Ataques y Seguridad de Contraseñas

Questions and Answers

¿Cuál es la principal ventaja de usar herramientas de verificación de contraseñas?

• Detectan las contraseñas débiles antes de que un atacante las descubra. (correct)
• Facilitan la creación de contraseñas complejas automáticamente.
• Aumentan la velocidad de conexión a internet.
• Permiten el acceso no autorizado a los sistemas.

¿Quiénes utilizan las mismas herramientas para pruebas de seguridad y ataques?

• Los administradores de red y los hackers. (correct)
• Solo los hackers profesionales.
• Los desarrolladores de software únicamente.
• Los usuarios comunes de software.

¿Qué ocurre con una contraseña capturada al ser comparada con una lista de contraseñas hasheadas?

• La contraseña se convierte en texto claro inmediatamente.
• No es posible descifrarla sin un algoritmo específico.
• El atacante puede descifrar la contraseña en poco tiempo. (correct)
• Se requiere un sistema operativo en específico para procesarla.

¿Qué dos tipos de ataques permiten las herramientas de prueba de contraseñas?

Ataques de diccionario y de fuerza bruta. (B)

¿Cuál es un ejemplo de un algoritmo de hashing comúnmente utilizado para contraseñas?

MD5. (C)

¿Qué es una mala práctica al probar contraseñas de empleados?

Revelar la contraseña de un CEO al personal administrativo. (D)

¿Por qué es importante el hashing de contraseñas?

Evita que las contraseñas sean enviadas en texto claro. (B)

¿Cuál es la relación entre password checkers y password crackers?

Ambas pueden tener el mismo propósito según el contexto de uso. (A)

¿Cuál de las siguientes afirmaciones es cierta sobre la autenticación biométrica?

Las condiciones de salud, como un resfriado, pueden afectar el reconocimiento de voz. (C)

¿Qué tipo de autenticación se basa en algo que el sujeto posee?

Autenticación basada en la propiedad. (C)

¿Cuál de los siguientes NO es un mecanismo común para la generación de una contraseña de un solo uso (OTP)?

Una contraseña fija de larga duración. (D)

¿Por qué un sistema biométrico podría verificar la pulsación o el calor de un cuerpo?

Para asegurarse de que el cuerpo esté vivo. (A)

¿Cuál de las siguientes afirmaciones sobre una contraseña de un solo uso (OTP) es incorrecta?

Las OTPs se pueden reutilizar después de ser usadas. (A)

¿Qué tipo de autenticación es comúnmente combinada con la geometría de la mano?

Reconocimiento de huellas dactilares. (B)

¿Cuál es la principal diferencia entre los biométricos fisiológicos y los biométricos de comportamiento?

Los fisiológicos verifican lo que una persona es, mientras que los de comportamiento verifican lo que una persona hace. (A)

¿Qué desventaja podría presentar un sistema biométrico?

Puede haber cambios físicos en el usuario que lo afecten. (A)

¿Qué es un error Tipo I en un sistema biométrico?

Cuando un sistema rechaza a un individuo autorizado. (A)

¿Cuál es un método para proteger el acceso a un token físico?

Un proceso de autenticación previo. (C)

¿Cuál es la métrica más importante al comparar diferentes sistemas biométricos?

La tasa de error de cruce (CER). (B)

¿Por qué los sistemas biométricos deben ser extremadamente sensibles?

Para realizar mediciones precisas de características anatómicas o de comportamiento. (B)

¿Qué tipo de error es considerado el más peligroso en sistemas biométricos y por qué?

Tipo II, porque permite que impostores sean aceptados. (D)

¿Qué relación existe entre la tasa de trueques de errores (CER) y los errores Tipo I y II?

CER es el punto donde FRR iguala FAR. (D)

¿Cuál de los siguientes es un ejemplo de biométrico fisiológico?

Huella dactilar. (C)

¿Qué implica el proceso de enrollamiento en un sistema biométrico?

La creación de un registro de características físicas o de comportamiento. (C)

¿Cuál es la función principal de la clave privada en el proceso de autenticación?

Permite descifrar un reto enviado por el servidor. (A)

¿Cuál es la diferencia clave entre una tarjeta de memoria y una tarjeta inteligente?

Una tarjeta de memoria solo almacena información, sin procesarla. (C)

¿Qué representa la combinación de un PIN y una tarjeta de memoria en el proceso de autenticación?

Una forma de autenticación de doble factor. (A)

En un acceso de edificio utilizando una tarjeta de memoria, ¿qué indica una luz verde en el lector?

La combinación de PIN y tarjeta es correcta. (C)

¿Por qué se consideran las contraseñas una de las formas más débiles de autenticación?

Pueden ser fácilmente interceptadas durante su transmisión. (A)

¿Cómo ayuda una tarjeta de memoria en el proceso de autenticación de un usuario?

Contiene información de autenticación que se compara con los datos ingresados. (B)

En un cajero automático, ¿cuál es el papel de la tarjeta de memoria?

Permitir al usuario retirar efectivo al ser escaneada junto con el PIN. (C)

¿Qué se requiere para que una tarjeta de memoria funcione con una computadora?

Un lector de tarjetas para procesar la información. (B)

¿Qué ocurre cuando un empleado deja la organización?

Se envía un correo electrónico al gerente para desactivar la cuenta. (A)

¿Qué significa 'provisionamiento de usuarios' en un contexto organizacional?

La creación, mantenimiento y eliminación de registros de usuarios. (A)

¿Cuál de los siguientes componentes no es parte del software de 'provisionamiento de usuarios'?

Análisis de datos financieros (C)

¿Qué define mejor un 'sistema de registro autorizativo' (ASOR)?

Es un sistema jerárquico que rastrea la información de identidad y la historia de autorización. (B)

¿Cuál de las siguientes opciones describe mejor la función de auditoría en un ASOR?

Registrar todos los cambios realizados en las cuentas de usuario. (C)

¿Qué tipo de información se espera encontrar en un sistema de registro autorizativo?

La historia de autorización por cuenta y detalles de provisión. (C)

¿Qué representa un 'objeto de usuario'?

Un empleado, contratista, proveedor, entre otros. (D)

¿Cuál de las siguientes opciones no es un servicio que podría incluir un objeto de usuario?

Acceso al servicio de atención al cliente. (B)

Flashcards are hidden until you start studying

Study Notes

Ataques de contraseñas

• Un atacante puede comparar una contraseña hash capturada con una que está en la tabla para descubrir la contraseña en texto plano.
• Este tipo de ataque es más rápido que un ataque de diccionario o de fuerza bruta.
• Las herramientas de prueba de contraseñas pueden realizar ataques de diccionario o de fuerza bruta para detectar contraseñas débiles.
• Las mismas herramientas que los atacantes utilizan para romper una contraseña, pueden utilizarse por un administrador de red para verificar su fortaleza.
• La mayoría de las herramientas de seguridad tienen esta naturaleza dual; pueden ser utilizadas tanto por profesionales de seguridad como por personal de TI.
• Nunca se debe intentar probar (romper) las contraseñas de los empleados sin la aprobación de la gerencia.

Hashing y encriptación de contraseñas

• La mayoría de los sistemas utilizan algoritmos de hash (como MD5 o SHA) para asegurar que las contraseñas no se envíen en texto plano.
• Los sistemas biométricos utilizan atributos físicos (como el iris, la retina o la huella digital) para la autenticación.
• Los sistemas biométricos se dividen en dos categorías: fisiológicos y conductuales.

Sistemas biométricos

• Fisiológico: se basa en atributos físicos únicos de cada persona.
• Conductual: se basa en la manera única en que una persona realiza una acción.
• Los sistemas biométricos escanean un atributo fisiológico o conductual y lo comparan con un registro creado previamente.
• Un error de Tipo I (tasa de rechazo falso) es cuando el sistema rechaza a un individuo autorizado.
• Un error de Tipo II (tasa de aceptación falsa) es cuando el sistema acepta a un impostor.
• La tasa de error de cruce (CER) es un indicador importante para comparar diferentes sistemas biométricos. Es el punto en el que la FRR es igual a la FAR.
• Algunos sistemas biométricos verifican la pulsación o el calor de una parte del cuerpo para asegurarse de que está viva.

Autenticación basada en la posesión

• La autenticación se basa en algo que el sujeto tiene (físico o lógico).
• Puede ser un dispositivo como un teléfono, una tarjeta de identificación o incluso un dispositivo implantado.
• También puede ser una clave criptográfica, como una clave privada en una infraestructura de clave pública (PKI).
• El acceso al token a veces está protegido por otro proceso de autenticación (por ejemplo, desbloquear el teléfono para acceder a un generador de tokens basado en software).

Contraseña de un solo uso (OTP)

• Una OTP es una contraseña dinámica válida solo una vez.
• La contraseña es generada por un dispositivo token, que es algo que la persona posee.
• Las OTP se implementan comúnmente en tres formatos: dispositivos físicos dedicados, aplicaciones de teléfonos inteligentes y servicios que envían SMS.
• La clave privada es mantenida en secreto y nunca se debe compartir.
• El servidor de autenticación utiliza la clave pública del usuario para encriptar un desafío y enviarlo al usuario.
• Solo la persona que posee la clave privada correspondiente podrá descifrarlo y responder.

Tarjetas de memoria

• Las tarjetas de memoria no pueden procesar información, solo almacenarla.
• Las tarjetas inteligentes pueden procesar información almacenada.
• Las tarjetas de memoria pueden contener información de autenticación del usuario para que solo tenga que introducir un ID de usuario o PIN.
• Un ejemplo de tarjeta de memoria es una tarjeta de acceso que se usa para ingresar a un edificio.
• Las tarjetas de memoria también pueden contener información de identificación que es extraída por un lector.

Administración de usuarios

• Es la creación, mantenimiento y desactivación de objetos y atributos de usuario en uno o más sistemas, directorios o aplicaciones.
• El software de administración de usuarios puede incluir cambio de propagación, flujo de trabajo de autoservicio, administración de usuarios consolidada, administración de usuarios delegada y control de cambios federados.
• El sistema de registro autoritario (ASOR) es el lugar donde se origina y se mantiene la información de identidad.
• El ASOR debe contener el nombre del sujeto, las cuentas asociadas, el historial de autorización por cuenta y los detalles de provisión.

Provisionamiento de usuarios

• Las organizaciones necesitan una forma automatizada y confiable de detectar y gestionar los cambios inusuales o sospechosos en las cuentas de usuario.
• El ASOR debe contener el nombre del sujeto, las cuentas asociadas, el historial de autorización por cuenta y los detalles de provisión.
• Los objetos de usuario pueden representar empleados, contratistas, proveedores, socios, clientes u otros receptores de un servicio.