SlideShare a Scribd company logo

Lets talk passwords

Download as PPTX, PDF
J
Jaime534243

On this session we will talk about your passwords. The ones you use, the ones you should use and where and how to store them. We will cover in a few short 15 minutes chapters the following topics: * How not to store passwords. * Password managers. * Secure memorable passwords. * Attack and password entropy. * Two Factor Authentication. And much more!

Internet
1 of 49
Let’s talk passwords Jaime Conde Segovia @jaimeconds Let’s talk passwords
• Complejidad técnica media - baja. • Vamos a hablar de cosas que me parecen curiosas. No soy un experto. • Preguntad. Introducción Check me out!
Aquel que pregunta es un tonto por cinco minutos, pero el que no pregunta permanece tonto por siempre. - Proverbio chino
Cómo NO guardar contraseñas
Evitar A toda costa • Si puedes evitarlo o dejárselo a otros, mejor. • Usar herramientas como Firebase, oAuth o AWS Cognito que incluyen gestión de usuarios. • Sign In con Google, Facebook, Apple...
Métodos
1. Contraseñas en texto plano email password javierrodriguez@gmail.com password1234 alfoso@alumnos.upm.es miburritosabanero maria@eurielec.etsit.upm.es contraseñasegura lucía@eestec.es password1234
Ventajas • Mandar contraseña por correo si se le olvida al usuario. Guardar las contraseñas en texto plano
Mala idea • Si alguien consigue acceso a la base de datos. • Acceso a sitios donde uséis los mismos usuarios y contraseña. Guardar las contraseñas en texto plano
Ejemplos Guardar las contraseñas en texto plano
Ejemplos cercanos • BBVA pide dos o tres posiciones de tu contraseña. • Santander lo mismo con la firma. • Milanuncios te manda la contraseña por correo si se te olvida. Guardar las contraseñas en texto plano
2. Encriptar contraseñas email password javierrodriguez@gmail.com <encrypted1> alfoso@alumnos.upm.es <encrypted2> maria@eurielec.etsit.upm.es <encrypted3> lucía@eestec.es <encrypted1> password1234 🔑 <encrypted1> 🔒 🔑
Ventajas • Si alguien accede a la base de datos, sólo puede ver cofres, pero no el contenido de cada cofre. Encriptar contraseñas
Mala idea • Cuando se filtra la llave del cofre, volvemos a estar en el caso de contraseñas guardadas en texto plano. • Los usuarios que usen la misma contraseña tendrán el mismo texto encriptado, por lo que no hay que desencriptar de nuevo. Encriptar contraseñas
Ejemplos Encriptar contraseñas • > 38 millones de contraseñas • Incluía pistas (hints)
3. Hashing email password javierrodriguez@gmail.com <hash1> alfoso@alumnos.upm.es <hash2> maria@eurielec.etsit.upm.es <hash3> lucía@eestec.es <hash1> password1234 #️ bed4efa1d4fdbd954bd3705d6a2a7827 0ec9a52ecfbfb010c61862af5c76af1761f feb1aef6aca1bf5d02b3781aa854fabd2b 69c790de74e17ecfec3cb6ac4bf SHA512
Ventajas • En cuanto cambia 1 bit a la entrada, cambia el hash completamente por efecto avalancha. Hashing
Mala idea • La gente que use las mismas contraseñas tendrán los mismos hashes, creando colisiones. • Muchísimos hashes ya calculados. • Rainbow tables: reduce el tiempo de cálculo a cambio de espacio en disco duro. Hashing
3. SALT + Hashing email salt password javierrodriguez@gmail.com <salt1> <hash1> alfoso@alumnos.upm.es <salt2> <hash2> maria@eurielec.etsit.upm.es <salt3> <hash3> lucía@eestec.es <salt4> <hash4> (SALT|password1234) #️ 688cf0f7b2c6fd84e1c6c74fcb0ed12007 4306d9af0987fa50564f50a1c13a1f2fb14 5eb047d95bc591a0ecb7c6d36e1f1eac11 3958eb3a279414ab4e415e894 SHA512
Ventajas • El hash, esta vez sí, es aleatorio para cualquier contraseña, aunque ya se conozca el hash de la contraseña • No existirán colisiones en caso de dos usuarios con la misma contraseña. • Solo queda fuerza bruta. Si el SALT es bueno y el algoritmo de hashing también, es muy complicado. SALT + Hashing
Desventajas, que no mala idea • La gente sigue usando password1234. SALT + Hashing
¿Mucha chapa?
Gestores de contraseñas
Preguntas Para que participéis • ¿Usáis gestor de contraseña? • ¿Crees que es bueno poner todas las contraseñas en el mismo sitio? • ¿Por qué usarías gestor de contraseñas? Nota: vamos a hablar de la seguridad de la implementación teórica. Pero… ¿es el autocompletado seguro? No. Existen forms invisibles con id=”user” e id=”password”.
Alternativas Las buenas y no tan buenas • Utilizar las mismas contraseñas en todos lados. • Anotar las contraseñas en un papel o una nota. • Usar el autocompletar del navegador. • Usar un gestor de contraseñas, que es el punto 2, bien hecho: un vault.
Qué guardan • Logins: usuario, contraseña, URL… (2FA pero NO) • Tarjetas: de débito, crédito, del carrefour... • Notas: de texto plano, normalmente.
But how? Con ayuda de la pizarra Todo tu vault se encripta en tu cliente (teléfono, ordenador) con tu llave y se envía encriptado al servidor. ¿Cómo creamos una llave que el servidor no sepa, pero podamos utilizar? ¿Cómo convencemos al servidor para que nos mande nuestro vault encriptado? Si le mandamos la contraseña, podrían descifrar nuestro vault en el servidor.
Amenazas • Keyloggers. • Autofill. • Que la implementación no sea tan segura como la teoría.
¿Demasiado técnico?
Password cracking
Todas vuestras contraseñas son una mierda y deberíais cambiarlas ahora mismo. - Yo
O sin él 1.Tu contraseña está hasheada. 2.No se puede obtener la contraseña a partir del hash. 3.Hay que probar una entrada, calcular el hash y compararlo. Concepto
1.Muchas de las webs que usamos no saben muy bien lo que hacen. 2.Existen distintos tipos de hashes, pero SHA1 y MD5 son muy vulnerables. SHA512 en adelante son seguros. 3.Conforme aumenta la potencia de cálculo, debe aumentar la seguridad de vuestras contraseñas. A tener en cuenta
Métodos
Fuerza bruta Demo
Diccionarios Demo
Recursos 1.Have I Been Pwned by Troy Hunt 2.Password dumps
Descanso
Contraseñas memorables seguras
¿Por qué? Las contraseñas son difíciles de recordar a no ser que elijas una fácil, en cuyo caso no son seguras. Es necesario 1.Complicada de recordar para un humano. 2.Fácil de averiguar para un ordenador. 3.Literalmente van en nuestra contra. 4.Los intentos de eliminarla, requieren contraseña como backup.
XFCD
🎲 Diceware
Two Factor Authentication
Verificar que eres quien dices ser. Objetivo
Es un subset de Multi Factor Authentication. Concepto Puede ser 1.Algo que sabes (una contraseña, una pregunta de seguridad, etc). 2.Algo que tienes (tu teléfono via app o SMS, tarjeta de coordenadas). 3.Algo que eres (biométrico via retina, huella, cara, voz, etc. Nota: vamos a ignorar el 3 ya que requiere hardware adicional.
Amenazas 1.Saltar completamente el 2FA. 2.No es un reemplazo a las contraseñas seguras. 3.No es usable en todo, a no ser que no te importen grandes inconveniencias. 4.Si el 2FA es SMS, no está encriptado en la base de datos de SMS de la operadora. 5.Perder la app de OTP sin copia de seguridad significa, posiblemente, perder el acceso a la cuenta.
Apps OTP y TOTP

Recommended

Word camp pune 2013 security
Word camp pune 2013 securityWord camp pune 2013 security
Word camp pune 2013 security
Gaurav Singh
 
Password Storage Sucks!
Password Storage Sucks!Password Storage Sucks!
Password Storage Sucks!
nerdybeardo
 
Deadly pixels - NSC 2013
Deadly pixels - NSC 2013Deadly pixels - NSC 2013
Deadly pixels - NSC 2013
Saumil Shah
 
Techniques for password hashing and cracking
Techniques for password hashing and crackingTechniques for password hashing and cracking
Techniques for password hashing and cracking
Nipun Joshi
 
P@ssw0rds
P@ssw0rdsP@ssw0rds
P@ssw0rds
Will Alexander
 
All Your Password Are Belong To Us
All Your Password Are Belong To UsAll Your Password Are Belong To Us
All Your Password Are Belong To Us
Charles Southerland
 
CNIT 124: Ch 9: Password Attacks
CNIT 124: Ch 9: Password AttacksCNIT 124: Ch 9: Password Attacks
CNIT 124: Ch 9: Password Attacks
Sam Bowne
 
BSides Hannover 2015 - Shell on Wheels
BSides Hannover 2015 - Shell on WheelsBSides Hannover 2015 - Shell on Wheels
BSides Hannover 2015 - Shell on Wheels
infodox
 

Recommended

Word camp pune 2013 security
Word camp pune 2013 securityWord camp pune 2013 security
Word camp pune 2013 security
Gaurav Singh
 
Password Storage Sucks!
Password Storage Sucks!Password Storage Sucks!
Password Storage Sucks!
nerdybeardo
 
Deadly pixels - NSC 2013
Deadly pixels - NSC 2013Deadly pixels - NSC 2013
Deadly pixels - NSC 2013
Saumil Shah
 
Techniques for password hashing and cracking
Techniques for password hashing and crackingTechniques for password hashing and cracking
Techniques for password hashing and cracking
Nipun Joshi
 
P@ssw0rds
P@ssw0rdsP@ssw0rds
P@ssw0rds
Will Alexander
 
All Your Password Are Belong To Us
All Your Password Are Belong To UsAll Your Password Are Belong To Us
All Your Password Are Belong To Us
Charles Southerland
 
CNIT 124: Ch 9: Password Attacks
CNIT 124: Ch 9: Password AttacksCNIT 124: Ch 9: Password Attacks
CNIT 124: Ch 9: Password Attacks
Sam Bowne
 
BSides Hannover 2015 - Shell on Wheels
BSides Hannover 2015 - Shell on WheelsBSides Hannover 2015 - Shell on Wheels
BSides Hannover 2015 - Shell on Wheels
infodox
 
Passwords
PasswordsPasswords
Passwords
Kevin OBrien
 
Password Management
Password ManagementPassword Management
Password Management
Rick Chin
 
Breaking vaults: Stealing Lastpass protected secrets
Breaking vaults: Stealing Lastpass protected secretsBreaking vaults: Stealing Lastpass protected secrets
Breaking vaults: Stealing Lastpass protected secrets
Martin Vigo
 
Getting authentication right
Getting authentication rightGetting authentication right
Getting authentication right
Andre N. Klingsheim
 
Passwords
PasswordsPasswords
Passwords
Charles Southerland
 
Applied cryptanalysis - everything else
Applied cryptanalysis - everything elseApplied cryptanalysis - everything else
Applied cryptanalysis - everything else
Vlad Garbuz
 
Why internal pen tests are still fun
Why internal pen tests are still funWhy internal pen tests are still fun
Why internal pen tests are still fun
pyschedelicsupernova
 
Introduction to LavaPasswordFactory
Introduction to LavaPasswordFactoryIntroduction to LavaPasswordFactory
Introduction to LavaPasswordFactory
Christopher Grayson
 
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin VigoBreaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
Shakacon
 
An Introduction to Hashing and Salting
An Introduction to Hashing and SaltingAn Introduction to Hashing and Salting
An Introduction to Hashing and Salting
Rahul Singh
 
User Credential handling in Web Applications done right
User Credential handling in Web Applications done rightUser Credential handling in Web Applications done right
User Credential handling in Web Applications done right
tladesignz
 
Online Self Defense - Passwords
Online Self Defense - PasswordsOnline Self Defense - Passwords
Online Self Defense - Passwords
Barry Caplin
 
Kieon secure passwords theory and practice 2011
Kieon secure passwords theory and practice 2011Kieon secure passwords theory and practice 2011
Kieon secure passwords theory and practice 2011
Kieon
 
How-to crack 43kk passwords while drinking your juice/smoozie in the Hood
How-to crack 43kk passwords while drinking your juice/smoozie in the HoodHow-to crack 43kk passwords while drinking your juice/smoozie in the Hood
How-to crack 43kk passwords while drinking your juice/smoozie in the Hood
Yurii Bilyk
 
Passwords good badugly181212-2
Passwords good badugly181212-2Passwords good badugly181212-2
Passwords good badugly181212-2
Iftach Ian Amit
 
Hash cat
Hash catHash cat
Hash cat
Sreekanth Narendran
 
Iam r31 a (2)
Iam r31 a (2)Iam r31 a (2)
Iam r31 a (2)
SelectedPresentations
 
Securing Passwords
Securing PasswordsSecuring Passwords
Securing Passwords
Mandeep Singh
 
Sharding why,what,when, how
Sharding why,what,when, howSharding why,what,when, how
Sharding why,what,when, how
David Murphy
 
Web security for app developers
Web security for app developersWeb security for app developers
Web security for app developers
Pablo Gazmuri
 
Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
APNIC
 
Securing BGP: Operational Strategies and Best Practices for Network Defenders...
Securing BGP: Operational Strategies and Best Practices for Network Defenders...Securing BGP: Operational Strategies and Best Practices for Network Defenders...
Securing BGP: Operational Strategies and Best Practices for Network Defenders...
APNIC
 

More Related Content

Similar to Lets talk passwords

Passwords
PasswordsPasswords
Passwords
Kevin OBrien
 
Password Management
Password ManagementPassword Management
Password Management
Rick Chin
 
Breaking vaults: Stealing Lastpass protected secrets
Breaking vaults: Stealing Lastpass protected secretsBreaking vaults: Stealing Lastpass protected secrets
Breaking vaults: Stealing Lastpass protected secrets
Martin Vigo
 
Getting authentication right
Getting authentication rightGetting authentication right
Getting authentication right
Andre N. Klingsheim
 
Passwords
PasswordsPasswords
Passwords
Charles Southerland
 
Applied cryptanalysis - everything else
Applied cryptanalysis - everything elseApplied cryptanalysis - everything else
Applied cryptanalysis - everything else
Vlad Garbuz
 
Why internal pen tests are still fun
Why internal pen tests are still funWhy internal pen tests are still fun
Why internal pen tests are still fun
pyschedelicsupernova
 
Introduction to LavaPasswordFactory
Introduction to LavaPasswordFactoryIntroduction to LavaPasswordFactory
Introduction to LavaPasswordFactory
Christopher Grayson
 
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin VigoBreaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
Shakacon
 
An Introduction to Hashing and Salting
An Introduction to Hashing and SaltingAn Introduction to Hashing and Salting
An Introduction to Hashing and Salting
Rahul Singh
 
User Credential handling in Web Applications done right
User Credential handling in Web Applications done rightUser Credential handling in Web Applications done right
User Credential handling in Web Applications done right
tladesignz
 
Online Self Defense - Passwords
Online Self Defense - PasswordsOnline Self Defense - Passwords
Online Self Defense - Passwords
Barry Caplin
 
Kieon secure passwords theory and practice 2011
Kieon secure passwords theory and practice 2011Kieon secure passwords theory and practice 2011
Kieon secure passwords theory and practice 2011
Kieon
 
How-to crack 43kk passwords while drinking your juice/smoozie in the Hood
How-to crack 43kk passwords while drinking your juice/smoozie in the HoodHow-to crack 43kk passwords while drinking your juice/smoozie in the Hood
How-to crack 43kk passwords while drinking your juice/smoozie in the Hood
Yurii Bilyk
 
Passwords good badugly181212-2
Passwords good badugly181212-2Passwords good badugly181212-2
Passwords good badugly181212-2
Iftach Ian Amit
 
Hash cat
Hash catHash cat
Hash cat
Sreekanth Narendran
 
Iam r31 a (2)
Iam r31 a (2)Iam r31 a (2)
Iam r31 a (2)
SelectedPresentations
 
Securing Passwords
Securing PasswordsSecuring Passwords
Securing Passwords
Mandeep Singh
 
Sharding why,what,when, how
Sharding why,what,when, howSharding why,what,when, how
Sharding why,what,when, how
David Murphy
 
Web security for app developers
Web security for app developersWeb security for app developers
Web security for app developers
Pablo Gazmuri
 

Similar to Lets talk passwords (20)

Passwords
PasswordsPasswords
Passwords
 
Password Management
Password ManagementPassword Management
Password Management
 
Breaking vaults: Stealing Lastpass protected secrets
Breaking vaults: Stealing Lastpass protected secretsBreaking vaults: Stealing Lastpass protected secrets
Breaking vaults: Stealing Lastpass protected secrets
 
Getting authentication right
Getting authentication rightGetting authentication right
Getting authentication right
 
Passwords
PasswordsPasswords
Passwords
 
Applied cryptanalysis - everything else
Applied cryptanalysis - everything elseApplied cryptanalysis - everything else
Applied cryptanalysis - everything else
 
Why internal pen tests are still fun
Why internal pen tests are still funWhy internal pen tests are still fun
Why internal pen tests are still fun
 
Introduction to LavaPasswordFactory
Introduction to LavaPasswordFactoryIntroduction to LavaPasswordFactory
Introduction to LavaPasswordFactory
 
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin VigoBreaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
Breaking Vaults - Stealing Lastpass Protected Secrets by Martin Vigo
 
An Introduction to Hashing and Salting
An Introduction to Hashing and SaltingAn Introduction to Hashing and Salting
An Introduction to Hashing and Salting
 
User Credential handling in Web Applications done right
User Credential handling in Web Applications done rightUser Credential handling in Web Applications done right
User Credential handling in Web Applications done right
 
Online Self Defense - Passwords
Online Self Defense - PasswordsOnline Self Defense - Passwords
Online Self Defense - Passwords
 
Kieon secure passwords theory and practice 2011
Kieon secure passwords theory and practice 2011Kieon secure passwords theory and practice 2011
Kieon secure passwords theory and practice 2011
 
How-to crack 43kk passwords while drinking your juice/smoozie in the Hood
How-to crack 43kk passwords while drinking your juice/smoozie in the HoodHow-to crack 43kk passwords while drinking your juice/smoozie in the Hood
How-to crack 43kk passwords while drinking your juice/smoozie in the Hood
 
Passwords good badugly181212-2
Passwords good badugly181212-2Passwords good badugly181212-2
Passwords good badugly181212-2
 
Hash cat
Hash catHash cat
Hash cat
 
Iam r31 a (2)
Iam r31 a (2)Iam r31 a (2)
Iam r31 a (2)
 
Securing Passwords
Securing PasswordsSecuring Passwords
Securing Passwords
 
Sharding why,what,when, how
Sharding why,what,when, howSharding why,what,when, how
Sharding why,what,when, how
 
Web security for app developers
Web security for app developersWeb security for app developers
Web security for app developers
 

Recently uploaded

Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
APNIC
 
Securing BGP: Operational Strategies and Best Practices for Network Defenders...
Securing BGP: Operational Strategies and Best Practices for Network Defenders...Securing BGP: Operational Strategies and Best Practices for Network Defenders...
Securing BGP: Operational Strategies and Best Practices for Network Defenders...
APNIC
 
一比一原版(USYD毕业证)悉尼大学毕业证如何办理
一比一原版(USYD毕业证)悉尼大学毕业证如何办理一比一原版(USYD毕业证)悉尼大学毕业证如何办理
一比一原版(USYD毕业证)悉尼大学毕业证如何办理
k4ncd0z
 
HijackLoader Evolution: Interactive Process Hollowing
HijackLoader Evolution: Interactive Process HollowingHijackLoader Evolution: Interactive Process Hollowing
HijackLoader Evolution: Interactive Process Hollowing
Donato Onofri
 
Should Repositories Participate in the Fediverse?
Should Repositories Participate in the Fediverse?Should Repositories Participate in the Fediverse?
Should Repositories Participate in the Fediverse?
Paul Walk
 
快速办理(Vic毕业证书)惠灵顿维多利亚大学毕业证完成信一模一样
快速办理(Vic毕业证书)惠灵顿维多利亚大学毕业证完成信一模一样快速办理(Vic毕业证书)惠灵顿维多利亚大学毕业证完成信一模一样
快速办理(Vic毕业证书)惠灵顿维多利亚大学毕业证完成信一模一样
3a0sd7z3
 
Discover the benefits of outsourcing SEO to India
Discover the benefits of outsourcing SEO to IndiaDiscover the benefits of outsourcing SEO to India
Discover the benefits of outsourcing SEO to India
davidjhones387
 
怎么办理(umiami毕业证书)美国迈阿密大学毕业证文凭证书实拍图原版一模一样
怎么办理(umiami毕业证书)美国迈阿密大学毕业证文凭证书实拍图原版一模一样怎么办理(umiami毕业证书)美国迈阿密大学毕业证文凭证书实拍图原版一模一样
怎么办理(umiami毕业证书)美国迈阿密大学毕业证文凭证书实拍图原版一模一样
rtunex8r
 
快速办理(新加坡SMU毕业证书)新加坡管理大学毕业证文凭证书一模一样
快速办理(新加坡SMU毕业证书)新加坡管理大学毕业证文凭证书一模一样快速办理(新加坡SMU毕业证书)新加坡管理大学毕业证文凭证书一模一样
快速办理(新加坡SMU毕业证书)新加坡管理大学毕业证文凭证书一模一样
3a0sd7z3
 
一比一原版新西兰林肯大学毕业证(Lincoln毕业证书)学历如何办理
一比一原版新西兰林肯大学毕业证(Lincoln毕业证书)学历如何办理一比一原版新西兰林肯大学毕业证(Lincoln毕业证书)学历如何办理
一比一原版新西兰林肯大学毕业证(Lincoln毕业证书)学历如何办理
thezot
 
Bengaluru Dreamin' 24 - Personal Branding
Bengaluru Dreamin' 24 - Personal BrandingBengaluru Dreamin' 24 - Personal Branding
Bengaluru Dreamin' 24 - Personal Branding
Tarandeep Singh
 
办理新西兰奥克兰大学毕业证学位证书范本原版一模一样
办理新西兰奥克兰大学毕业证学位证书范本原版一模一样办理新西兰奥克兰大学毕业证学位证书范本原版一模一样
办理新西兰奥克兰大学毕业证学位证书范本原版一模一样
xjq03c34
 

Recently uploaded (12)

Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
Honeypots Unveiled: Proactive Defense Tactics for Cyber Security, Phoenix Sum...
 
Securing BGP: Operational Strategies and Best Practices for Network Defenders...
Securing BGP: Operational Strategies and Best Practices for Network Defenders...Securing BGP: Operational Strategies and Best Practices for Network Defenders...
Securing BGP: Operational Strategies and Best Practices for Network Defenders...
 
一比一原版(USYD毕业证)悉尼大学毕业证如何办理
一比一原版(USYD毕业证)悉尼大学毕业证如何办理一比一原版(USYD毕业证)悉尼大学毕业证如何办理
一比一原版(USYD毕业证)悉尼大学毕业证如何办理
 
HijackLoader Evolution: Interactive Process Hollowing
HijackLoader Evolution: Interactive Process HollowingHijackLoader Evolution: Interactive Process Hollowing
HijackLoader Evolution: Interactive Process Hollowing
 
Should Repositories Participate in the Fediverse?
Should Repositories Participate in the Fediverse?Should Repositories Participate in the Fediverse?
Should Repositories Participate in the Fediverse?
 
快速办理(Vic毕业证书)惠灵顿维多利亚大学毕业证完成信一模一样
快速办理(Vic毕业证书)惠灵顿维多利亚大学毕业证完成信一模一样快速办理(Vic毕业证书)惠灵顿维多利亚大学毕业证完成信一模一样
快速办理(Vic毕业证书)惠灵顿维多利亚大学毕业证完成信一模一样
 
Discover the benefits of outsourcing SEO to India
Discover the benefits of outsourcing SEO to IndiaDiscover the benefits of outsourcing SEO to India
Discover the benefits of outsourcing SEO to India
 
怎么办理(umiami毕业证书)美国迈阿密大学毕业证文凭证书实拍图原版一模一样
怎么办理(umiami毕业证书)美国迈阿密大学毕业证文凭证书实拍图原版一模一样怎么办理(umiami毕业证书)美国迈阿密大学毕业证文凭证书实拍图原版一模一样
怎么办理(umiami毕业证书)美国迈阿密大学毕业证文凭证书实拍图原版一模一样
 
快速办理(新加坡SMU毕业证书)新加坡管理大学毕业证文凭证书一模一样
快速办理(新加坡SMU毕业证书)新加坡管理大学毕业证文凭证书一模一样快速办理(新加坡SMU毕业证书)新加坡管理大学毕业证文凭证书一模一样
快速办理(新加坡SMU毕业证书)新加坡管理大学毕业证文凭证书一模一样
 
一比一原版新西兰林肯大学毕业证(Lincoln毕业证书)学历如何办理
一比一原版新西兰林肯大学毕业证(Lincoln毕业证书)学历如何办理一比一原版新西兰林肯大学毕业证(Lincoln毕业证书)学历如何办理
一比一原版新西兰林肯大学毕业证(Lincoln毕业证书)学历如何办理
 
Bengaluru Dreamin' 24 - Personal Branding
Bengaluru Dreamin' 24 - Personal BrandingBengaluru Dreamin' 24 - Personal Branding
Bengaluru Dreamin' 24 - Personal Branding
 
办理新西兰奥克兰大学毕业证学位证书范本原版一模一样
办理新西兰奥克兰大学毕业证学位证书范本原版一模一样办理新西兰奥克兰大学毕业证学位证书范本原版一模一样
办理新西兰奥克兰大学毕业证学位证书范本原版一模一样
 

Lets talk passwords

  • 1. Let’s talk passwords Jaime Conde Segovia @jaimeconds Let’s talk passwords
  • 2. • Complejidad técnica media - baja. • Vamos a hablar de cosas que me parecen curiosas. No soy un experto. • Preguntad. Introducción Check me out!
  • 3. Aquel que pregunta es un tonto por cinco minutos, pero el que no pregunta permanece tonto por siempre. - Proverbio chino
  • 5. Evitar A toda costa • Si puedes evitarlo o dejárselo a otros, mejor. • Usar herramientas como Firebase, oAuth o AWS Cognito que incluyen gestión de usuarios. • Sign In con Google, Facebook, Apple...
  • 7. 1. Contraseñas en texto plano email password javierrodriguez@gmail.com password1234 alfoso@alumnos.upm.es miburritosabanero maria@eurielec.etsit.upm.es contraseñasegura lucía@eestec.es password1234
  • 8. Ventajas • Mandar contraseña por correo si se le olvida al usuario. Guardar las contraseñas en texto plano
  • 9. Mala idea • Si alguien consigue acceso a la base de datos. • Acceso a sitios donde uséis los mismos usuarios y contraseña. Guardar las contraseñas en texto plano
  • 11. Ejemplos cercanos • BBVA pide dos o tres posiciones de tu contraseña. • Santander lo mismo con la firma. • Milanuncios te manda la contraseña por correo si se te olvida. Guardar las contraseñas en texto plano
  • 12. 2. Encriptar contraseñas email password javierrodriguez@gmail.com <encrypted1> alfoso@alumnos.upm.es <encrypted2> maria@eurielec.etsit.upm.es <encrypted3> lucía@eestec.es <encrypted1> password1234 🔑 <encrypted1> 🔒 🔑
  • 13. Ventajas • Si alguien accede a la base de datos, sólo puede ver cofres, pero no el contenido de cada cofre. Encriptar contraseñas
  • 14. Mala idea • Cuando se filtra la llave del cofre, volvemos a estar en el caso de contraseñas guardadas en texto plano. • Los usuarios que usen la misma contraseña tendrán el mismo texto encriptado, por lo que no hay que desencriptar de nuevo. Encriptar contraseñas
  • 15. Ejemplos Encriptar contraseñas • > 38 millones de contraseñas • Incluía pistas (hints)
  • 16. 3. Hashing email password javierrodriguez@gmail.com <hash1> alfoso@alumnos.upm.es <hash2> maria@eurielec.etsit.upm.es <hash3> lucía@eestec.es <hash1> password1234 #️ bed4efa1d4fdbd954bd3705d6a2a7827 0ec9a52ecfbfb010c61862af5c76af1761f feb1aef6aca1bf5d02b3781aa854fabd2b 69c790de74e17ecfec3cb6ac4bf SHA512
  • 17. Ventajas • En cuanto cambia 1 bit a la entrada, cambia el hash completamente por efecto avalancha. Hashing
  • 18. Mala idea • La gente que use las mismas contraseñas tendrán los mismos hashes, creando colisiones. • Muchísimos hashes ya calculados. • Rainbow tables: reduce el tiempo de cálculo a cambio de espacio en disco duro. Hashing
  • 19. 3. SALT + Hashing email salt password javierrodriguez@gmail.com <salt1> <hash1> alfoso@alumnos.upm.es <salt2> <hash2> maria@eurielec.etsit.upm.es <salt3> <hash3> lucía@eestec.es <salt4> <hash4> (SALT|password1234) #️ 688cf0f7b2c6fd84e1c6c74fcb0ed12007 4306d9af0987fa50564f50a1c13a1f2fb14 5eb047d95bc591a0ecb7c6d36e1f1eac11 3958eb3a279414ab4e415e894 SHA512
  • 20. Ventajas • El hash, esta vez sí, es aleatorio para cualquier contraseña, aunque ya se conozca el hash de la contraseña • No existirán colisiones en caso de dos usuarios con la misma contraseña. • Solo queda fuerza bruta. Si el SALT es bueno y el algoritmo de hashing también, es muy complicado. SALT + Hashing
  • 21. Desventajas, que no mala idea • La gente sigue usando password1234. SALT + Hashing
  • 24. Preguntas Para que participéis • ¿Usáis gestor de contraseña? • ¿Crees que es bueno poner todas las contraseñas en el mismo sitio? • ¿Por qué usarías gestor de contraseñas? Nota: vamos a hablar de la seguridad de la implementación teórica. Pero… ¿es el autocompletado seguro? No. Existen forms invisibles con id=”user” e id=”password”.
  • 25. Alternativas Las buenas y no tan buenas • Utilizar las mismas contraseñas en todos lados. • Anotar las contraseñas en un papel o una nota. • Usar el autocompletar del navegador. • Usar un gestor de contraseñas, que es el punto 2, bien hecho: un vault.
  • 26. Qué guardan • Logins: usuario, contraseña, URL… (2FA pero NO) • Tarjetas: de débito, crédito, del carrefour... • Notas: de texto plano, normalmente.
  • 27. But how? Con ayuda de la pizarra Todo tu vault se encripta en tu cliente (teléfono, ordenador) con tu llave y se envía encriptado al servidor. ¿Cómo creamos una llave que el servidor no sepa, pero podamos utilizar? ¿Cómo convencemos al servidor para que nos mande nuestro vault encriptado? Si le mandamos la contraseña, podrían descifrar nuestro vault en el servidor.
  • 28. Amenazas • Keyloggers. • Autofill. • Que la implementación no sea tan segura como la teoría.
  • 31. Todas vuestras contraseñas son una mierda y deberíais cambiarlas ahora mismo. - Yo
  • 32. O sin él 1.Tu contraseña está hasheada. 2.No se puede obtener la contraseña a partir del hash. 3.Hay que probar una entrada, calcular el hash y compararlo. Concepto
  • 33. 1.Muchas de las webs que usamos no saben muy bien lo que hacen. 2.Existen distintos tipos de hashes, pero SHA1 y MD5 son muy vulnerables. SHA512 en adelante son seguros. 3.Conforme aumenta la potencia de cálculo, debe aumentar la seguridad de vuestras contraseñas. A tener en cuenta
  • 37. Recursos 1.Have I Been Pwned by Troy Hunt 2.Password dumps
  • 40. ¿Por qué? Las contraseñas son difíciles de recordar a no ser que elijas una fácil, en cuyo caso no son seguras. Es necesario 1.Complicada de recordar para un humano. 2.Fácil de averiguar para un ordenador. 3.Literalmente van en nuestra contra. 4.Los intentos de eliminarla, requieren contraseña como backup.
  • 41. XFCD
  • 44. Verificar que eres quien dices ser. Objetivo
  • 45. Es un subset de Multi Factor Authentication. Concepto Puede ser 1.Algo que sabes (una contraseña, una pregunta de seguridad, etc). 2.Algo que tienes (tu teléfono via app o SMS, tarjeta de coordenadas). 3.Algo que eres (biométrico via retina, huella, cara, voz, etc. Nota: vamos a ignorar el 3 ya que requiere hardware adicional.
  • 46.
  • 47. Amenazas 1.Saltar completamente el 2FA. 2.No es un reemplazo a las contraseñas seguras. 3.No es usable en todo, a no ser que no te importen grandes inconveniencias. 4.Si el 2FA es SMS, no está encriptado en la base de datos de SMS de la operadora. 5.Perder la app de OTP sin copia de seguridad significa, posiblemente, perder el acceso a la cuenta.
  • 48.
  • 49. Apps OTP y TOTP