On this session we will talk about your passwords. The ones you use, the ones you should use and where and how to store them. We will cover in a few short 15 minutes chapters the following topics: * How not to store passwords. * Password managers. * Secure memorable passwords. * Attack and password entropy. * Two Factor Authentication. And much more!

1. Let’s talk passwords
Jaime Conde Segovia
@jaimeconds
Let’s talk passwords

2. • Complejidad técnica media - baja.
• Vamos a hablar de cosas que me parecen curiosas. No soy un experto.
• Preguntad.
Introducción
Check me out!

3. Aquel que pregunta es un tonto
por cinco minutos, pero el que
no pregunta permanece tonto
por siempre.
- Proverbio chino

4. Cómo NO guardar
contraseñas

5. Evitar
A toda costa
• Si puedes evitarlo o dejárselo a otros, mejor.
• Usar herramientas como Firebase, oAuth o AWS Cognito que incluyen
gestión de usuarios.
• Sign In con Google, Facebook, Apple...

6. Métodos

7. 1. Contraseñas en
texto plano
email password
javierrodriguez@gmail.com password1234
alfoso@alumnos.upm.es miburritosabanero
maria@eurielec.etsit.upm.es contraseñasegura
lucía@eestec.es password1234

8. Ventajas
• Mandar contraseña por correo si se le olvida al usuario.
Guardar las contraseñas en texto
plano

9. Mala idea
• Si alguien consigue acceso a la base de datos.
• Acceso a sitios donde uséis los mismos usuarios y contraseña.
Guardar las contraseñas en texto
plano

10. Ejemplos
Guardar las contraseñas en texto
plano

11. Ejemplos cercanos
• BBVA pide dos o tres posiciones de tu contraseña.
• Santander lo mismo con la firma.
• Milanuncios te manda la contraseña por correo si se te olvida.
Guardar las contraseñas en texto
plano

12. 2. Encriptar contraseñas
email password
javierrodriguez@gmail.com <encrypted1>
alfoso@alumnos.upm.es <encrypted2>
maria@eurielec.etsit.upm.es <encrypted3>
lucía@eestec.es <encrypted1>
password1234
🔑
<encrypted1>
🔒
🔑

13. Ventajas
• Si alguien accede a la base de datos, sólo puede ver cofres, pero no el
contenido de cada cofre.
Encriptar contraseñas

14. Mala idea
• Cuando se filtra la llave del cofre, volvemos a estar en el caso de
contraseñas guardadas en texto plano.
• Los usuarios que usen la misma contraseña tendrán el mismo texto
encriptado, por lo que no hay que desencriptar de nuevo.
Encriptar contraseñas

15. Ejemplos
Encriptar contraseñas
• > 38 millones de contraseñas
• Incluía pistas (hints)

16. 3. Hashing
email password
javierrodriguez@gmail.com <hash1>
alfoso@alumnos.upm.es <hash2>
maria@eurielec.etsit.upm.es <hash3>
lucía@eestec.es <hash1>
password1234
#️
bed4efa1d4fdbd954bd3705d6a2a7827
0ec9a52ecfbfb010c61862af5c76af1761f
feb1aef6aca1bf5d02b3781aa854fabd2b
69c790de74e17ecfec3cb6ac4bf
SHA512

17. Ventajas
• En cuanto cambia 1 bit a la entrada, cambia el hash completamente por
efecto avalancha.
Hashing

18. Mala idea
• La gente que use las mismas contraseñas tendrán los mismos hashes,
creando colisiones.
• Muchísimos hashes ya calculados.
• Rainbow tables: reduce el tiempo de cálculo a cambio de espacio en
disco duro.
Hashing

19. 3. SALT + Hashing
email salt password
javierrodriguez@gmail.com <salt1> <hash1>
alfoso@alumnos.upm.es <salt2> <hash2>
maria@eurielec.etsit.upm.es <salt3> <hash3>
lucía@eestec.es <salt4> <hash4>
(SALT|password1234)
#️
688cf0f7b2c6fd84e1c6c74fcb0ed12007
4306d9af0987fa50564f50a1c13a1f2fb14
5eb047d95bc591a0ecb7c6d36e1f1eac11
3958eb3a279414ab4e415e894
SHA512

20. Ventajas
• El hash, esta vez sí, es aleatorio para cualquier contraseña, aunque ya se
conozca el hash de la contraseña
• No existirán colisiones en caso de dos usuarios con la misma
contraseña.
• Solo queda fuerza bruta. Si el SALT es bueno y el algoritmo de hashing
también, es muy complicado.
SALT + Hashing

21. Desventajas, que no mala idea
• La gente sigue usando password1234.
SALT + Hashing

22. ¿Mucha chapa?

23. Gestores de contraseñas

24. Preguntas
Para que participéis
• ¿Usáis gestor de contraseña?
• ¿Crees que es bueno poner todas las contraseñas en el mismo sitio?
• ¿Por qué usarías gestor de contraseñas?
Nota: vamos a hablar de la seguridad de la implementación teórica.
Pero… ¿es el autocompletado seguro? No. Existen forms invisibles con
id=”user” e id=”password”.

25. Alternativas
Las buenas y no tan buenas
• Utilizar las mismas contraseñas en todos lados.
• Anotar las contraseñas en un papel o una nota.
• Usar el autocompletar del navegador.
• Usar un gestor de contraseñas, que es el punto 2, bien hecho: un vault.

26. Qué guardan
• Logins: usuario, contraseña, URL… (2FA pero NO)
• Tarjetas: de débito, crédito, del carrefour...
• Notas: de texto plano, normalmente.

27. But how?
Con ayuda de la pizarra
Todo tu vault se encripta en tu cliente (teléfono, ordenador) con tu llave y
se envía encriptado al servidor.
¿Cómo creamos una llave que el servidor no sepa, pero podamos utilizar?
¿Cómo convencemos al servidor para que nos mande nuestro vault
encriptado? Si le mandamos la contraseña, podrían descifrar nuestro vault
en el servidor.

28. Amenazas
• Keyloggers.
• Autofill.
• Que la implementación no sea tan segura como la teoría.

29. ¿Demasiado técnico?

30. Password cracking

31. Todas vuestras contraseñas
son una mierda y deberíais
cambiarlas ahora mismo.
- Yo

32. O sin él
1.Tu contraseña está hasheada.
2.No se puede obtener la contraseña a partir del
hash.
3.Hay que probar una entrada, calcular el hash y
compararlo.
Concepto

33. 1.Muchas de las webs que usamos no saben muy
bien lo que hacen.
2.Existen distintos tipos de hashes, pero SHA1 y MD5
son muy vulnerables. SHA512 en adelante son
seguros.
3.Conforme aumenta la potencia de cálculo, debe
aumentar la seguridad de vuestras contraseñas.
A tener en cuenta

34. Métodos

35. Fuerza bruta
Demo

36. Diccionarios
Demo

37. Recursos
1.Have I Been Pwned by Troy Hunt
2.Password dumps

38. Descanso

39. Contraseñas
memorables seguras

40. ¿Por qué?
Las contraseñas son difíciles de recordar a no ser que elijas una fácil, en
cuyo caso no son seguras.
Es necesario
1.Complicada de recordar para un humano.
2.Fácil de averiguar para un ordenador.
3.Literalmente van en nuestra contra.
4.Los intentos de eliminarla, requieren contraseña como backup.

41. XFCD

42. 🎲 Diceware

43. Two Factor Authentication

44. Verificar que eres quien dices ser.
Objetivo

45. Es un subset de Multi Factor Authentication.
Concepto
Puede ser
1.Algo que sabes (una contraseña, una pregunta de seguridad, etc).
2.Algo que tienes (tu teléfono via app o SMS, tarjeta de coordenadas).
3.Algo que eres (biométrico via retina, huella, cara, voz, etc.
Nota: vamos a ignorar el 3 ya que requiere hardware adicional.

47. Amenazas
1.Saltar completamente el 2FA.
2.No es un reemplazo a las contraseñas seguras.
3.No es usable en todo, a no ser que no te importen grandes
inconveniencias.
4.Si el 2FA es SMS, no está encriptado en la base de datos de SMS de la
operadora.
5.Perder la app de OTP sin copia de seguridad significa, posiblemente,
perder el acceso a la cuenta.

49. Apps OTP y TOTP