F2A ¿El fin de las contraseñas? Desafío en la autenticación de usuarios
John H. Titto Noriega jtitto@startlabs.com /jtitto.system
The OWASP Foundation http://www.owasp.org Derechos de Autor y Licencia Copyright © 2003 – 2014 Fundación OWASP Este documento es publicado bajo la licencia Creative Commons Attribution ShareAlike 3.0. Para cualquier reutilización o distribución, usted debe dejar en claro a otros los términos de la licencia sobre este trabajo. The OWASP Foundation http://www.owasp.org
A2 – Pérdida de Autenticación y Gestión de Sesiones. ¿OWASP? A2 – Pérdida de Autenticación y Gestión de Sesiones. La funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios.
Ataques que vulneran las contraseñas Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
Ataques que vulneran las contraseñas Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
Fuerza bruta Mecanismos tradicionales pueden obtener contraseñas sin complejidad en unas pocas horas. A través de GPU, se pueden obtener mejoras como el estudio de MyTechCounters, que podía obtener contraseñas de 6 caracteres en cinco segundos, y de 9 caracteres en mes y medio. En diciembre de 2012, en Oslo, se demostró que a través de GPU es posible descifrar contraseñas de 8 caracteres en cinco horas y media. Y algunos usuarios bru…
Fuerza bruta Caso real en Twitter
Ataques que vulneran las contraseñas Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
Malware Caso ejemplo: Dorkbot Gusano informático que reclutaba zombis Más de 15 países de la región afectados. Más de 80.000 reportes únicos de los equipos zombis.
Ataques que vulneran las contraseñas Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
Phishing Caso real peruano
Phishing 35 tarjetas de crédito 164 víctimas Resultados: Primer acceso: 10:01 h. Último acceso: 15:25 h. Total: 5 horas
Phishing
Ataques que vulneran las contraseñas Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
Ataques a servidores
¿Qué hacemos entonces?
Métodos de autenticación Algo que sé Algo que soy Algo que tengo
Métodos de autenticación Algo que se Algo que soy Algo que tengo
Métodos de autenticación Algo que se Algo que soy Algo que tengo
Métodos de autenticación Algo que se Algo que soy Algo que tengo
Doble autenticación Algo que se Algo que soy Algo que tengo
Doble autenticación Algo que se Algo que soy Algo que tengo
Doble autenticación Algo que se Algo que soy Algo que tengo
¿Ya lo usan?
Apple
Principales “desventajas” Seguridad vs. ataques Costos y rechazo Costumbre
Conclusión: ¿fin de las contraseñas? No, tenemos muchos años más de contraseñas.
Conclusión: ¿fin de las contraseñas? Como único método de autenticación. Su PIN: 657 890
Gracias!