Hacking de contraseñas - charrua.org de contraseñas.pdf · CharruaCon Security Conference Montevideo #charruacon2017 10 contraseñas más repetidas (Leak Linkedin 2012) Puesto Contraseña

CharruaCon Security Conference #charruacon2017Montevideo

Hacking de contraseñas


Disclaimer:

- Las opiniones expresadas en esta presentación son de mi autoría y no tienen relación alguna con la posición que la empresa GXC pueda tener.

- Las contraseñas crackeadas a partir del breach fueron obtenidas con fines únicamente estadísticos y académicos.

- Los exploits fueron utilizados únicamente sobre cuentas de nuestra propiedad, para divertirse y aprender un poco

- Aunque más para divertirse.

- No descubrí nada nuevo ni rompí el STM



About me:

Ingeniero en Computación recibido en la Universidad de la Repúbilca. Apasionado de la Cyber Seguridad.

Consultor en Seguridad en GeneXus Consulting.






Nuestro estudio


10 contraseñas más repetidas (Leak Linkedin 2012)

Puesto Contraseña Frecuencia

1 123456 753.305

2 linkedin 172.523

3 password 144.458

4 123456789 94.314

5 12345678 63.769

6 111111 57.210

7 1234567 49.652

8 sunshine 39.118

9 qwerty 37.538

10 654321 33.854

Fuente: http://www.welivesecurity.com/la-es/2016/05/23/contrasenas-filtradas-de-linkedin-123456/

Fuente: http://www.welivesecurity.com/la-es/2016/05/23/contrasenas-filtradas-de-linkedin-123456/


sunshine…

• Utilizar diccionarios a ciegas no siempre ayuda.• Palabras de nuestra cultura• Nombres y apellidos españoles• Matriculas de autos, Teléfonos, RUTs, Cedulas, Credenciales.• Contraseñas de 6 caracteres o menos• Diccionarios estándar de ataques• Ñ

• No se realizaron diccionarios personalizados

Cambiamos Sunshine por amanecer y estamos


Nuestros Resultados

22542; 81%

5413; 19%

Crackeadas :) Sin Crackear

Dominios (27955) • .uy• Lista de contactos





Fuente: https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf


https://haveibeenpwned.com/



• Usar contraseñas fuertes

• Cambiar las contraseñas cada cierto período de tiempo

• No reutilizar contraseñas



Muchas [email protected]


Software is Software



Zero-Knowledge Security

ONLINE OFFLINE

RoboForm Everywhere

Almacenando KDBX

en la nube

Problema para sincronizar múltiples dispositivos


"Account","Login Name","Password","Web Site","Comments""CharruaCon","rdelafuente","secretPassword","http://charrua.org/","note"




https://www.theregister.co.uk/2017/02/28/flaws_in_password_management_apps/



Lastpass hoy – 4.1.52

20/03/2017 – 4.1.42https://1min-ui-prod.service.lastpass.com - postMessages

https://bugs.chromium.org/p/project-zero/issues/detail?id=1209

https://1min-ui-prod.service.lastpass.com/




https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/

LastPass 3.2.15 (Chrome) – 07/2016

http://localhost:8080/@facebook.com/@fake.html

Podemos convencer al gestor que somos otro dominio y nos entregará sus credenciales.


DEMO TIME!



• Los gestores de contraseña son una ayuda, no una panacea.

• Siguen siendo software, por lo que debemos auditarlos.

• La utilización de contraseñas para identificar usuarios es una solución… con problemas.

• Tenemos mucho trabajo de concientización por delante.

• Recomendar a los usuarios fuertemente usar 2FA siempre que sea posible.

• Es necesario que cada vez más aplicaciones soporten 2FA.


Preguntas?


Muchas [email protected]

Documents

Hacking de contraseñas - charrua.org de contraseñas.pdf · CharruaCon Security Conference Montevideo #charruacon2017 10 contraseñas más repetidas (Leak Linkedin 2012) Puesto Contraseña