Re: [escepticos] De informática médica...

[Paco Gaspar]

No, la medida de cadenas raras, no es efectiva: con la potencia de los
equipos actuales, y poniendo a currar unos pocos miles en paralelo, en poco
rato pueden reventar una contraseña 'segura'.

Lo que es más complicado de reventar, son accesos basados en tarjeta, en
huella dactilar, en retina..

Pero las passwords... si cayó PGP que se suponía que era invulnerable, cae
cualquier cosa.


El 6 de octubre de 2010 17:40, Luis Rodriguez <luisrodrruiz en gmail.com>escribió:

> Hola:
>
> El ataque de diccionario requiere el acceso a las claves cifradas. En el
> > pasado era normal en el sistema Unix, porque el cifrado se consideraba
> > suficientemente efectivo. El "ataque de diccionario" consiste en ir
> probando
> > a cifrar contraseñas hasta obtener una que coincida al cifrarse.
> >
> >   Está claro. Ya sabía que estaba bastante desfasado en esto. En este
> tema,
> desgraciadamente me quedé cuando las contraseñas se guardaban en el
> /etc/passwd con permisos de lectura para todo el mundo y que por tanto,
> encriptando una por una todas las palabras (invocando a "crypt") de un
> fichero "diccionario" podía llegarse a crackear un password. Después se que
> se adoptó lo de las "shadow" passwords y ahí me quedé :-)
>
> En todo caso, hace unos cuatro o cinco años yo mismo sufrí en mis carnes un
> ataque de este tipo (creo que aún guardo por ahí el var/log con los
> diferentes logins que iba provando el atacante).
>
> En todo caso, sigo sin ver, sea cual sea el método seguido, como un cambio
> de contraseña puede servir para protegerse ante un ataque de este tipo. La
> única medida más o menos efectiva es utilizar como contraseña una cadena de
> caracteres "rara".
>
> Un saludo.
> _______________________________________________
> Escepticos mailing list
> Escepticos en dis.ulpgc.es
> http://correo.dis.ulpgc.es/mailman/listinfo/escepticos
>