La violación de la seguridad de Zappos y la autenticación por contraseña de texto

Después de la violación de la seguridad de su principal base de datos, la dirección de Zappos está haciendo lo correcto al comunicar, al parecer de forma rápida y clara, qué datos resultaron comprometidos y qué datos permanecen seguros; no se han dado retrasos inexplicables ni se ha visto confusión de su parte respecto al incidente. Parece otro momento Aurora en mi libro, cuando Google de manera extraordinaria informó sobre la violación de seguridad que sufrió mientras que otras 30 grandes corporaciones atacadas por Aurora optaron por lo contrario, aferrándose agresivamente a sus acuerdos de confidencialidad para ocultar sus incidentes relacionados con Aurora y ocultar sus cabezas en la arena. Zappos restauró 24 millones de contraseñas de usuarios y anoche envió mensajes de correo a cada uno de ellos informándoles sobre el problema.

Zappos también envió a sus 24 millones de usuarios un breve mensaje de correo con este texto: “Le escribimos para informarle que puede haber habido un acceso ilegal y no autorizado a parte de la información de su cuenta de cliente de zappos.com, incluyendo uno o más de los siguientes datos: su nombre, dirección de correo, direcciones de facturación y envío, número de teléfono, los cuatro últimos dígitos de su tarjeta de crédito (información convencional que aparece en los recibos), y/o su contraseña codificada criptográficamente”, sin embargo “LA BASE DE DATOS QUE ALMACENA LA INFORMACIÓN CONFIDENCIAL DE LAS TARJETAS DE CRÉDITO U OTRA INFROMACIÓN DE PAGO NO SE VIO AFECTADA NI SUFRIÓ ACCESO ALGUNO”. Todo esto ha sido debatido y debería ser un elemento estándar y oportuno para notificaciones. Pero quedan pendientes un par de puntos interesantes.

1. Zappos debería establecer políticas más solidas para sus contraseñas.
2. Zappos todavía podría aclarar algunos detalles sobre la violación de su seguridad: qué había en la base de datos y qué diablos quieren decir con “contraseñas criptográficamente revueltas”.

Todos y cada uno tenemos nuestras propias ideas sobre políticas de contraseñas y compensaciones. La mía, en pocas palabras: soy un fanático de las contraseñas largas; prefiero OpenID para cuentas que no son críticas (no es tan grave si se secuestran temporalmente los comentarios de los lectores de periódicos locales o hasta de los foros más importantes) y mantener diferentes niveles de sensibilidad según el tipo de cuenta, y soy fanático de criptas de contraseñas que ayuden a mantener los crecientes volúmenes de cuentas y contraseñas.

¿Habrán aprendido los operadores de sitios web las lecciones de anteriores incidentes sobre mantener la solidez de las contraseñas para la “post-violación” de la seguridad los clientes? Teniendo en cuenta que Zappos es una tienda online que implica transacciones financieras, cualquier dato relacionado con la autenticación de un usuario es crítico. Es muy probable que Zappos haya mantenido un hash criptográfico de las contraseñas de sus clientes junto a un valor aleatorio único por usuario en la base de datos violada. Pero tiene que explicar si este esquema es o no lo que llamaron “criptográficamente revuelto”. “Revuelto (scrambled)” no es un término usual de la jerga de seguridad informática y muy probablemente fue lanzado por un redactor de marketing esforzándose por hacer lo mejor en medio de la crisis. ¿Están manteniendo md5 aleatorios para sus valores de contraseñas? ¿Qué tal algo más sólido y por qué no? Estas violaciones de seguridad sucedieron durante todo 2011, a menudo ocasionadas por “lulz”, así que la mayoría de los administradores de sitios web deberían estar preparados para lo peor. Asimismo, Zappos no permite que sus usuarios usen ninguna de las seis últimas contraseñas. ¿Necesita la compañía almacenar las anteriores seis contraseñas de sus usuarios? ¿Se robaron también estas contraseñas? No se dice nada en el mensaje?

Cuando el equipo de Zappos obligó a sus usuarios a restaurar sus contraseñas anoche, les permitió usar un mínimo de 8 caracteres, incluyendo una letra mayúscula y minúscula, y un número o símbolo. Entonces la contraseña de un usuario podría ser, por ejemplo, “Zappos12”, y aquí radica el gran problema. Con las “tablas arco iris” que han estado circulando tanto como parte de productos comerciales como de proyectos de código abierto debatidos por años en las principales conferencias de seguridad, este débil esquema de contraseñas podría descodificarse rápidamente sin estar conectado a Internet. Ya no es razonable simplemente decir “use una combinación de 8 valores”, y dejarlo ahí. La crónica “Perfect Passwords” escrita por Mark Burnett en 2006, describe muy bien el juego de números cracker/defensor en términos que hoy quedan cada vez más obsoletos, y las presentaciones del año pasado en Defcon 19 demostraron la economía y las capacidades de la moderna descodificación, especialmente en la era del GPU. El potente y tan barato hardware GPGPU y las actuales soluciones en la nube pueden devorar niveles y volúmenes increíbles de imprevisibilidad y unicidad de contraseñas en muy poco tiempo. Ocho caracteres simplemente no son suficientes.

Finalmente, no sólo necesitamos políticas de contraseñas más sólidas sino más prácticas de las que actualmente aplican la mayoría de los operadores de sitios web, pero necesitamos pensar por unos años en los esquemas de autenticación fallidos que necesitan reparación con urgencia, incluyendo el uso generalizado de contraseñas de texto simple.