F2A ¿El fin de las contraseñas? Desafío en la autenticación de usuarios.

Download Report

Transcript F2A ¿El fin de las contraseñas? Desafío en la autenticación de usuarios.

F2A ¿El fin de las contraseñas?
Desafío en la autenticación de usuarios
John H. Titto Noriega
[email protected]
/jtitto.system
Derechos de Autor y Licencia
Copyright © 2003 – 2014 Fundación OWASP
Este documento es publicado bajo la licencia Creative Commons
Attribution ShareAlike 3.0. Para cualquier reutilización o distribución,
usted debe dejar en claro a otros los términos de la licencia sobre este
trabajo.
The OWASP Foundation
http://www.owasp.org
http://www.owasp.org
¿OWASP?
A2 – Pérdida de Autenticación y Gestión de
Sesiones.
La funciones de la aplicación relacionadas a autenticación y gestión de sesiones son
frecuentemente implementadas incorrectamente, permitiendo a los atacantes
comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de
implementación para asumir la identidad de otros usuarios.
http://www.owasp.org
http://www.owasp.org
Ataques que vulneran las contraseñas
(1)
(2)
(3)
(4)
Fuerza Bruta o diccionario
Malware
Phishing
Ataques a servidores
http://www.owasp.org
Ataques que vulneran las contraseñas
(1)
(2)
(3)
(4)
Fuerza Bruta o diccionario
Malware
Phishing
Ataques a servidores
http://www.owasp.org
Fuerza bruta
•
•
•
•
Mecanismos tradicionales pueden obtener contraseñas sin
complejidad en unas pocas horas.
A través de GPU, se pueden obtener mejoras como el estudio
de MyTechCounters, que podía obtener contraseñas de 6
caracteres en cinco segundos, y de 9 caracteres en mes y
medio.
En diciembre de 2012, en Oslo, se demostró que a través de
GPU es posible descifrar contraseñas de 8 caracteres en
cinco horas y media.
Y algunos usuarios bru…
http://www.owasp.org
Fuerza bruta
•
Caso real en Twitter
http://www.owasp.org
Ataques que vulneran las contraseñas
(1)
(2)
(3)
(4)
Fuerza Bruta o diccionario
Malware
Phishing
Ataques a servidores
http://www.owasp.org
Malware
Caso ejemplo: Dorkbot
•
Gusano informático que reclutaba
•
Más de
15 países
•
Más de
80.000
zombis
de la región afectados.
reportes únicos de los equipos zombis.
http://www.owasp.org
Ataques que vulneran las contraseñas
(1)
(2)
(3)
(4)
Fuerza Bruta o diccionario
Malware
Phishing
Ataques a servidores
http://www.owasp.org
Phishing
Caso real
peruano
http://www.owasp.org
http://www.owasp.org
http://www.owasp.org
http://www.owasp.org
Phishing
Resultados:
•• 164
víctimas
Primer
acceso: 10:01 h.
•• 35
tarjetas
crédito
Último
acceso:de
15:25
h.
Total: 5 horas
http://www.owasp.org
Phishing
http://www.owasp.org
Ataques que vulneran las contraseñas
(1)
(2)
(3)
(4)
Fuerza Bruta o diccionario
Malware
Phishing
Ataques a servidores
http://www.owasp.org
Ataques a servidores
http://www.owasp.org
¿Qué hacemos entonces?
http://www.owasp.org
Métodos de autenticación
Algo que sé
Algo que soy
Algo que tengo
http://www.owasp.org
Métodos de autenticación
Algo que se
Algo que soy
Algo que tengo
http://www.owasp.org
Métodos de autenticación
Algo que se
Algo que soy
Algo que tengo
http://www.owasp.org
Métodos de autenticación
Algo que se
Algo que soy
Algo que tengo
http://www.owasp.org
Doble autenticación
Algo que se
Algo que soy
Algo que tengo
http://www.owasp.org
Doble autenticación
Algo que se
Algo que soy
Algo que tengo
http://www.owasp.org
Doble autenticación
Algo que se
Algo que soy
Algo que tengo
http://www.owasp.org
¿Ya lo usan?
http://www.owasp.org
Facebook
http://www.owasp.org
Twitter
http://www.owasp.org
Linkedin
http://www.owasp.org
Google
http://www.owasp.org
Apple
http://www.owasp.org
Principales “desventajas”
Seguridad vs. ataques
Costos y rechazo
Costumbre
http://www.owasp.org
Conclusión: ¿fin de las contraseñas?
No, tenemos muchos años más de contraseñas.
http://www.owasp.org
Conclusión: ¿fin de las contraseñas?
Como único método de
autenticación.
http://www.owasp.org
Su PIN:
657 890
Gracias!