Google ha publicado los resultados de un estudio a gran escala sobre los hábitos de contraseña que muestra por qué los piratas informáticos usan ataques de rociamiento de contraseña en cuentas en línea: muchos usuarios se quedan con la misma contraseña, incluso cuando se les advierte que se ha visto comprometida
El rociado de contraseñas se ha convertido en una técnica efectiva para la fuerza bruta o adivinar contraseñas, así como para eludir los sistemas que bloquean cuentas después de demasiadas conjeturas erróneas.
El gobierno de EE. UU. Advirtió recientemente que los piratas informáticos iraníes han estado utilizando el método para implementar malware destructivo en los sistemas, y los piratas informáticos lo utilizaron para establecerse en la empresa de tecnología Citrix y desde allí robar 6 TB de información.
La técnica consiste en reunir una gran cantidad de nombres de usuario de cuenta e iniciar sesión con una pequeña cantidad de las peores contraseñas, en el supuesto de que algún porcentaje del grupo objetivo haya utilizado una de ellas.
La investigación de Microsoft encontró que los cinco principales utilizados en los ataques de rociado de contraseña son '123456', 'contraseña', '000000', '1qaz2wsx' y 'a123456'.
Los datos de Google sobre hábitos de contraseña provienen de su estudio de cada uno de los 670,000 usuarios de Chrome que instalaron su extensión Password Checkup .
Google lanzó Password Checkup en febrero , haciendo comparaciones con el servicio de alerta de incumplimiento Firefox Monitor , que utiliza credenciales comprometidas recopiladas por Have I Been Pwned.
La diferencia clave es que al iniciar sesión, la comprobación de contraseña de Google advierte a los usuarios si las credenciales que están utilizando se encuentran entre los cuatro mil millones que Google sabe que se han visto comprometidas.
Google descubrió que el 1.5% de más de 21 mil millones de intentos de inicio de sesión se basan en una credencial violada , que se utilizaron en aproximadamente 746,000 dominios diferentes.
La categoría más grande, en términos de inicios de sesión que usan credenciales comprometidas, es la transmisión de videos y sitios pornográficos donde los usan del 3.6% al 6.3%. Pero también encontró 0.2% en el gobierno, 0.3% en finanzas, 0.5% en correo electrónico, 1.2% en compras y 1.9% en noticias.
En cuanto a cómo los usuarios responden a las alertas de violación de contraseña, el estudio encontró resultados mixtos. Google descubrió que el 25.7% de sus alertas, un total de 81,368, no provocó un cambio de contraseña de los usuarios. Sin embargo, también descubrió que el 26.1% de las alertas, un total de 82,761, resultó en un cambio de contraseña.
Los cambios de contraseña resultantes son mixtos, pero condujeron abrumadoramente a una contraseña más segura. Google descubrió que el 60% de las contraseñas modificadas no son vulnerables a los ataques de adivinanzas, mientras que el resto sí lo son. Y el 94% de las nuevas contraseñas son al menos más fuertes que las antiguas, incluso si una gran parte aún es adivinable.
Los investigadores de Google argumentan en el documento que su extensión de Chrome es superior a Have I Been Pwned y Firefox Monitor, y afirman que los atacantes podrían explotar servicios como estos.
"En la actualidad, estos servicios hacen una variedad de compensaciones que abarcan la privacidad del usuario, la precisión y los riesgos involucrados al compartir detalles de cuentas aparentemente privadas a través de canales públicos no autenticados", dijeron los investigadores.
Una consecuencia de estas compensaciones es que los usuarios pueden recibir consejos de corrección inexactos debido a falsos positivos, dicen.
"Por ejemplo, tanto Firefox como LastPass verifican el estado de incumplimiento de los nombres de usuario para alentar el restablecimiento de la contraseña, pero carecen de contexto sobre si la contraseña del usuario estuvo realmente expuesta para un sitio específico o si se restableció previamente", dice Google.
Fecha actualización el 2021-08-17. Fecha publicación el 2019-08-17. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: zdnet Version movil