Un grupo de investigadores ha desarrollado un tipo de
gestor de
contraseñas que crea una contraseña señuelo, a la que si se le
suministra una contraseña maestra mal bloquea todo y por tiempo
indefinido. Un software experimental llamado
NoCrack [PDF], será presentado el 19 de mayo en el
Simposio IEEE sobre Seguridad y Privacidad en San José, California.
"NoCrack genera un archivo "bóveda" con contraseñas plausible, que
obliga a buscar cada conjetura o contraseña mal, a través de un número
ilimitado de señuelos. La única manera de averiguar si las credenciales
son correctas es tratar en línea y ese enfoque es costoso y lento", dijo Rahul Chatterjee, un estudiante de maestría en la Universidad de Wisconsin en Madison, y co-autor del trabajo.
NoCrack está pensado para que sea mucho más "sucio", lento y difícil para los atacantes averiguar si han alcanzado su objetivo.
"Un hacker no tiene idea de que la bóveda es la real con este software".
Al atacante no le queda otra opción que tratar de encontrar las
contraseñas en sitios web y uno de los problemas con los administradores
de contraseñas es que almacenan todas sus contraseñas en un archivo
cifrado. Ese archivo, en caso de robo de la computadora de la víctima,
puede entonces ser sometido a los llamados ataques de fuerza bruta, en
la que cientos de miles de
contraseñas en rápida sucesión tratan de
adivinar la contraseña original.
Añade Chatterjee, que si se introduce una contraseña incorrecta, es
fácil para un atacante descubrir que es la incorrecta o que está mal. El
archivo que se genera es chatarra, dijo Chatterjee, y el atacante no
tiene que molestarse tratando las credenciales en un servicio web en
línea.
Como la mayoría de los servicios en línea limitan el número de intentos
de contraseña, los atacantes no tendrían muchas posibilidades de
descubrir el señuelo de la bóveda donde está la contraseña, dijo
Chatterjee.
Sin embargo,
NoCrack no es el primer intento de probar este enfoque. Otro sistema, llamado
Kamouflage
[PDF] es similar, pero Chatterjee dijo que su equipo encontró una
debilidad en la forma en que genera las
contraseñas maestras.
"Las
contraseñas maestras señuelo de Kamouflage se basan en la contraseña
maestra real. El estudio de las contraseñas señuelo realmente ayuda a un
atacante conocer la estructura de la contraseña real, permitiendo que
sea descubierta de una manera mucho más fácil".
El equipo NoCrack estudió la creación de mejores bóvedas señuelo. Para
ello, NoCrack utiliza codificación del lenguaje natural (NLE)
algoritmos, que, irónicamente, también han sido utilizados por personas
que tratan de descifrar contraseñas.
Los algoritmos NLE decodifican una cadena de bits seleccionado de manera
uniforme y generan una nueva muestra de texto en lenguaje natural. Los
investigadores encontraron que el uso de NLE hizo a NoCrack resistente a
los ataques de simples máquinas-aprendizaje orientadas a tamizar la
verdadera bóveda de los falsos.
Chatterjee dijo que están trabajando en las soluciones ante posibles
problemas que puedan ir surgiendo, ya que el software es todavía
experimental. Una posible solución es crear un hash de la contraseña
maestra que está vinculado a una imagen que se muestra cuando se
introduce la contraseña. El usuario autorizado debe reconocer cuando se
muestra una imagen equivocada, pero el atacante no lo haría.
Otra posibilidad sería la de auto-corrección de la contraseña si es sólo
un ataque leve. No hay planes por el momento de comercializar NoCrack,
dijo Chatterjee.
