¿Son las contraseñas lo suficientemente sólidas para proteger tus bitcoins?

En esta era de hackeos y escándalos, ¿son las contraseñas realmente capaces de proteger tus bitcoins?

Cada dirección de Bitcoin tiene una clave privada correspondiente, que permite al propietario gastar los bitcoins que contiene, pero esta clave privada también necesita protección.

La clave privada para su dirección pública de Bitcoin es crucial, porque sin ella, no podrá... perder el acceso a tus monedas. Sin embargo, no puedes KEEP esta clave en tu cabeza porque es una larga cadena de galimatías alfanuméricos, que resulta bastante poco práctica de memorizar.

Algunas personas protegen sus bitcoins almacenándolos encarteras de papel, integrándolos en un código QR impreso que se puede escanear cuando sea necesario. Es una buena opción, pero deja la clave privada físicamente vulnerable a robos, incendios o café.

Otra opción es usar contraseñas cifradas, una función que incluyen algunas billeteras de Bitcoin . Las contraseñas también pueden usarse para proteger otros activos importantes relacionados con bitcoin, como cuentas en una plataforma de intercambio. Sin embargo, el problema es que las contraseñas T son tan seguras: suelen ser mucho más fáciles de descifrar de lo que cabría esperar.

Información memorable

El software de descifrado de contraseñas utiliza ataques de diccionario para acceder a las contraseñas por fuerza bruta, probando millones de combinaciones de palabras conocidas. Por lo tanto, es ingenuo usar "contraseña", "12345" o el nombre de su perro como contraseña: alguien, en algún lugar, probablemente lo tendrá en una lista, a menos que su perro se llame "8%tRuiy0P" en lugar de "Buffy".

Este Artículo de Ars Technicaexplica cómo los descifradores de contraseñas relativamente ingenuos pueden usar diccionarios para intentar reconstruir las contraseñas de los usuarios.

Pero espera: tu exchange en línea o billetera web encripta tu contraseña, por lo que ya estás protegido, ¿verdad?

No estés tan seguro. Muchas aplicaciones que almacenan contraseñas utilizan una función hash, que pasa la contraseña por un cálculo matemático para generar una cadena de caracteres llamada hash. El software luego almacena ese hash.

[cita posterior]

Cada vez que alguien intenta obtener acceso a algo ingresando una contraseña (por ejemplo, una clave privada de Bitcoin o una cuenta en un exchange), el software ejecuta la contraseña a través de la misma función hash y luego compara la cadena producida con la cadena que se almacenó originalmente.

No hay dos contraseñas que produzcan el mismo hash, por lo que, en teoría, solo las personas con acceso a la contraseña podrían producir una coincidencia.

Sin embargo, como una contraseña particular siempre producirá el mismo hash, los descifradores de contraseñas pueden simplemente convertir en hash todas las palabras en sus diccionarios, para producir lo que se conoce como una tabla arcoíris.

Se trata de una colección de millones de hashes, con referencias cruzadas a las contraseñas que los generaron. Así es como los ladrones de contraseñas, como aquellos que...robó la lista de hashes de LinkedInPodrían descifrar las contraseñas. Existen técnicas, como el uso de contraseñas con sal y el uso de contraseñas más largas, que pueden dificultar considerablemente este proceso de búsqueda, pero aun así son útiles para quienes descifran contraseñas.

Incluso las contraseñas o frases de contraseña aparentemente ingeniosas que usas para proteger tu billetera de Bitcoin pueden ser vulnerables a ataques. ¿Esa idea de usar letras al azar o sustituir el número "1" por una "l" o una "i"? Olvídalo. El software tiene reglas para probarlo.

Algunas personas más inteligentes usarán dos o tres palabras unidas, quizás con un número o una letra extraviada. “Unngrybadger1125” "Suena como una gran contraseña, ¿ no ?"Cuando era niño siempre quise ser astronauta.Suena aún mejor. Pero estas contraseñas no son invencibles.

Potencia y eficiencia

El problema, comodelineadopor Joseph Bonneau de la Universidad de Cambridge, ycitadoSegún el gurú de seguridad Bruce Schneier, hoy en día el descifrado de contraseñas es una función de dos cosas: potencia y eficiencia.

El primero implica destinar potencia informática a algo (trabajar más duro), mientras que el segundo implica utilizar modelos de coincidencia de palabras más sofisticados (trabajar de forma más inteligente).

Algunas personas incluso hansitios web minadospara intentar encontrar palabras y contraseñas relacionadas con intereses especiales que puedan agregarse a listas y usarse para ampliar esos enormes diccionarios.

“Las contraseñas son la democracia de las tecnologías de autenticación: son lo peor que existe, excepto por todo lo demás”, dice Dan Kaminsky, investigador de seguridad.más famoso por encontrarlo que equivalió a una vulnerabilidad de día cero para toda la web en forma de una vulnerabilidad de DNS en 2008.

Así que, si pensabas que tu contraseña obstaculizaba tu clave privada y a un ejército de delincuentes en línea, piénsalo de nuevo. Pero la cuestión es que probablemente disuadirán a suficientes personas como para que aún merezcan la pena.

“La realidad es que es muy probable que las contraseñas funcionen en el campo, por eso somos adictos a ellas”, dice Kaminsky.

Mike Hearn

, ONE de los CORE desarrolladores de Bitcoin, coincide. Pone como ejemplo un malware que roba billeteras y que circulaba hace tiempo.

Añadir cifrado de billetera basado en contraseñas puso fin a eso, aunque, en teoría, no debería funcionar muy bien. Un malware bien diseñado puede registrar tus pulsaciones de teclas y robar la contraseña, mientras que las contraseñas débiles pueden ser forzadas por fuerza bruta.

Continúa: “Pero en la práctica, parece haber elevado el listón lo suficiente como para ganar tiempo para el desarrollo de técnicas más fuertes, como el Trezor”.

Trezor

Es un dispositivo de hardware diseñado para almacenar una clave maestra para acceder a su billetera de Bitcoin , que nunca divulga ningún secreto a la máquina anfitriona. Hearn espera que este producto, o sus sucesores, evolucionen hacia herramientas de seguridad más generales en el futuro.

“Una pantalla segura, una CPU y botones portátiles son justo lo que se necesita para resolver muchos problemas de seguridad complejos”.

Kaminsky también está de acuerdo en que la moneda de hardware que se está creando para proteger a los usuarios de Bitcoin será útil para otros problemas de seguridad: "No tengo nada que pueda recomendar directamente, pero espero que eso cambie en unos pocos meses", dice.

Autenticación de dos factores

El hardware ya se ha utilizado para protección, por supuesto. La autenticación de dos factores (algo que sabes, más algo que tienes) es un pilar de la seguridad convencional.

La biometría (algo que eres) también se ha utilizado para autenticar a personas, otorgándoles acceso a recursos privilegiados. Sin embargo, ambas tecnologías están plagadas de problemas, ambos relacionados con la NSA.

Recientemente surgieron informes

que los dispositivos iOS de Apple están sujetos a ataques por parte de la NSA, que ha desarrollado un malware que puede implantarse en ONE de los dispositivos de la compañía y utilizarse para acceder a su funcionamiento interno.

Todavía no está claro si esto permitiría a un atacante acceder a la información biométrica de huellas dactilares en el último iPhone, pero entonces, Los hackers ya han comprometido esto, lo que lo hace en gran medida discutible.

Lo que es más preocupante es que la Tecnología de cifrado desarrollada por RSA Ahora se sospechaser pirateados por la NSA, poniendo en riesgo grandes franjas de la infraestructura actualmente en uso.RSA niega la colusión, pero esto no augura nada bueno para al menos algunas formas comúnmente utilizadas de 2FA.

“La 2FA es más importante que la RSA”, protesta Kaminsky, y añade:

“Podría ser lo mismo que preguntar si la seguridad ha terminado, porque ahora sabemos que una empresa de seguridad puede o no saber (no tenemos idea) que estaban siendo utilizadas de esta manera”.

Es cierto, pero surge la pregunta: si RSA fue víctima de una puerta trasera, ¿a quién más accedió la NSA? ¿Y en quién podemos confiar la protección 2FA?

“Existen varias propuestas para 2FA, muchas de ellas de código abierto (como la de Google)Autenticador) y, por lo tanto, es menos probable que oculten una puerta trasera", afirma Sergio Lerner, experto en seguridad y colaborador frecuente en las iniciativas de seguridad de Bitcoin. El software de Trezor también es de código abierto.

“Y si temes que la 2FA no sea suficiente, puedes usar la 3FA (un token, una aplicación de OTP para smartphone y una contraseña)”, dice. Esta autenticación multicanal fuera de banda es una característica deLa billetera segura de BitGo.

Gato y ratón

La seguridad nunca es un juego de suma cero. Es un juego constante del gato y el ratón, entre quienes intentan proteger los sistemas y quienes intentan vulnerarlos.

Existen alternativas a las contraseñas que pueden funcionar, pero la transparencia en el diseño es clave. Además, es poco probable que desaparezcan, lo que significa que tendremos que encontrar la manera de intentar usarlas correctamente.

Schneier tiene algunos buenos consejos aquí: "“Cuando era niño, SIEMPRE quise ser piloto de aerolínea” No es una gran opción, pero puedes convertirla en una contraseña que probablemente no aparezca en ninguna tabla, tomando las primeras letras de las palabras, siempre que el software o la aplicación en línea permitan el formato que produce.

"WIwab,IAw2ba@p”debería KEEP engañados por al menos un poco más de tiempo (no uses esto ahora, elige el tuyo propio), pero aún es fácil de recordar si sabes la frase de donde proviene.

Si está almacenando suficiente dinero en una dirección de Bitcoin como para que le doliera perderlo, y no está disponible la autenticación de dos factores (2FA) de código abierto, esas precauciones parecen valer la pena, ¿ no es así?

Imagen de candadovía Shutterstock