiento de datos
Act.6 seguridad privada y encriptamiento de datosAct.6 seguridad privada y encriptamiento de datos
Act.6 seguridad privada y encriptamiento de datos
 
Introducción a la c
Introducción a la cIntroducción a la c
Introducción a la c
 
La ética hacker
La ética hackerLa ética hacker
La ética hacker
 
Encriptación
EncriptaciónEncriptación
Encriptación
 
2.3 criptografia
2.3 criptografia2.3 criptografia
2.3 criptografia
 
Tipos de criptografias
Tipos de criptografiasTipos de criptografias
Tipos de criptografias
 

Mehr von vaneslz

Reporte semana 10
Reporte semana 10Reporte semana 10
Reporte semana 10vaneslz
 
Reporte semana 10
Reporte semana 10Reporte semana 10
Reporte semana 10vaneslz
 
Final.pptx
Final.pptxFinal.pptx
Final.pptxvaneslz
 
Avance Medio Curso
Avance Medio CursoAvance Medio Curso
Avance Medio Cursovaneslz
 
Avance Medio Curso
Avance Medio CursoAvance Medio Curso
Avance Medio Cursovaneslz
 
Avance md
Avance mdAvance md
Avance mdvaneslz
 
Demo final
Demo finalDemo final
Demo finalvaneslz
 
Avance #2. Proyecto
Avance #2. ProyectoAvance #2. Proyecto
Avance #2. Proyectovaneslz
 

Mehr von vaneslz (11)

Reporte semana 10
Reporte semana 10Reporte semana 10
Reporte semana 10
 
Reporte semana 10
Reporte semana 10Reporte semana 10
Reporte semana 10
 
Auto
AutoAuto
Auto
 
Final.pptx
Final.pptxFinal.pptx
Final.pptx
 
Avance Medio Curso
Avance Medio CursoAvance Medio Curso
Avance Medio Curso
 
Avance Medio Curso
Avance Medio CursoAvance Medio Curso
Avance Medio Curso
 
Avance md
Avance mdAvance md
Avance md
 
Demo final
Demo finalDemo final
Demo final
 
Fase 4
Fase 4Fase 4
Fase 4
 
Clase 3
Clase 3Clase 3
Clase 3
 
Avance #2. Proyecto
Avance #2. ProyectoAvance #2. Proyecto
Avance #2. Proyecto
 

Cripto p.pptx (2)

  • 2. A finales de 2010, Sean Brooks recibió tres mensajes de correo electrónico en un lapso de 30 horas de advertencia de que sus cuentas en LinkedIn, Battle. net y otros sitios populares corrían peligro. Fue tentado a despedirlos como bulos — hasta que notó que incluyeron características que no son típicas de fraudes de estafadores. ● Los avisos de advertencias y millones de otras personas que recibieron en diciembre de ese año no eran mentiras. Dentro de algunas horas de hackers anonymous penetrando servidores de Gawker y exponiendo las contraseñas protegidas criptográficamente de 1,3 millones de sus usuarios, fueron las contraseñas que se hackearon y utilizándolas para entrar en las cuentas de Twitter y enviar spam. ● En los próximos días, los sitios de asesoramiento obligaron a sus usuarios a cambiar las contraseñas y se amplió para incluir Twitter, Amazon y Yahoo. ● El antiguo arte de hackeo de contraseñas ha avanzado más en los últimos cinco años que en la anterior varias décadas combinado. Al mismo tiempo, ha aumentado la peligrosa práctica de reutilización de contraseña. El resultado: seguridad proporcionada por la contraseña promedio en 2012 nunca ha sido más débil.
  • 3. Un nuevo mundo ● El usuario Web promedio mantiene 25 cuentas separadas pero utiliza 6.5 contraseñas sólo para protegerlos, según un estudio desde 2007. ● El Hardware más reciente y las técnicas modernas también han ayudado a contribuir al aumento de hackeo de la contraseña. Ahora utilizan cada vez más para la informática, procesadores de gráficos que permiten hackeo de contraseña con programas para trabajar miles de veces más rápidos que lo hicieron sólo una década igualmente al precio de PC que utiliza CPUs tradicionales solos. Un PC con un solo AMD Radeon HD7970 GPU, por ejemplo, puede intentar en promedio unas asombrosas combinaciones de 8,2 billones de contraseña cada segundo, según el algoritmo utilizado para codificarlos. Sólo hace una década, dichas velocidades son posibles solamente cuando se usa superordenadores caros.
  • 4. Lo más importante, una serie de fugas en los últimos años que contiene más de 100 millones de contraseñas de reales han proporcionado hackeos con importantes ideas nuevas sobre cómo personas en diferentes ámbitos de la vida eligen contraseñas en sitios diferentes o en diferentes contextos. La creciente lista de contraseñas filtradas permite a los programadores escribir reglas que hagan algoritmos más rápidos y más precisos; los ataques de contraseña se han convertido en ejercicios de cortar y pegar algún script kiddies(personas sin habilidad para programar) y que pueden realizar con facilidad. ● La contribución más importante de hackeo vino a finales de 2009, cuando se atacan una inyección SQL contra Juegos online por servicio RockYou.com exponiendo 32 millones contraseñas de texto simple utilizadas por sus miembros para iniciar sesión en sus cuentas. ● Las claves de acceso, que llegó a 14,3 millones una vez duplicados fueron retirados, fueron publicados en línea; casi toda la noche, el corpus sin precedentes de credenciales reales cambió las manera whitehat blackhat hackers tanto agrietadas y contraseñas
  • 5. Hashing hacia fuera ● En diciembre de 2010, existían 1,3 millones contraseñas legibles. En cambio, habían sido convertidos en lo que se conoce como "valores hash" pasándolas a través de una función criptográfica unidireccional que crea una única secuencia de caracteres para cada entrada de texto. ● Cuando pasaba por el algoritmo MD5, por ejemplo, la cadena "contraseña" (menos las comillas) se traduce en “5f4dcc3b5aa765d61d8327deb882cf99” ● En teoría, una vez que una cadena se ha convertido en un valor de hash, es imposible volver a texto simple utilizando medios criptográficos. Password cracking(rompimiento o descifrado de claves), entonces, es la práctica de ejecutar conjeturas de texto simple a través de la misma función criptográfica utilizada para generar un hash comprometido. Cuando los dos valores hash coinciden, la contraseña ha sido identificada. ●
  • 6. “Rockyou” lo haremos ● Tras RockYou, todo cambió en el pasado fueron listas de palabras que compilan de Webster y otros diccionarios que luego fueron modificadas con la esperanza de imitar a la gente de palabras que realmente utilizan para acceder a su correo electrónico y otros servicios en línea. En su lugar fue una colección única de letras, números y símbolos — incluyendo todo, desde mascotas nombres de personajes de dibujos animados, que sería la semilla contraseña futuros ataques. ● Casi tan importante como las palabras precisas que se utiliza para tener acceso a millones de cuentas en línea, el incumplimiento de RockYou reveló las pensamiento estratégico de personas empleadas a menudo cuando escogieron un código de acceso. Para la mayoría de las personas, el objetivo era hacer la contraseña fácil de recordar y difícil de adivinar. No en vano, la lista de RockYou confirmaron que casi todas las letras mayúsculas al principio de una contraseña; casi todos los números y signos de puntuación aparecen al final. También reveló una fuerte tendencia a utilizar el primer nombre seguido por años, tales como Julia1984 o Christopher1965.
  • 7. Uno es agregar números o caracteres no alfanuméricos como "!" para ellos, generalmente al final, pero a veces al principio. Otra, conocida como la "mutilación", transformaciones de palabras como "super" o "Princesa" en "sup34" y "Príncipe$ $". Todavía otros anexar una imagen espejo de la palabra elegida, por lo que «libro» se convierte en "bookkoob" y "contraseña" se convierte en "passworddrowssap."
  • 8. Un poco de tacto Que sutileza toma todo tipo de formas. Una técnica prometedora es utilizar programas como el Passpal de código abierto para reducir el tiempo de hackeo identificando patrones que exhiben en un porcentaje significativo de contraseñas interceptadas. Por ejemplo, como se señaló anteriormente, muchos de los usuarios del sitio tienden a añadir años a nombres propios, palabras u otras cadenas de texto que contienen una sola letra capital al principio. ● Usando técnicas de fuerza bruta para descifrar la contraseña Julia1984 requeriría 629 posibles combinaciones, una "clave" que se calcula por el número de posibles letras (52) más el número de números (10) y elevar la suma del poder de nueve (que en este ejemplo es el número máximo de caracteres de la contraseña está dirigida un hacker). Usando un AMD Radeon HD7970, todavía tardaría unos 19 días para recorrer todas las posibilidades.
  • 9. Utilizando las funciones incorporadas en apps de hackeo de contraseñas como Hashcat y fuerza bruta extrema GPU, la misma contraseña puede recuperarse en unos 90 segundos realizando lo que se conoce como un ataque de la máscara. Funciona reduciendo inteligentemente la clave en sólo esas conjeturas probables que coincidan con un patrón determinado. ● En lugar de intentar aaaaa0000, ZZZZZ9999 y todas las combinaciones posibles entre estas, se trata de una letra minúscula o superior sólo para el primer carácter y trata de caracteres sólo minúsculas para los próximos cuatro caracteres. Luego agrega todos los posibles números de cuatro dígitos al final. El resultado es una clave drásticamente reducida de unos 237,6 billones, o 52 * 26 * 26 * 26 * 26 * 10 * 10 * 10 * 10.
  • 10. Ataque híbrido ● Una técnica aún más poderosa es un ataque híbrido. Combina una lista de palabras, como el utilizado por Redman, con reglas para ampliar enormemente el número de contraseñas pueden romper esas listas. En lugar de fuerza bruta-obligar a las cinco letras en Julia1984, los hackers simplemente recopilan una lista de nombres para cada usuario de Facebook y agregan a un diccionario de tamaño mediano de, digamos, 100 millones palabras. ● Mientras que el ataque requiere más combinaciones que el ataque de máscara anterior — específicamente aproximadamente 1 trillón (100 millones * 104) posibles cadenas — sigue siendo un número manejable que toma sólo unos dos minutos, usando la misma tarjeta de AMD 7970. La recompensa, sin embargo, es más que vale la pena el esfuerzo adicional, ya que rápidamente quebrara o romperá, Christopher2000, thomas1964 y decenas de otros.
  • 11. Ataque de diccionario ● Este tipo de rompimiento de contraseña entró el agradecimiento de la conciencia pública en gran medida a la década de 1980 de una novela de suspenso The Cuckoo's Egg, en qué el autor Cliff Stoll relata su búsqueda de la vida real de un hacker que se rompe en los sistemas informáticos y roba militar sensible y documentos de seguridad en nombre de la KGB Soviética. ● El libro está repleto de gente en lugares altos que socava la seguridad nacional con higiene deficiente contraseña — una cuenta en la red de contratista de defensa SRI Inc. con un nombre de usuario y contraseña del "Saco", por ejemplo, o una cuenta de superusuario para Lawrence Berkeley Labs que no había sido cambiado en años. ● "Cuando el dinero fue almacenado en bóvedas, seguro-quebaradas atacaron las cerraduras de combinación," escribe Stoll, quien como un astrónomo desplazado se convierte en el protagonista del libro improbable hacker- caza. "Ahora que los valores son solo bits en la memoria de una computadora, ladrones van tras las contraseñas".
  • 12. La conexión de arco- Rainbow ● El nucleo de este nuevo enfoque se originó con Martin E. Hellman. En 1980, Hellman publicó un libro titulado "Un criptoanalítico de memoria de tiempo de compensación" que propuso lo que llegó a ser llamado tablas Hellman. Estas tablas fueron compiladas por delante de un ataque de contraseña y trabajadas utilizando previamente calculados de los datos almacenados en disco. ● Las tablas de Hellman redujeron los recursos informáticos necesarios para crackear un hash DES de alrededor de $5.000 a solo $10. En 2003, criptógrafo compañero Phillippe Oechslin propone mejoras a la técnica de Hellman que había mejorado enormemente la eficacia. ● El resultado es ahora lo que se conoce como las tablas de arcoiris. En vez de pedir un equipo para enumerar cada contraseña posible en tiempo real y compararla con un hash específico, los datos previamente calculados eran almacenados en la memoria o en disco en forma altamente comprimida para acelerar el proceso y bajo los requisitos informáticos necesitan para bruta fuerza a enormes cantidades de hashes.
  • 13. Cada tabla dirige un algoritmo específico y clave, y contiene una colección de cadenas. Cada cadena se inicia con una contraseña arbitraria por un lado y termina con un valor de hash único en el otro extremo. ● Se pone la contraseña de inicio mediante el algoritmo para generar el hash, y ese valor se pasa a través de uno de los muchos diferente "funciones de reducción" para generar una nueva estimación de contraseña. La nueva contraseña luego es quebrada.
  • 14. El proceso continúa hasta que se alcance el hash al final de la cadena
  • 15. El avance no fue sólo la velocidad con que las tablas podrían descifrar contraseñas; también fue su habilidad para descifrar casi cada contraseña posible mientras que no caiga fuera de la clave específica. ● Las tablas Rainbow se creen que recibe su nombre debido a que cada eslabón de la cadena utiliza una función de reducción diferentes, pero todas las cadenas siguen el mismo patrón — tanto como cada color en rainbow es diferente pero todos rainbows siguen el patrón ROYGBIV.
  • 16. El SHA1 no es un algortimo de hash seguro ● Un gran porcentaje de los sitios que son víctimas de violaciones de contraseña cometer otro error que disminuye aún más la protección de hashes: utilizan algoritmos que nunca fueron diseñados para proteger las contraseñas. Eso es porque MD5, SHA1 y DES fueron diseñados para convertir texto plano hashes muy rápidamente con mínimos recursos de computación, y esto es exactamente lo que las personas que ejecutan programas de descifrado de contraseñas más desean. ● Para apreciar cuán pobre una contraseña hash se seleccionaron estos son algoritmos , considere esto: El investigador de seguridad independiente Jeremi Gosney tomó cerca de seis días más del 90% de los 6,5 millones hash SHA1 expuestos en el incumplimiento de LinkedIn. Recuperó una quinta parte de las contraseñas de texto simple en sólo 30 segundos. En las siguientes dos horas, él había recuperado otro tercio de ellos. Un día en el ejercicio, había recuperado un total de 64 por ciento, y en los cinco días que siguieron él rajados otro 26 por ciento. ●
  • 17. El algoritmo de Bcrypt es incluso más costoso computacionalmente, en gran parte debido a que somete el texto a varias iteraciones del cifrado Blowfish que deliberadamente se ha modificado para aumentar el tiempo necesario para generar un hash. ● Estas funciones costosas computacionalmente requieren mayor servidor de procesamiento, por supuesto. Esto puede aumentar la carga en los servidores Web y aún podía abrirlos hasta nuevos tipos de ataques DoS, dijo Matt Weir, un estudiante post-doctoral de Florida State University, cuyo Doctorado centrado en contraseñas.
  • 18. Fuerza bruta- Golpeando la pared ● Computación incluso potentes motores tienen problemas para grietas más contraseñas mediante la fuerza bruta. Suponiendo que dicho ataque comprueba todas las combinaciones de todos los 95 letras, números y símbolos disponibles en un teclado estándar de inglés, tarda una cuestión de horas para un equipo de escritorio con un núcleo de Intel procesador i7 980 x fuerza bruta averiguar cualquier contraseña de cinco caracteres. ● Agregar una tarjeta GPU a un sistema sin duda ayuda, pero no tanto como muchos podrían imaginar. Un AMD Radeon 6970 todavía necesita más de 10 días a la fuerza bruta de un código de siete caracteres. Y la pared apenas mineralización incluso cuando significativamente más potentes recursos llegan a tener. Utiliza un sistema de cloud de Amazon EC2 que combina la potencia de más de 1.000 GPUs individuales, todavía tarda unos 10 días a fuerza bruta una contraseña de ocho caracteres.
  • 19. Por Thorsheim, un asesor de seguridad que se especializa en contraseñas para una gran empresa con sede en Noruega, dijo que el atributo más importante de cualquier código de acceso es que sea exclusivo de cada sitio. ● Ambas aplicaciones permiten a los usuarios, crear contraseñas generadas aleatoriamente y almacenar de forma segura en un archivo criptográficamente protegido que se desbloquea con una sola contraseña maestra. También es esencial usar un gestor de contraseñas para cambiar contraseñas con regularidad. ● Dada la sofisticación de los hackers, cualquier cosa menos simplemente significa que su contraseña es trivial para romper.