Análisis estadístico de las contraseñas robadas en Hotmail

Seba Bortnik —  7 octubre 2009 — 4 comentarios

A nivel seguridad, podríamos decir que la noticia de la semana fueron las 10,000 cuentas de hotmail que fueron publicadas en un sitio web junto a su usuario y contraseña. La noticia no posee mucho más profundidad que lo ya dicho: un atacante obtuvo datos de acceso de miles de cuentas y los publicó de forma anónima en un sitio web. Vale destacar que en la misma semana se publicaron también datos de cuentas de Gmail, AOL, Yahoo!, y otros.

Algunos datos supuestos pero aún no confirmados: ambos ataques fueron realizados por la misma persona o grupo, y los datos fueron obtenidos principalmente por ataques de Phishing.

En el sitio Acunetix han obtenido ese listado de 10,028 (este es el número exacto) cuentas de correo, y han realizado un análisis estadístico de las contraseñas de estas cuentas, que comparto junto a su análisis a continuación.

Datos generales

De las 9843 contraseñas válidas del listado (eliminado aquellas en blanco), se detectaron 8931 claves únicas en la lista (el 90%). Este es un dato ya de entrada poco alentador: 1 de cada 10 usuarios utilizan una contraseña “genérica” (por decirlo de alguna forma). Es decir, una contraseña que también es utilizada por otra persona.

La contraseña más larga del listado es “lafaroleratropezoooooooooooooo” (30 caracteres). La más corta: “)” (¡1 solo!).

Contraseñas más utilizadas

El listado de las contraseñas más utilizadas posee el siguiente TOP 10:

  1. 123456 – 64
  2. 123456789 – 18
  3. alejandra – 11
  4. 111111 – 10
  5. alberto – 9
  6. tequiero – 9
  7. alejandro – 9
  8. 12345678 – 9
  9. 1234567 – 8
  10. estrella – 7

Para completar el TOP 20 aparecen también: iloveyou, daniel, 000000, roberto, 654321, bonita, sebastian, beatriz, mariposa, america .

La primer conclusión interesante (¿?) que resulta de estos datos es que claramente las víctimas eran hispano parlantes, o al menos la mayoría de estas. Con lo cual uno piensa: el español no es el idioma más hablado del planeta y aún así se publicaron más de 30,000 datos de usuarios que cayeron en la trampa otorgando sus datos de acceso. ¿Cuántos habría si se atacara un idioma más hablado como el inglés o el chino?

Además, habla a las claras de la falta de conciencia en materia de seguridad informática que existe en los países latinos e hispanos.

Como última conclusión: mi nombre es más común de lo que esperaba, siendo solo superado por alejandr@, alberto, daniel y roberto. :mrgreen:

Longitud de las contraseñas

De los datos presentados en el post original se desprende lo siguiente:

  1. La gran mayoría de las contraseñas tenían entre 6 y 9 caracteres.
  2. El 37% de los usuarios tenían contraseñas menores a 8 caracteres (valor recomendado).
  3. Más del 60% de los usuarios poseen contraseñas con más de 8 caracteres.

Estas estadísticas parecen hablar bien de los usuarios, aunque vale también recordar que una de las pocas medidas de seguridad de Hotmail es avisar a los usuarios (al menos aquellos cuyas cuentas sean medianamente nuevas) sobre lo “fuerte” de su contraseña, siendo un valor preponderante la longitud de la misma.

Fortaleza de las contraseñas

Estas son las estadísticas publicadas respecto a la seguridad de las contraseñas:

  • El 42% de las contraseñas utilizaban solo caracteres alfabéticos en letra minúscula (a-z).
  • El 3% utilizaban caracteres alfabéticos en letras mayúsculas y minúsculas (a-z;A-Z).
  • El 19% son passwords que contienen solo números (0-9).
  • El 30% mezclan caracteres alfabéticos y numéricos (a-z;A-Z;0-9).
  • El 6% agregan a la descripción anterior, otro tipo de caracteres (a-z;A-Z;0-9;@#-?_&% …)

Como se puede observar, a pesar de utilizar longitudes correctas, como se indicó en la sección anterior, todavía gran parte de los usuarios poseen contraseñas débiles, en su mayoría sin mezclar tipos de caracteres. Consejos elementales respecto a cómo crear una contraseña fuerte no son siquiera conocidos por la gran mayoría de los usuarios.

Conclusión

En resumen, el camino para que la gente utilice contraseñas como se debe es aún muy largo, y hay mucho trabajo por hacer en materia de educación.

Queda claro que las contraseñas siguen siendo importantes en lo que respecta a seguridad, y muchos usuarios aún no se han enterado.

Para cerrar, pueden ver el resto de lo post del blog sobre contraseñas que he escrito en el blog, especialmente si necesitas no caer en los problemas mencionados en el post. 😉

Sebastián

Anuncios

4 comentarios para Análisis estadístico de las contraseñas robadas en Hotmail

  1. 

    Lo peor es que hay gente que no comprende la importancia de la seguridad… Respuestas como “total, ¿a quién le va a interesar leer mi mail?” son frecuentes. No entienden que buena parte de nuestra vida ya se vive en la Web, y esto va in crescendo…
    Es como si día por medio cayera la policía con una orden de allanamiento a tu casa, y vos dijeras “total, no tengo nada que ocultar…”

  2. 
    Johanna Cuba V. 8 octubre 2009 en 14:59

    Considero que el problema de los usuarios o es solo en cultura respecto a contraseñas sino a seguridad en general; así como vemos contraseñas deducibles, vemos también perfiles de facebook totalmente expuestos y con toda la información personal e incluso de sus contactos.

  3. 

    Creo que te aventuras demasiado al decir que esto demuestra el nivel de concienciación de los usuarios hispanos y latinos. Yo diría que esto demuestra el bajo nivel de concienciación de los usuarios que han caído en un phising y han proporcionado su contraseña. Y me imagino que usuarios con esa falta de concienciación los hay en todos los sitios pero el phising estaba dirigido a usuarios de habla hispana.

  4. 

    Viendo ahora las estadisticas, es muy probable que solo usaran una biblioteca de claves (Bastante triste, o tal vez solo unas 10 claves obvias) sobre una base de datos de correos para spam y Bang! publicaron las 100 000 Claves violadas…

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s