Crear una nueva contraseña es esencial para proteger tu información en caso de una violación de datos. Sin embargo, incluso si creas una contraseña de 20 caracteres aleatorios con símbolos y números, la seguridad de tus credenciales escapa a tu control en algún momento. Todo depende de cómo el proveedor del servicio almacene tus datos.
Índice
Hemos hablado de por qué es peligroso guardar contraseñas en formato de texto. Para cumplir el criterio de seguridad más básico deben ser hashed. Pero en nuestro constante juego del gato y el ratón entre hackers y expertos en ciberseguridad, cada violación de datos ayuda a los criminales a mejorar sus métodos para adivinar contraseñas hashed, por lo que los criptógrafos ahora emplean una medida adicional: sal.
¿Qué es contraseña con sal?
Tus contraseñas no suelen guardarse en formato de texto. Cuando inicias sesión en tu cuenta, las contraseñas se ejecutan a través de un algoritmo hashing de sentido único. De esta forma, se convierte en una serie de caracteres irreconocible. A continuación, se compara con otros hashes de la base de datos y, si coinciden, obtienes acceso a la cuenta.
Aunque parezca una forma segura de almacenar contraseñas, hay un problema. Si dos contraseñas coinciden, el hash será idéntico, lo cual facilita su vulneración. Aquí es donde la sal entra en acción. Una contraseña con sal consiste en añadir unos pocos datos aleatorios a la misma antes de ejecutar el algoritmo hashing.
Imagina que tu contraseña es 'yellow'. Si otro usuario tiene la misma contraseña, el hash resultante será idéntico. Pero si añades un par de caracteres aleatorios a ambos, obtienes dos contraseñas distintas: ‘yellow#1Gn%’ y ‘yellow9j?L’ con hashes completamente diferentes. Pero ¿cómo les difilculta el hackeo?
Atacando contraseñas sin sal
Con el paso de los años, los cibercriminales han desarrollado una enorme cantidad de formas de hackear millones de contraseñas hashed. Y con cada vulneración de datos, dichos métodos han ido mejorando. Existen tres métodos para vulnerar una contraseña hashed sin encriptación sal.
Fuerza bruta. Brute-force es la forma más simple de vulnerar una contraseña hashed. Consiste en adivinar toda posible combinación de contraseñas y ejecutarlas a través de un algoritmo hashing. Una vez que hay una coincidencia, obtienes la contraseña original. La fuerza bruta funciona mejor con conjuntos de caracteres cortos. Cuanto más larga sea la contraseña, más potencia de ordenador necesitará.
Ataques de diccionario. A ataque de diccionario is a more sophisticated version of brute force. But instead of completely random guessing, the computer tries the most common password words and character combinations. This is why dictionary attacks get better with every data breach — each time, criminals learn more about the way we create our passwords.
Tablas arcoíris. Las tablas arcoíris son bases de datos precomputerizadas de contraseñas has desencriptadas. Un hacker puede tranquilamente buscar en su base de datos para obtener el hash deseado. Como ocurre con los ataques de diccionario, las tablas arcoíris crecen en eficacia con cada violación de datos.
Mitigando los ataques a contraseñas con sal
Entonces, ¿cómo combaten estos ataques los expertos en seguridad? Ante todo, recurriendo a los últimos algoritmos de hashing. Las funciones hashing como MD5 y SHA-1 son vulnerables, mientras que bcrypt y SHA-2 son mucho más seguros. Los últimos algoritmos realizan el hashing de contraseñas varias veces para dificultar su vulneración.
Además de las funciones de seguridad, usar un hash con sal es esencial. Una contraseña hashed con sal a través de un algoritmo seguro es casi imposible de adivinar. Sin embargo, esto no significa que tus contraseñas estén completamente a salvo. Nunca podrás estar 100% seguro de que el proveedor del servicio almacene las contraseñas como es debido. Teniendo en cuenta lo anterior, lo ideal es llevar a cabo buenas prácticas de seguridad, como crear contraseñas aleatorias, nunca reutilizar contraseñas en distintas cuentas y cambiar tu contraseña de inmediato tras una vulneración de datos.