¿El fin de las contraseñas? Desafíos en la autenticación de usuarios
Fernando Catoira Analista de Seguridad
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Ataques que vulneran las contraseñas
(1) (2) (3) (4)
Fuerza Bruta
Malware Phishing Ataques a servidores
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Ataques que vulneran las contraseñas
(1) (2) (3) (4)
Fuerza Bruta
Malware Phishing Ataques a servidores
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Fuerza Bruta • GPU: descifra claves de 6 caracteres en cinco
segundos.
• En diciembre de 2012, en Oslo: se rompieron contraseñas de 8 caracteres en menos • Caso real en Twitter
de 6 horas.
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Ataques que vulneran las contraseñas
(1) (2) (3) (4)
Fuerza Bruta
Malware Phishing Ataques a servidores
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Malware Caso ejemplo: Dorkbot • Gusano informático que reclutaba zombis • Más de 15
países de la región afectados.
• Más de 80.000 reportes únicos de los equipos zombis.
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Ataques que vulneran las contraseñas
(1) (2) (3) (4)
Fuerza Bruta
Malware Phishing Ataques a servidores
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Phishing Resultados:
•• 164 víctimas Primer acceso: 10:01 h.
•• 35 tarjetas de15:25 créditoh. Último acceso: Total: 5 horas
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Phishing
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Ataques que vulneran las contraseñas
(1) (2) (3) (4)
Fuerza Bruta
Malware Phishing Ataques a servidores
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Ataques a servidores
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
DEMO: Robo de claves
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
¿Qué hacemos entonces?
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Métodos de autenticación
Algo que sé Algo que soy Algo que tengo
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Métodos de autenticación
Algo que sé Algo que soy Algo que tengo
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Métodos de autenticación
Algo que se
Algo que soy Algo que tengo
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Doble autenticación
Algo que se Algo que soy Algo que tengo
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Doble autenticación
Algo que se Algo que soy Algo que tengo
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Principales “desventajas”
Seguridad vs. ataques
Costos y rechazo Costumbre
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Conclusión: ¿fin de las contraseñas?
No, tenemos muchos años más de contraseñas.
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
Conclusión: ¿fin de las contraseñas? Como único método de autenticación.
Su PIN: 657 890
ESET SECURITY DAY 2013 – – ECUADOR | 2013 Vínculo TIC Finanzas México
¿Preguntas?
¡Muchas Gracias!