Jose Vicente Carratalá, profesor del Programa Superior de Comunicación y Marketing Online – www.jocarsa.com – comparte hoy un post práctico sobre una exeriencia vivida recientemente en una de las sesiones, relativa a seguridad informática. A menudo podemos aprender sobre experiencias ajenas o meditar sobre ellas para sacar nuestras propias conclusiones.
Que os aproveche
El otro dia en clase estábamos programando un bot, y a un alumno se le ocurrió proponer un programa revienta-contraseñas.
Así que aprovechando la propuesta, hice un cálculo sobre cuánto podríamos tardar en romper una contraseña por el método de la fuerza bruta.
Lo que voy a exponer es lo que ya sabemos todos por “culturilla popular”, pero demostrado matemáticamente: Que una contraseña larga es más dificil de “reventar” que una contraseña corta. Lo sorprendente es el resultado de la comparación.
Datos de partida: En el alfabeto hay 27 letras. Contando mayúsculas, minúsculas, acentos abiertos, cerrados, circunflejos y diéresis, números, símbolos especiales, el numero de caracteres posibles sube a unos 100 caracteres posibles.
Supongamos que programamos un bot en javascript que realice un intento cada milisegundo = 1000 intentos por segundo.
Si mi contraseña tiene 4 letras, quiere decir que 100^4 = 100.000.000 posibles contraseñas de 4 caracteres. No está mal. Sin embargo, si el bot realiza 1000 intentos por segundo:
100.000.000/1000 = 100.000 segundos
100.000 /60 = 1666.66 minutos
1666.66 / 60 = 27.7 horas
Por tanto, el bot tardaría un máximo de 27 horas en reventar una contraseña de 4 caracteres
Si en cambio mi contraseña tiene 8 caracteres, serían 100^8 = 10000000000000000 posibles contraseñas.
10000000000000000 / 1000 = 10000000000000 segundos necesarios para romper la contraseña
10000000000000 / 60 = 166666666666,66 minutos
166666666666,66 / 60 = 2777777777,77 horas = 115740740,74 dias = 317097,91 años para romper una contraseña!!!!!!!!
Por supuesto hay ordenadores que intentan romper contraseñas a más de 1000 intentos por segundo, pero el objetivo de este artículo es demostrar, mediante la combinatoria, que usar ocho caracteres para una contraseña en lugar de cuatro caracteres no dobla la seguridad, sino que la múltiplica de manera increible.
De esta manera, no debe sorprendernos que a día de hoy, muchos portales de internet apliquen dos medidas de seguridad:
1.-Limitar el número mínimo de caracteres
2.-Bloquear la cuenta de usuario tras un número de intentos
Artículo escrito por Jose Vicente Carratalá @jocarsa2