On this session we will talk about your passwords. The ones you use, the ones you should use and where and how to store them.
We will cover in a few short 15 minutes chapters the following topics:
* How not to store passwords.
* Password managers.
* Secure memorable passwords.
* Attack and password entropy.
* Two Factor Authentication.
And much more!
5. Evitar
A toda costa
• Si puedes evitarlo o dejárselo a otros, mejor.
• Usar herramientas como Firebase, oAuth o AWS Cognito que incluyen
gestión de usuarios.
• Sign In con Google, Facebook, Apple...
9. Mala idea
• Si alguien consigue acceso a la base de datos.
• Acceso a sitios donde uséis los mismos usuarios y contraseña.
Guardar las contraseñas en texto
plano
11. Ejemplos cercanos
• BBVA pide dos o tres posiciones de tu contraseña.
• Santander lo mismo con la firma.
• Milanuncios te manda la contraseña por correo si se te olvida.
Guardar las contraseñas en texto
plano
13. Ventajas
• Si alguien accede a la base de datos, sólo puede ver cofres, pero no el
contenido de cada cofre.
Encriptar contraseñas
14. Mala idea
• Cuando se filtra la llave del cofre, volvemos a estar en el caso de
contraseñas guardadas en texto plano.
• Los usuarios que usen la misma contraseña tendrán el mismo texto
encriptado, por lo que no hay que desencriptar de nuevo.
Encriptar contraseñas
17. Ventajas
• En cuanto cambia 1 bit a la entrada, cambia el hash completamente por
efecto avalancha.
Hashing
18. Mala idea
• La gente que use las mismas contraseñas tendrán los mismos hashes,
creando colisiones.
• Muchísimos hashes ya calculados.
• Rainbow tables: reduce el tiempo de cálculo a cambio de espacio en
disco duro.
Hashing
20. Ventajas
• El hash, esta vez sí, es aleatorio para cualquier contraseña, aunque ya se
conozca el hash de la contraseña
• No existirán colisiones en caso de dos usuarios con la misma
contraseña.
• Solo queda fuerza bruta. Si el SALT es bueno y el algoritmo de hashing
también, es muy complicado.
SALT + Hashing
21. Desventajas, que no mala idea
• La gente sigue usando password1234.
SALT + Hashing
24. Preguntas
Para que participéis
• ¿Usáis gestor de contraseña?
• ¿Crees que es bueno poner todas las contraseñas en el mismo sitio?
• ¿Por qué usarías gestor de contraseñas?
Nota: vamos a hablar de la seguridad de la implementación teórica.
Pero… ¿es el autocompletado seguro? No. Existen forms invisibles con
id=”user” e id=”password”.
25. Alternativas
Las buenas y no tan buenas
• Utilizar las mismas contraseñas en todos lados.
• Anotar las contraseñas en un papel o una nota.
• Usar el autocompletar del navegador.
• Usar un gestor de contraseñas, que es el punto 2, bien hecho: un vault.
26. Qué guardan
• Logins: usuario, contraseña, URL… (2FA pero NO)
• Tarjetas: de débito, crédito, del carrefour...
• Notas: de texto plano, normalmente.
27. But how?
Con ayuda de la pizarra
Todo tu vault se encripta en tu cliente (teléfono, ordenador) con tu llave y
se envía encriptado al servidor.
¿Cómo creamos una llave que el servidor no sepa, pero podamos utilizar?
¿Cómo convencemos al servidor para que nos mande nuestro vault
encriptado? Si le mandamos la contraseña, podrían descifrar nuestro vault
en el servidor.
32. O sin él
1.Tu contraseña está hasheada.
2.No se puede obtener la contraseña a partir del
hash.
3.Hay que probar una entrada, calcular el hash y
compararlo.
Concepto
33. 1.Muchas de las webs que usamos no saben muy
bien lo que hacen.
2.Existen distintos tipos de hashes, pero SHA1 y MD5
son muy vulnerables. SHA512 en adelante son
seguros.
3.Conforme aumenta la potencia de cálculo, debe
aumentar la seguridad de vuestras contraseñas.
A tener en cuenta
40. ¿Por qué?
Las contraseñas son difíciles de recordar a no ser que elijas una fácil, en
cuyo caso no son seguras.
Es necesario
1.Complicada de recordar para un humano.
2.Fácil de averiguar para un ordenador.
3.Literalmente van en nuestra contra.
4.Los intentos de eliminarla, requieren contraseña como backup.
45. Es un subset de Multi Factor Authentication.
Concepto
Puede ser
1.Algo que sabes (una contraseña, una pregunta de seguridad, etc).
2.Algo que tienes (tu teléfono via app o SMS, tarjeta de coordenadas).
3.Algo que eres (biométrico via retina, huella, cara, voz, etc.
Nota: vamos a ignorar el 3 ya que requiere hardware adicional.
46.
47. Amenazas
1.Saltar completamente el 2FA.
2.No es un reemplazo a las contraseñas seguras.
3.No es usable en todo, a no ser que no te importen grandes
inconveniencias.
4.Si el 2FA es SMS, no está encriptado en la base de datos de SMS de la
operadora.
5.Perder la app de OTP sin copia de seguridad significa, posiblemente,
perder el acceso a la cuenta.