© 2008 Quest Software, Inc. ALL RIGHTS RESERVED

© 2008 Quest Software, Inc. ALL RIGHTS RESERVED 2

Quest Software

AU TEN TIC AC IÓ N D O B LE AU TEN TIC AC IÓ N D O B LE

FAC TO RFAC TO R

CARLES MARTIN & DINO!CARLES MARTIN & DINO!

http://www.laflecha.net/canales/seguridad/200406161

CONTRASEÑAS / PASSWORDS

Te cambio tu password por una chocolatina

Hace poco conocíamos un estudio que ponía sobre la mesa el poco recelo que tenemos a

la hora de guardar nuestras contraseñas; el 70% de las personas ofrecería su contraseña

sin titubear a cambio de una tableta de chocolate, y de estas, el 35% lo haría por nada. Sin

duda da qué pensar. ¿No somos conscientes de la seguridad de nuestras claves?

16 Jun 2004 | REDACCIÓN, LAFLECHA

Con seguridad, tal y como se plantea en Security Focus, necesitamos educar mejor a las masas sobre

la importancia de guardar con celo nuestras contraseñas. Para empezar, utilizar contraseñas menos

obvias puede ser un buen paso. No es de extrañar que muchos problemas se produzcan por

contraseñas tan poco originales como “dios”, “cerveza”, “password” o “123456”.

La sugerencia que nos plantean es difundir información sencilla y útil sobre las contraseñas. Las tres

reglas de oro son:

Primera regla: una buena contraseña es aquella que tiene ocho caracteres o más. Cuanto más larga

sea esta, más complicado será dar con ella. Con ocho caracteres sería suficiente, pero no menos.

Segunda regla: debes usar una mezcla de tres o cuatro cosas en la contraseña en vez de una única

temática; esto es, mezclar letras, números y símbolos; todo combinado.

70% de las personas

DIOS

CERVEZA

PASSWORD

123456

16-Jun-2004

http://www.physorg.com/news153650514.html

Favorite passwords: "1234" and "password"

February 12th, 2009 in Technology / Internet

Passwords that show no imagination or distinctiveness are easy prey for information pirates, a new

US study says.

A statistical analysis of 28,000 passwords recently stolen from a popular US website and posted on

the Internet reveals that people often do the easy thing.

It found that 16 percent took a first name as a password, often their own or one of their children,

according to the study published by Information Week.

Another 14 percent relied on the easiest keyboard combinations to remember such as "1234" or

"12345678." For those using English keyboards, "QWERTY", was popular. Likewise, "AZERTY"

scored with people with European keyboards.

Five percent of the stolen passwords were names of television shows or stars popular with

young people like "hannah," inspired by singer Hannah Montana. "Pokemon," "Matrix," and

"Ironman" were others.

The word "password“, or easy to guess variations like "password1," accounted for four percent.

Three percent of the passwords expressed attitudes like "I don't care," "Whatever," "Yes" or "No."

There were sentimental choices -- "Iloveyou" -- and their opposite -- "Ihateyou."

16% “MI_NOMBRE”

12-Feb-2009

14% “1234”

5% “Show_TV”

4% “PASSWORD”

3% “SI / NO”

1% “TEAMO”

Favorite passwords: "1234" and "password"

February 12th, 2009 in Technology / Internet

16% “MI_NOMBRE”

12-Feb-2009

14% “1234”

5% “Show_TV”

4% “PASSWORD”

3% “SI / NO”

1% “TEAMO”

HISTORIA DE UNA PASSWORD…• La autenticación mediante contraseñas no es “del todo” segura

• La vida útil de las contraseñas es demasiado larga (meses)

• Las passwords NO se almacenan en texto plano…

• Se utiliza un algoritmo de codificación para crear un HASH

• Los HASHES son, en principio, únicos y unidireccionales

• La seguridad depende del algoritmo de codificación

• Las métodos más habituales para “crackear” un HASH son:

• Ataque a través de Diccionario (con heuristica)

• Ataque por fuerza bruta

• Ataque usando las “rainbow tables”

Y... las passwords se pueden olvidar, las puede conocer más de

una persona o... cosas mucho peores!!

Alice:root:b4ef21:3ba4303ce24a83fe0317608de02bf38d

Consideraciones del MD5 HASH• Es el algoritmo usado por Unix/Linux

• MD5 obtiene un hash de 128 bits de largo, sin importar el largo de la entrada.

• En 1996 se anuncia una colisión: dos entradas distintas producen el mismo Hash!

• Ataques contra MD5:• Ataque de cumpleaños en 2004

• Ataque de Wang y Yu en 2005

• Google su “peor” enemigo en la actualidad…

• MD5 usa salting, para alterar con un string alteatorio el valor original del hash.

KeyKey

ConstanteConstante

Seattle1Seattle1 SEATTLESEATTLE 1******1****** == ++

Hash LMHash LM

KeyKey

ConstanteConstante

ConcatenaConcatena

DESDES DESDES

Generación del “Hash” LM• Se rellena hasta 14 caracteres con Nulos

• Se convierte a Mayúsculas.

• Se separa en 2 strings de 7 caracteres

Consideraciones del LM HASH• En realidad no es un único hash (son dos!)

• Tiene un Set de Caracteres Limitado• Solo se utilizan caracteres alfanuméricos comunes

• No distingue Mayúsculas y Minúsculas

• 142 símbolos

• Se rellena hasta 14 caracteres con Nulos• 2 contraseñas de siete caracteres

• El Nº Máximo de contraseñas posibles es ≈ 6.8*1012 (muy poquitas…)

• Unsalted -Sin aliñar-

Generación de un Hash NT Se calcula el Hash de la contraseña

Se almacena.

unicodeunicode

PwdPwd

Seattle1Seattle1MD4MD4

Consideraciones del NT HASH• Preserva las Mayúsculas y Minúsculas

• 65,535 símbolos (Todo el Set Unicode)

• Máxima longitud = 127 caracteres

• Si Nº Caracteres de la contraseña ≤14 ( set de Caracteres LM) ≈ 4.6*1025

• Si Nº Caracteres de la contraseña ≤14 (full char set) ≈ 2.7*1067

• Si se utilizan contraseñas de 127 caracteres ≈ 4.9*10611

• Unsalted -Sin aliñar-

Atacando LMHASH/NTHASH

Vulnerabilidad Kerberos Casi todo el mundo conoce las debilidades de LM/NTLM.

El Sniffing de Kerberos es menos conocido, pero existe.

Muchos administradores todavía piensan que KERBEROS es inexpugnable, cuando realmente no es así...

El ataque lo explicó por primera vez Frank O’Dwyer en 2002 www.frankodwyer.com/papers/feasibility_of_w2k_kerberos_attack.htm

El problema radica en un único paquete de pre-autenticación

En este paquete se envía el timestamp cifrado con una clave derivada de la contraseña del usuario, durante la

comunicación inicial con el DC.

¿Quien tiene la IP 1.1.1.2?

1.1.

1.2 e

sta en

99:

88:7

7:66

:55:

44

La 1.1.1.2 soy YO y esta es mi MAC 00:11:22:33:44:55:66

1.1.1.1

1.1.1.2

1.1.1.1 esta en 99:88:77:66:55:44

Usando Man In The Middle para

"sniffing" de passwords Kerberos

Consejos y Recomendaciones NO "distribuir" o apuntar tu Password

Passwords largas, de más de 15 caracteres o con caracteres Unicode (0128 al 0159)

Deshabilitar la “cache” de passwords en local

Deshabilitar LMHash en Directorio Activo

http://support.microsoft.com/kb/299656/en-us

Usar IPSEC para encriptar el trafico en AD

• Que VIVA ESPAÑA!!!

ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+=~`[]{}|:;"'<>,.?/

Autenticación Multi-factor• Métodos para probar la identidad y confianza:

• “Algo que conoces”: TU PASSWORD

• “Algo sobre ti”: HUELLA, IRIS, VOZ…

• “Algo que tienes”: DISPOSITIVO FISICO

Autenticación Doble-Factor• Quest Defender eleva los niveles de seguridad

proporcionando un sistema de autenticación de doble factor mediante el uso de “tokens”, hardware o software, generando un código de acceso único cada 55 segundos.

• Quest Defender aprovecha toda la potencia y funcionalidad del Directorio Activo ya existente, para almacenar toda la información.

• Quest Defender se integra con cualquier sistema o aplicación que soporte RADIUS y con sistemas tradicionales como Windows o Unix/Linux

Autenticación Doble-Factor• Basado en Directorio Activo y su replicación

• Administración sencilla a través de la ADUC

• Compatible con el estándar RADIUS

• Soporte para autenticación con PIN y/o password

• Soporte para tokens síncronos y asíncronos

• “Agnóstico” a nivel de token hardware

• Servicio vía web de auto-registro de tokens

• Módulo de Reporting basado en WEB

Autenticación Doble-Factor

Autenticación Doble-Factor

© 2008 Quest Software, Inc. ALL RIGHTS RESERVED

CARLES MARTINCARLES MARTIN CARLES.MARTIN@QUEST.COMCARLES.MARTIN@QUEST.COM

DINODINO DINO.QUEST.SOFTWARE@GMAIL.COMDINO.QUEST.SOFTWARE@GMAIL.COM