08 febrero 2013

Malditas claves


Necesitaba recibir una transferencia bancaria en mi tarjeta de débito del Banco del Estado (Cuenta RUT) pero resultó que mi cuenta estaba bloqueada "por razones de seguridad". Luego de ir al banco y una hora esperando, me preguntaron por que estaba bloqueada, resulta que la saqué hace un par de años y no la había usado nunca, tal vez fue por eso. Finalmente me dieron un papelito para que cambiara la contraseña y después de unos 10 intentos conseguí un papel que decía que la había cambiado con éxito. Acabo de probar la tarjeta y sigue desactivada ¿quien lo entiende?.

Nunca había pensado en el asunto, pero una contraseña de 4 dígitos, con solo 9999 combinaciones, me imagino que pueden ser quebradas en milésimas de segundo por cualquier PC común y corriente. Por eso los cientos de dificultades que ponen al acceso como plazos para cambiar la contraseña, desactivación después de cierto número de intentos, etc. Creo que ese número de 4 dígitos es una idea pésima que solo sirve y ahorra plata a los bancos o empresas que administran el sistema pero dan un montón de problemas a los usuarios.

Se me ocurre por ejemplo un ataque de fuerza bruta ingresando unos 10.000 números de cuenta (no cuesta nada con un generador de RUT) y cada uno con una contraseña al azar entre 0001 y 9999, luego repetir el ciclo variando las contraseñas. En fin creo que no cuesta nada detectar un ataque así pero en todo caso un espacio de claves tan pequeño debe ser sumamente inseguro. Que alguien que sepa más me corrija si me equivoco.

¿Por que las tarjetas de débito o crédito tienen claves tan cortas y limitadas a números?. Ningún sitio web con acceso por password que se respete aceptaría como clave 3456, por considerarla extremadamente insegura incluso para los correos electrónicos. Sin embargo la gente confía a pie juntillas en un número de 4 dígitos para almacenar y transferir su dinero.Creo que algo anda mal con la seguridad de las tarjetas y me extraña que nadie hable de eso, a menos que haya algo que yo no sepa. Mal que mal yo muy rara vez entro a un banco. ¿Por que no se usan password más largos y alfanuméricos? Bueno, Cirrus es un sistema mundial y sospecho que es por comodidad de los administradores del sistema en perjuicio de la seguridad de los usuarios. Por eso yo mi platita la guardo billete sobre billete, la veo bajar a medida que la voy gastando y la escondo en un lugar que nadie conoce: debajo del colchón (diablos, se me salió).

EL sistema para resetear la clave por Internet me parece tremendamente inseguro. Hace tres preguntas que puede responder cualquiera que me conozca y muchos que no me conocen después de averiguar durante 15 minutos, con eso cambian mi clave y se quedan con mi fortuna:

1.- SI TIENES HIJOS, INDICA EL AÑO DE NACIMIENTO DEL MAYOR (INGRESA 0 SI NO TIENES HIJOS)
2.- ¿CUANTOS HOMBRES COMPONEN TU FAMILIA? (INGRESA 0 SI NO HAY HOMBRES)
3.- ¿EN QUE DIA Y MES NACIO TU PAPA? (INGRESA 0 SI NO TIENES)

No me puedo imaginar tres preguntas más estúpidas e inseguras que esas. En vista de lo cual, cuando me hagan la transferencia no me demoraré ni 10 segundos en sacar toda la plata para esconderla bajo el colchón.

Es un problema serio eso de los password, yo tengo 4 o 5 distintos, todos anotados en una libreta que guardo bajo siete llaves, bueno, no tanto porque son password del correo y otras cosas que no me comprometen para nada. Tengo otro password que es seguro y lo guardo solo en mi memoria, es el que uso para aplicaciones criptográficas, donde guardo lo más preciado de mi colección pornografica y otras cosas menos importantes pero que podrían causar daño si se supieran. Algún día tendré que escribir más largo sobre eso.

12 comentarios:

  1. cambiar o recuperar claves en disneylandia es mucho peor. Te preguntan:
    -equipo de beisbol favorito, programa de tele favorito, color favorito. Cualquier tonteria, pero favorita.

    Ademas que te tapan de claves y targetas, sin to ni son.

    ResponderBorrar
  2. La seguridad de las tarjetas de banco se basa no en la dificultad de las claves, sino en que se necesita la tarjeta mas la clave para que sirva.

    Ademas hay un numero limitados de intentos, por lo que la seguridad es en principio bastante aceptable.
    MV

    ResponderBorrar
  3. Anónimo, el diseño de las preguntas para resetear la clave se hace sin ningún cuidado, se supone que deben ser cosas que solo el titular pueda responder y los "favoritos" o las preguntas como las que mostré son sumamente fáciles de suponer por cualquiera.

    Miguel, es cierto la seguridad de "dos de tres", en este caso la tarjeta y la clave o la clave y el Pin number. etc. PERO el sistema me parece vulnerable por ejemplo a un ataque por Internet donde la tarjeta física no es necesaria(si se admiten tres intentos, sobre una cantidad masiva de números de cuenta las probablilidades suben) Y para que decir de las preguntas para resetear la clave.

    Creo que asumen como secretos datos que se deberían asumir como públicos, por ejemplo los números de cuenta, números de RUT, datos familiares, etc.

    ResponderBorrar
  4. Usa efectivo! No te rastrean los officiales gobernamentales (el hermano grande) y nadie lo sabe que compras y de donde viene la plata ! Todo se va sin dejar rastro.

    ResponderBorrar
  5. EFECTIVAMENTE, así cobro y asi pago: billete sobre billete, si no tengo no compro y el radar de los malditos de impuestos internos no me detecta. No hay nada mejor que el efectivo.

    ResponderBorrar
  6. Aca la explicacion de los 4 digitos, y todo por culpa de una mujer!!

    Cito al inventor del cajero automatico:

    "Estábamos en la mesa de la cocina y ella dijo que lo más que podía recordar serían cuatro dígitos" contó John Shepherd-Barron durante su entrevista con la BBC.

    http://www.bbc.co.uk/mundo/ciencia_tecnologia/2010/05/100520_muere_inventor_atm_aw.shtml

    ResponderBorrar
  7. En los bancos necesitas la tarjeta de coordenadas para transferir. No solo la clave de la web.
    Cualquier sistema de seguridad debe preveer un ataque por fuerza bruta y debe limitar los intentos desde una misma IP por ejemplo.

    ResponderBorrar
  8. Anónimo ¡sabía que tenía que haber mujeres detrás de todo esto, es una CONSPIRACIÓN! jaja

    Javier, si se permitiese el uso de claves más robustas (hasta 30 caracteres alfanuméricos por ejemplo), no existiría la necesidad de protegerse contra ataques de fuerza bruta y se eliminarían muchos de los problemas de usabilidad que al final terminan debilitando en lugar de reforzar la seguridad del sistema. Las políticas de seguridad reactivas o que asumen cosas que no siempre se cumplen son las peores.

    ResponderBorrar
  9. Te aprenderías 30 caracteres?
    Que lata cada vez que quieras meterte a ver el saldo.

    ResponderBorrar
  10. No cuesta nada, mira este pass "puedoescribirlosversodmastristesestanoche" 41 caracteres y hasta el más desmemoriado lo recuerda sin problemas, si no quieres uno tan largo "LApuracaradecuica" y si lo quieres segurísimo "Lapuracaradecuica1980" ese te soporta bastante bien cualquier ataque de diccionario "normal".

    Además nadie te impide que uses la clave 1234 si prefieres, pero no cosrtas la posibilidad a los que nos preocupa que cualquiera nos meta la mano al bolsillo con cierta facilidad

    ResponderBorrar
  11. Tomas, la clave de cuatro dígitos no te sirve para nada en la página del banco, solo para el cajero.

    ResponderBorrar
  12. Pero en la Cuenta RUT (que es la única que tengo) todo el acesso por internet es con la clave de 4 dígitos.

    Y peor todavía, s puede cambiar la clave contestando preguntas que son muy fáciles de averiguar!

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"