Descargar la presentación
La descarga está en progreso. Por favor, espere
1
F2A ¿El fin de las contraseñas? Desafío en la autenticación de usuarios
2
John H. Titto Noriega /jtitto.system
3
The OWASP Foundation http://www.owasp.org
Derechos de Autor y Licencia Copyright © 2003 – 2014 Fundación OWASP Este documento es publicado bajo la licencia Creative Commons Attribution ShareAlike 3.0. Para cualquier reutilización o distribución, usted debe dejar en claro a otros los términos de la licencia sobre este trabajo. The OWASP Foundation
4
A2 – Pérdida de Autenticación y Gestión de Sesiones.
¿OWASP? A2 – Pérdida de Autenticación y Gestión de Sesiones. La funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios.
6
Ataques que vulneran las contraseñas
Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
7
Ataques que vulneran las contraseñas
Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
8
Fuerza bruta Mecanismos tradicionales pueden obtener contraseñas sin complejidad en unas pocas horas. A través de GPU, se pueden obtener mejoras como el estudio de MyTechCounters, que podía obtener contraseñas de 6 caracteres en cinco segundos, y de 9 caracteres en mes y medio. En diciembre de 2012, en Oslo, se demostró que a través de GPU es posible descifrar contraseñas de 8 caracteres en cinco horas y media. Y algunos usuarios bru…
9
Fuerza bruta Caso real en Twitter
10
Ataques que vulneran las contraseñas
Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
11
Malware Caso ejemplo: Dorkbot Gusano informático que reclutaba zombis
Más de 15 países de la región afectados. Más de reportes únicos de los equipos zombis.
12
Ataques que vulneran las contraseñas
Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
13
Phishing Caso real peruano
17
Phishing 35 tarjetas de crédito 164 víctimas Resultados:
Primer acceso: 10:01 h. Último acceso: 15:25 h. Total: 5 horas
18
Phishing
19
Ataques que vulneran las contraseñas
Fuerza Bruta o diccionario (1) Malware (2) Phishing (3) Ataques a servidores (4)
20
Ataques a servidores
21
¿Qué hacemos entonces?
22
Métodos de autenticación
Algo que sé Algo que soy Algo que tengo
23
Métodos de autenticación
Algo que se Algo que soy Algo que tengo
24
Métodos de autenticación
Algo que se Algo que soy Algo que tengo
25
Métodos de autenticación
Algo que se Algo que soy Algo que tengo
26
Doble autenticación Algo que se Algo que soy Algo que tengo
27
Doble autenticación Algo que se Algo que soy Algo que tengo
28
Doble autenticación Algo que se Algo que soy Algo que tengo
29
¿Ya lo usan?
30
Facebook
31
Twitter
32
Linkedin
33
Google
34
Apple
35
Principales “desventajas”
Seguridad vs. ataques Costos y rechazo Costumbre
36
Conclusión: ¿fin de las contraseñas?
No, tenemos muchos años más de contraseñas.
37
Conclusión: ¿fin de las contraseñas?
Como único método de autenticación. Su PIN:
38
Gracias!
Presentaciones similares
