Ni les majúscules ni els números fan més segures a les contrasenyes digitals

Ni les majúscules ni els números fan més segures a les contrasenyes digitals

“La contrasenya ha d’incloure minúscules i majúscules, i almenys un caràcter numèric”. És un reny comú per part dels portals web o el programari quan s’obre un compte nou o es canvia la contrasenya, i d’acord a una nova investigació, també podria ser errònia.

Un estudi que posava a prova l’avantguarda en esbrinament de contrasenyes concloure que la inclusió de nombres i majúscules en les contrasenyes no les fa més segures. Fer-les més llargues i incloure algun símbol, sí.

“Els atacs s’han tornat més sofisticats, i aquestes recomanacions estan una mica desfasades”, diu Matteo Dell’Amico, un investigador de Symantec Research. Va treballar amb Maurizio Filippone de l’institut francès d’investigacions Eurecom. La parella va presentar un treball sobre el seu estudi en la conferència ACM d’Ordinadors i Comunicacions la setmana passada.

La recomanació que incloguem una barreja de minúscules i majúscules en les contrasenyes sorgeix de la idea que a un programari que provi sistemàticament cada combinació de caràcters li costarà més esbrinar-la, explica Dell’Amico. Els mesuradors de contrasenyes que indiquen la “força” de la contrasenya proposta funcionen d’una manera similar.

Però l’últim en programari per endevinar contrasenyes utilitza un mètode més intel·ligent que simplement provar a cegues. En el seu lloc, està entrenat amb les llistes filtrades de milions de contrasenyes per intentar primer amb les contrasenyes – o els patrons trobats en les contrasenyes – utilitzats amb més freqüència. El programari de descodificació de contrasenyes es pot emprar per intentar revelar contrasenyes incorrectament encriptades filtrades a internet, com les 130 milions robades d’Adobe el 2013, o per accedir directament al programari protegit per contrasenya o dispositius que no limiten el nombre d’intents.

Dell’Amico i Filippone van albirar un nou mètode per mesurar la força d’una contrasenya que té això en compte. Entrenar un programari d’atac, el van utilitzar per generar llistes de contrasenyes i van inventar una manera d’utilitzar-les per assignar una mena de puntuació d’encert a qualsevol contrasenya. Van utilitzar 100 milions de contrasenyes filtrades per entrenar diversos tipus de programari d’atac i van posar a prova el seu mètode de adivinabilidad en altres 37 milions de contrasenyes.

Els resultats demostren que fer una contrasenya més llarga o afegir símbols representa una millor manera d’enfortir-afegir majúscules o números al final, i els mètodes d’atac de contrasenyes es pot aprofitar d’això, diu Dell’Amico. “Bàsicament has de fer que les contrasenyes siguin menys predictibles”, explica. El nou mètode es podria emprar per proporcionar als usuaris una idea de la força d’una contrasenya, diu Dell’Amico.

“No he vist cap mètode que sigui perfecte, però aquest probablement representa el millor intent que conec”, diu Mark Burnett, un investigador de seguretat que ha publicat una de les bases de dades de contrasenyes utilitzades per l’estudi. “Aquest tipus d’investigació ens ajuda a ser més intel·ligents sobre el que fa que una contrasenya sigui segura, les recomanacions que fem, i veure cap a on haurem d’anar a partir d’ara”.

El consell de Burnett per a la propera vegada que tries o canviïs una contrasenya és que una vegada que defineixis 1, hauries de trobar la manera d’allargar-la, potser afegint una paraula o dues. La seva recomanació per a la indústria dels ordinadors és definir alternatives per a l’ús tan estès de contrasenyes. “Les contrasenyes s’estan tornant cada vegada més llargues i estem arribant al punt en què perdran la seva utilitat”, conclou l’expert.

Leave a Reply