La peor clave más usada: 123456

ashley-madison

La clave común más usada es “123456” y la segunda es “password“. Cada vez que los hackers vulneran un sitio web podemos dar una mirada a las contraseñas que utilizan sus usuarios.

En el 2013 cuando fue vulnerado Adobe se obtuvieron 38 millones de usuarios y claves. 123456 era la clave de casi 2 millones de clientes de Adobe. Cuando Yahoo fue vulnerado en el 2012 la misma clave “123456” encabezaba la lista de las más usadas.

Las claves por seguridad se almacenan encriptadas y con una pizca de “sal” (salt en inglés). Cabe mencionar que normalmente se usan algoritmos de una sola dirección que permiten encriptar pero no lo contrario, desencriptar. En la base de datos se almacena la clave encriptada y es muy difícil obtener la clave original.

Como puedes suponer ya que no es fácil desencriptar un algoritmo de una sola dirección lo que hacen los hackers es probar claves y ver si le atinan, para esto usan unas listas llamadas “diccionarios” de claves comunes. Para evitar éso se usa la sal: La sal equivale a un texto al azár que se agrega a la clave para evitar ataques diccionario.

La sal se puede agregar en cualquier lugar del texto a encriptar y más de una vez si quieres: puede ir adelante, puede ir por detrás e incluso puede ir en el medio.

Ejemplo: En el caso que la contraseña sea “123456” y la sal sea “sal”

  • sal123456
  • 123456sal
  • 123sal456

El usuario cuando ingresa su clave, el programa tiene que agregarle la “sal” y encriptar todo junto. Luego se compara la clave encriptada con la clave almacenada en la base de datos y si coincide, es la clave correcta.

Una manera común en PHP es usar Bcript que permite indicar un “costo”, significa cuan difícil es desencriptarlo y permite también indicar cual es la “sal”.

Algo así:

<?php
$sal = '$2a$07$R.gJb2U2N.FmZ4hPp1y2CN$';
crypt("clavesecreta", $sal);

La “clavesecreta” es el texto que quieres encriptar.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s