Un grupo de investigadores de Microsoft ha desarrollado una forma de crear contraseñas fáciles de recordar sin hacer que los sistemas sean más vulnerables a los piratas informáticos.

En lugar de obligar a crear contraseñas complejas, como hacen muchas organizaciones, el nuevo método se asegura de que sólo unos pocos usuarios puedan tener la misma contraseña, lo que tiene un efecto general similar en cuanto a la seguridad. Otra serie de investigaciones de Microsoft también revelan por qué sólo algunas organizaciones insisten en poseer contraseñas de gran complejidad.

Los cada vez más complejos requisitos de contraseña—con reglas como que "las contraseñas deben tener 14 caracteres y contener al menos dos letras mayúsculas, dos letras minúsculas, y tres símbolos"—hacen que sea difícil que los atacantes adivinen las contraseñas utilizando el llamado "ataque de diccionario", consistente en probar una sucesión de muchas contraseñas posibles.

Sin esas restricciones, la gente tiende a elegir contraseñas fáciles de recordar, fáciles de escribir—y fáciles de adivinar. Por ejemplo, cuando 32 millones de contraseñas de la página web de medios sociales RockYou fueron publicadas por accidente en diciembre del año pasado, casi la mitad resultaron ser "contraseñas triviales", tales como dígitos consecutivos, palabras del diccionario, o nombres comunes, según un análisis emitido en el mes de enero pasado por la firma de seguridad web Imperva.

Exigir que las contraseñas incluyan números, símbolos, y mayúsculas mezcladas con minúsculas, aumenta significativamente el número de contraseñas posibles. Con tales normas, un ataque de diccionario se convierte en algo imposible, aunque las contraseñas también se vuelven más difíciles de recordar.

Una manera en que los diseñadores de sistemas tratan de vencer a los ataques de diccionario consiste en la desactivación temporal de una cuenta cuando una contraseña se introduce de forma incorrecta más de unas cuantas veces. Esto se conoce como bloqueo de cuenta, y no resulta sorprendente saber que los atacantes hayan descubierto una manera sencilla de derrotar este enfoque. En vez de adivinar miles o millones de contraseñas para una sola cuenta, el atacante simplemente adivina las contraseñas más utilizadas para miles, o incluso millones, de cuentas distintas.

El nuevo sistema de Microsoft Research acaba por completo con los requerimientos de complejidad, y al mismo tiempo protege contra los ataques de diccionario y la adivinación estadística. El servicio simplemente cuenta las veces en que cualquier usuario del servicio escoge una contraseña previamente proporcionada. Cuando más de un pequeño número de usuarios eligen una contraseña, la contraseña se prohíbe y nadie más puede elegirla. El sistema sólo puede ser utilizado por organizaciones con millones de usuarios—por ejemplo, sitios web como el correo Hotmail de Microsoft.

El método se describe en un artículo redactado por los investigadores de Microsoft Stuart Schechter y Herley Cormac, que se publicará en la conferencia Hot Topics in Security de Washington, DC, en agosto. Michael Mitzenmacher, desde la Universidad de Harvard, es también co-autor del artículo.

"La sustitución de las reglas de creación de contraseñas por las limitaciones de popularidad tiene el potencial de aumentar tanto la seguridad como la facilidad de uso", describen los autores. "Puesto que no se permite que ninguna contraseña sea demasiado común, los atacantes dejan de tener a su disposición las contraseñas populares que necesitan para poner en peligro una facción importante de las cuentas usando los métodos de adivinación.

Sin embargo, según afirma Herley, aún no hay planes para implementar el nuevo sistema en cualquiera de los productos de Microsoft. "No podemos especular acerca de los planes de producto de Microsoft", asegura. "Ahora mismo sólo nos estamos dedicando a exponerlo para obtener comentarios críticos por parte de la comunidad de investigación de seguridad".

Durante los últimos años, los investigadores dentro del emergente campo de la "seguridad utilizable" han analizado con detalle muchas de las prácticas de seguridad de información y han descubierto un gran número de carencias. Por ejemplo, muchos sistemas informáticos bloquean cuentas si un usuario comete errores tipográficos en su contraseña tres veces seguidas. Sin embargo, hace siete años, Sascha Brostoff y Angela Sasse, dos investigadores del University College London en el Reino Unido, mostraron que el aumento de ese número de tres a 10 reduce drásticamente el número de usuarios legítimos que acaban bloqueados, y sólo supone un impacto insignificante en la seguridad general de sistema.

La semana pasada, más de 200 investigadores de seguridad informática de todo el mundo se reunieron en Redmond, Washington, en el Simposio anual sobre Privacidad y Seguridad Útil, para discutir diversos métodos de fabricación de ordenadores que al mismo tiempo sean más seguros y fáciles de usar.

Otro estudio realizado por los investigadores de Microsoft, presentado en el simposio, explica por qué sólo algunas organizaciones poseen contraseñas demasiado complejas. El estudio examinó las políticas de contraseña en 75 páginas web diferentes, incluyendo los 20 sitios mejor clasificados en internet, así como webs pertenecientes a bancos, grandes universidades, y agencias del gobierno de los EE.UU.. Los investigadores de Microsoft Dinei Florencio y Cormac Herley no encontraron ninguna correlación entre el valor de la cuenta de un consumidor, la cantidad de ataques que sufrió la página web, y la complejidad de las contraseñas que los operadores de las webs impusieron a sus usuarios.

Según el estudio, aquellas páginas web en las que los usuarios pueden elegir entre varios proveedores—páginas de bancos y empresas de inversión, por ejemplo—por lo general tienen requisitos de contraseña relativamente simples. Estos sitios protegen los activos de sus usuarios a través de técnicas de lucha contra el fraude, y las compañías no quieren que sea demasiado difícil que sus clientes inicien las sesiones.

Florencio y Herley descubrieron que los sitios que poseían los requisitos de contraseña más exigentes eran aquellos en los que los usuarios generalmente no tenían capacidad de interactuar con otros proveedores—páginas como la de la Administración de la Seguridad Social de los EE.UU., el Servicio Meteorológico Nacional, y los sistemas de correo web de varias universidades de gran tamaño. Dentro de estos sistemas, las organizaciones no tienen ningún incentivo monetario para equilibrar la facilidad de uso y la seguridad, o para encontrar alguna otra forma de proteger las cuentas de usuario.

"La mayoría de las organizaciones tienen profesionales de seguridad que demandan políticas más restringentes, aunque sólo algunas deben seguir requisitos de usabilidad lo suficientemente fuertes como para acallar en parte esas demandas", agregan los autores. "Cuando no hay nadie que abogue por la facilidad de uso, o la defensa de esa característica es débil, las medidas de seguridad son innecesariamente restrictivas".

Simson Garfinkel formó parte del comité de programa del Simposio 2010 sobre Seguridad y Privacidad Útil.