miércoles, julio 08, 2009

Análisis de Password PHPBB

Un popular website, phpbb.com, fue recientemente hackeado. el hacker publicó aproximadamente 20,000 passwords de los usuarios del sitio. Esto es como dulce para los expertos en seguridad porque es información escencial que pueden utilizar para saber como es que los usuarios escogen los passwords. Robert Graham diseño un programa para analizar estos passwords y así determinar un patrón, esto dio resultados muy interesantes.

Este incidene es parecido al de hace aproximadamente 2 años en donde MySpace fue hackeado, en aquella ocasión se revelaron 30,00 passwords. Dos revistas especializadas, Wired e InfoWorld, publicaron articulos analizando los passwords.

La diferencia entre los dos incidentes es que los passwords de
phpbb son mas simples, MySpace requiere que los passwords sean entre 6 y 10 caracteres y contener por lo menos 1 numero o un signo de puntuación. Mucha gente para cumplir con este requisito simplemente agregaba un "1" al final del password. El sitio phpbb no tenía estas restricciones, los passwords

Es difícil juzgar que palabras entran en el término "palabra de diccionario", muchas palabras como "xbox" o "pokemon" son claramente palabras, y en estos días de uso común, pero estas no se encuentran en el diccionario. Se corrieron muchos de los passwords de la pagina
son mas cortos y raramente contenían nada fuera de una palabra de diccionario.phpbb en varios archivos de diccionarios potentes y solo un 65% coincidió con alguna palabra en la base de datos, en cambio, hubo un 94% de coincidencia en un diccionario hacker.

16% de los passwords coincidía con el primer nombre del usuario.

Esto incluye escoger el primer nombre del usuario, de su esposa o de sus hijos. Los nombres mas populares fueron Joshua, Thomas, Michael y Charlie. La interrogante es, si Joshua fue utilizado por ser primer nombre o porque era el password de la computadora en "Wargames", que ciertamente Joshua alcanza los primeros lugares. Variaciones de la palabra "Jordan" son populares, que casi con certeza refiere a "Micheal Jordan" (así como "jordan23" refiriéndose a su numero como jugador). Esto nos hace preguntarnos, cuantas personas utilizan "michael" como password refiriéndose a sus hijos y cuantas a una superestrella del deporte.

14% de los passwords eran patrones en el teclado.

Como "1234". "qwerty" o "asdf". Hay montones de diferentes patrones que la gente escoge, como "1qaz2wsx" o "1q2w3e". Pasamos un rato googleando "159357" tratando de entender como categorizarlo, caundo nos dimos cuenta que es un patron en el teclado numerico.

4% son variaciones de la palabra "password".

Como "passw0rd", "password1" o "passwd". De nuevo googleamos "drowssap" para categorizarlo, solo para darnos cuenta que es "password" al reves.

5% son referencias a la cultura Pop.

Desde TV, pelìculas o musica. Estas tiendes a ser por parte de la cultura joven ("hanna", "pokemon", "tigger") y geeky ("klingon", "starwars", "legolas", "matrix", "ironman"). la música tiende a ser para gente un poco mas grande con bandas como "ironmaiden". Muchas de las referencias Pop no es porque sean populares, si no, porque suenan como passwords como "ou812" (album de Van Halen), "blink182" (pop 90's), "rush2112" (album 80's) y "8675309" (canción pop 80's).

Aqui esta el tiop 20 de la base de datos de phpbb:
  1. 3.03% 123456
  2. 2.13% password
  3. 1.45% phpbb
  4. 0.91% qwerty
  5. 0.82% 12345
  6. 0.59% 12345678
  7. 0.58% letmein
  8. 0.53% 1234
  9. 0.50% test
  10. 0.43% 123
  11. 0.36% trustno1
  12. 0.33% dragon
  13. 031% abc123
  14. 0.31% 123456789
  15. 0.31% 111111
  16. 0.30% hello
  17. 0.30% monkey
  18. 0.28% master
  19. 0.22% killer
  20. 0.22% 123123
Y finalmente la distribución por numero de caracteres:
  • 1 caracter 0.34%
  • 2 caracteres 0.54%
  • 3 caracteres 2.92%
  • 4 caracteres 12.29%
  • 5 caracteres 13.29%
  • 6 caracteres 35.16%
  • 7 caracteres 14.60%
  • 8 caracteres 15.50%
  • 9 caracteres 3.81%
  • 10 caracteres 1.14%
  • 11 caracteres 0.22%
Deja mucho que pensar, seguro vas cambiar tu password, por lo menos yo si lo hice...

Robert Graham is CEO of Errata Security. Special to Dark Reading







0 comentarios:

Publicar un comentario