Debido a la gran cantidad de filtraciones de contraseñas que han tenido lugar en los últimos años, a Google se le ocurrió en 2008 un sistema de bloqueo con patrones, en el que nos utilizaban los números sino una serie de combinaciones mediante un teclado en el que se utilizan formas.

Un estudio de un grupo de trabajo liderado por Marte Loge, de la Universidad de Ciencias de Noruega, han determinado que este tipo de contraseña sigue un tipo de patrón que está establecido por un sistema de reglas predecibles que a menudo pueden ser desentrañadas con suma facilidad. El equipo de Marte Loge recogió casi 4000 tipos de patrones y los analizó como parte de su tesis doctoral.

Marte Loge, autora del estudio

Los resultados son realmente sorprendentes: se encontró que un gran porcentaje de ellos, el 44%, se inicia en la parte superior izquierda de la pantalla, mientras que un 77% si en una de las cuatro esquinas. Otro dato interesante es que el número promedio de nodos es de cinco, por lo que el número de combinaciones se reduce a tan sólo 9000 posibles patrones. Un porcentaje significativo de patrones contenía tan sólo cuatro nodos por lo que el número de combinaciones posibles se reduce a sólo 1624. Otro dato esclarecedor es que un número importante de patrones de nodos se movían de izquierda a derecha y de arriba a abajo, otro factor que hace posible la rotura del código.

Los resultados han sido presentados por Marte Loge la semana pasada en una conferencia en Las Vegas que llevaba el esclarecedor título de: “Dime quién eres y te diré tu patrón de bloqueo”. En palabras de Loge “estamos descubriendo los mismos aspectos utilizados a criar un patrón de bloqueos como los utilizan los códigos pin o las contraseñas alfanuméricas…”

Los patrones de contraseña pueden tener un mínimo de cuatro nodos y máximo de nueve, por lo que hay 389.112 combinaciones posibles. Esto es algo similar a lo que ocurre con las contraseñas, el número de combinaciones crece exponencialmente con la longitud de la misma.

Como parte de su estudio, Loge pidió crear tres tipos de combinaciones diferentes. La primera para una aplicación comercial, la segunda para una bancaria, y la tercera para desbloquear un teléfono. El descubrimiento fue esclarecedor, el patrón de cuatro nodos fue el más ampliamente utilizado, seguido por el de cinco. Curiosamente, el patrón de ocho nodos fue el menos utilizado. Los hombres, en la parte superior de la estadística, fueron más propensos a utilizar combinaciones de nodos más largas que las mujeres, en la parte inferior de la estadística.

Ejemplo de uso de patrones. Hombres en la linea superior y mujeres en el alinea inferior

Otra de las conclusiones del estudio de Loge fue que el número de nodos no es el único elemento que determina la susceptibilidad de la contraseña a los ataques. La secuencia específica de nodos también es la clave en la complejidad del patrón por lo que se recomienda que el número de nodos sea largo pero que también el patrón sea enrevesado y tenga frecuentes cambios de dirección.

Durante años, las constantes violaciones de las contraseñas han demostrado que hay diferentes tipos de combinaciones que son muy fáciles de violar, por ejemplo “123456”, “contraseña”, “password”.  El estudio también averiguó que hay un 10% de contraseñas que usan como patrón la letra del primer nombre de un familiar, un hijo o el cónyuge, lo que un atacante puede tener una probabilidad entre 10 de averiguar un patrón de bloqueo; este número puede reducirse si el atacante conoce los nombres de las personas cercanas al sujeto atacado. “Fue muy divertido ver que la gente usa el mismo tipo de estrategias para recordar un patrón y una contraseña, (…) Se puede ver el mismo tipo de comportamiento”.

Uso de iniciales en los patrones de bloqueo

Fuente: ARSTECHNICA.

Comentarios

comentarios