Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
15 de Mayo, 2015    General

NoCrack: gestor de contraseñas con perfiles falsos

Un grupo de investigadores ha desarrollado un tipo de gestor de contraseñas que crea una contraseña señuelo, a la que si se le suministra una contraseña maestra mal bloquea todo y por tiempo indefinido. Un software experimental llamado NoCrack [PDF], será presentado el 19 de mayo en el Simposio IEEE sobre Seguridad y Privacidad en San José, California.

"NoCrack genera un archivo "bóveda" con contraseñas plausible, que obliga a buscar cada conjetura o contraseña mal, a través de un número ilimitado de señuelos. La única manera de averiguar si las credenciales son correctas es tratar en línea y ese enfoque es costoso y lento", dijo Rahul Chatterjee, un estudiante de maestría en la Universidad de Wisconsin en Madison, y co-autor del trabajo.

NoCrack está pensado para que sea mucho más "sucio", lento y difícil para los atacantes averiguar si han alcanzado su objetivo. "Un hacker no tiene idea de que la bóveda es la real con este software".

Al atacante no le queda otra opción que tratar de encontrar las contraseñas en sitios web y uno de los problemas con los administradores de contraseñas es que almacenan todas sus contraseñas en un archivo cifrado. Ese archivo, en caso de robo de la computadora de la víctima, puede entonces ser sometido a los llamados ataques de fuerza bruta, en la que cientos de miles de contraseñas en rápida sucesión tratan de adivinar la contraseña original.

Añade Chatterjee, que si se introduce una contraseña incorrecta, es fácil para un atacante descubrir que es la incorrecta o que está mal. El archivo que se genera es chatarra, dijo Chatterjee, y el atacante no tiene que molestarse tratando las credenciales en un servicio web en línea.

Como la mayoría de los servicios en línea limitan el número de intentos de contraseña, los atacantes no tendrían muchas posibilidades de descubrir el señuelo de la bóveda donde está la contraseña, dijo Chatterjee.

Sin embargo, NoCrack no es el primer intento de probar este enfoque. Otro sistema, llamado Kamouflage [PDF] es similar, pero Chatterjee dijo que su equipo encontró una debilidad en la forma en que genera las contraseñas maestras. "Las contraseñas maestras señuelo de Kamouflage se basan en la contraseña maestra real. El estudio de las contraseñas señuelo realmente ayuda a un atacante conocer la estructura de la contraseña real, permitiendo que sea descubierta de una manera mucho más fácil".

El equipo NoCrack estudió la creación de mejores bóvedas señuelo. Para ello, NoCrack utiliza codificación del lenguaje natural (NLE) algoritmos, que, irónicamente, también han sido utilizados por personas que tratan de descifrar contraseñas.

Los algoritmos NLE decodifican una cadena de bits seleccionado de manera uniforme y generan una nueva muestra de texto en lenguaje natural. Los investigadores encontraron que el uso de NLE hizo a NoCrack resistente a los ataques de simples máquinas-aprendizaje orientadas a tamizar la verdadera bóveda de los falsos.

Chatterjee dijo que están trabajando en las soluciones ante posibles problemas que puedan ir surgiendo, ya que el software es todavía experimental. Una posible solución es crear un hash de la contraseña maestra que está vinculado a una imagen que se muestra cuando se introduce la contraseña. El usuario autorizado debe reconocer cuando se muestra una imagen equivocada, pero el atacante no lo haría.

Otra posibilidad sería la de auto-corrección de la contraseña si es sólo un ataque leve. No hay planes por el momento de comercializar NoCrack, dijo Chatterjee.

Fuente: CIOAL
Palabras claves ,
publicado por alonsoclaudio a las 19:08 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Agosto 2017 Ver mes siguiente
DOLUMAMIJUVISA
12345
6789101112
13141516171819
20212223242526
2728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
15 Comentarios: lucia, wilson, spider hackers, [...] ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
» Cómo liberar software – guía para principiantes :)
1 Comentario: seo plugin
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad