La violación de LinkedIn
Recientemente, LinkedIn fue víctima de una violación de más de 6 millones de contraseñas. La violación de una gran cantidad de contraseñas podría permitir al hacker acceder a todos los recursos a los que esos seis millones de usuarios normalmente tienen acceso.
El algoritmo SHA-1 se usó para cifrar las contraseñas, pero esas contraseñas se almacenaron con Hashes sin sal. En términos simples, esto es equivalente a usar una única clave de cifrado sin cambios para cada contraseña. Por el contrario, la mejor práctica de seguridad dicta que utiliza una clave de cifrado única en cada contraseña. Dado que el hash no se quedó, una vez que se descifra una contraseña, todas las contraseñas inmediatamente se descifraron. tiempo y recursos informáticos apropiados, prácticamente cualquier contraseña aún se descifraría.
La solución: autenticación de dos factores
un método económico para proporcionar un nivel de seguridad mucho más alto es para usar “autenticación de dos factores”. Aquí es donde el cliente utiliza primero, un elemento físico que solo él posee; En segundo lugar, el cliente utiliza algo que solo él sabe, como un código de contraseña o PIN (número de identificación personal). Una tarjeta bancaria ATM es un ejemplo de autenticación de dos factores; En cuyo caso, la tarjeta bancaria es inútil para un ladrón sin el código PIN, que el cliente solo conoce. Además, el código PIN o la contraseña por sí sola es inútil, sin la tarjeta de cajero automático que lo acompaña.
La autenticación de dos factores proporciona una doble seguridad debido al hecho de que, incluso si alguien compromete la contraseña del usuario (factor uno) , todavía no tienen posibilidades de acceder a los recursos del usuario, porque no tienen el “token” físico (factor dos) que el usuario debe poseer para pasar la segunda fase de autenticación.
Securid – Tokens duros y blandos
El “token”, que encarna el segundo factor de autenticación, puede estar en uno de los dos formatos: un “token duro”, como una tarjeta de acceso especializada (un Securid Tarjeta, por ejemplo), o un “token suave”, como un certificado instalable o un agente de autenticación de software instalable.
además de poseer un tokens token duro o suave basado en Securid tiene la función de seguridad adicional de generar un código de paso aleatorio único cada 60 segundos. Esto significa que, incluso si un atacante adivinó una de las contraseñas aleatorias que cambian constantemente, el atacante debe ingresar esa contraseña en 60 segundos, de lo contrario es inútil.
autenticación de tres factores < Br> En la mayoría de los entornos, el modelo de seguridad real que usa un sistema como Securid se consideraría la autenticación de tres factores porque, una vez que se autentica con el código de paso de Securid, debe utilizar su ID y contraseña de usuario típico para Complete el proceso de inicio de sesión (a LinkedIn o Yahoo Mail, por ejemplo).
El sistema Securid utiliza registros de semillas en un servidor remoto, que están sincronizados en el tiempo con una gama particular de tokens duros y/o suaves. Los tokens usan los mismos algoritmos de hash y la aleatorización del tiempo utilizada por los servidores. Dicha sincronización requiere que el reloj del sistema y el reloj integrado en el token sean considerablemente precisos y confiables.
Al recibir el token, el usuario sigue un proceso de activación de token examinado, al igual que activar una tarjeta de cajero automático bancario o tarjeta de crédito. Cada token duro también contiene un número de serie único, que debe utilizarse, junto con el código de paso generado al azar en el token, para ser autenticado correctamente.
Las contraseñas violadas ganaron ‘ T Matter Si Linked-In y otros usan tokens
Los tokens blandos utilizan agentes de software simples y, por lo tanto, podrían proporcionar a las diversas redes sociales de Internet y a los proveedores de correo electrónico un método de bajo costo y de bajo mantenimiento de cada uno. transacción de inicio de sesión del usuario con un grado de certeza relativamente alto.
Tales agentes suaves podrían descargarse (o) los usuarios finales electrónicamente, utilizando un proceso de investigación estricto, posiblemente incluyendo un pago de tarjeta de crédito minúsculos de un Pocos centavos (al igual que el utilizado por PayPal y Adsense de Google).
Un proceso de reinicio de token de autoservicio (como la automatización de “contraseña olvidada”) podría proporcionar un mantenimiento y mantenimiento mínimo en el extremo del proveedor. P>
Con una autenticación tan estricta en su lugar, las contraseñas violadas serían prácticamente inútiles para los piratas informáticos, ya que se necesitarían autenticarse dos o más factores.
