La forma más básica de autenticación de usuarios, particularmente en la Web, es el protocolo de autenticación de contraseña. Este método de autenticación le obliga a recordar combinaciones de nombre de usuario / contraseña para acceder a cuentas o secciones especiales de un sitio web. Si bien son efectivos y, de alguna manera, son fundamentalmente parte de la seguridad en línea, los protocolos de autenticación de contraseña fallan cuando no los aborda con seriedad. Esto significa construir contraseñas complejas y mantener el secreto. Esto también significa que las entidades que implementan la autenticación de contraseña deben proteger las contraseñas de alguna manera.
Ataques de fuerza bruta y complejidad
Por lo general, no puede adivinar una contraseña a menos que sepa algo sobre el usuario de esa contraseña, y solo si la contraseña representa algo conocido sobre ese usuario. Sin embargo, los programas informáticos pueden lanzar ataques de fuerza bruta en los sistemas de contraseñas. Esto significa que un programa lee literalmente un diccionario de términos proporcionado, probando cada palabra hasta que la combinación correcta de caracteres rompa la contraseña. Por lo general, protegerse de estos ataques requiere que cree contraseñas complejas que incluyan números, letras y símbolos especiales, que pueden ser difíciles de recordar.
Almacenamiento y cifrado
Cuando utiliza la autenticación de contraseña, debe almacenar las contraseñas y los nombres de usuario en una base de datos para autenticar a los usuarios. Si no tiene una seguridad sólida en el servidor, alguien puede ingresar a la base de datos y leer las contraseñas. Una forma de abordar esto es utilizar el "hash" de contraseñas, que implica ejecutar la contraseña a través de un algoritmo hash que produce un valor único basado en la contraseña y almacena el valor hash en lugar de la contraseña en sí. Si se viola la base de datos, el atacante solo puede leer los hash y no tiene idea de cuáles son las contraseñas. Sin embargo, el hash en este sentido solo existe debido a la debilidad inherente de la autenticación de contraseña de texto sin formato.
Secreto y uso público
Como muchas personas, probablemente utilice Internet en lugares públicos como bibliotecas o cafés. Inevitablemente, probablemente también inicie sesión en varios sitios web utilizando contraseñas mientras se encuentre en este lugar público. Esto introduce varios problemas de seguridad inherentes a la autenticación de contraseña. Primero, alguien físicamente cerca de usted puede mirar por encima del hombro y leer su contraseña, o mirar su teclado y notar las pulsaciones de las teclas. En segundo lugar, alguien conectado a la red podría intentar interceptar la información de su contraseña mientras inicia sesión utilizando programas de red que monitorean el punto de acceso Wi-Fi local.
Compromiso del usuario
Quizás lo más importante es que las contraseñas son tan fuertes y seguras como la cantidad de esfuerzo utilizado para mantenerlas. Es posible que muchas personas utilicen tropos de contraseñas comunes, como "contraseña", "1234" o "contraseña" como contraseñas para los sitios que utilizan. Además, muchos usarán la misma contraseña para varios sitios, lo que significa que si un sitio se ve comprometido, cualquier otro sitio que use esa contraseña también se verá comprometido. Además, encontrará que muchos usuarios no cambian las contraseñas predeterminadas, como las contraseñas definidas por los fabricantes de software que solo deben funcionar temporalmente. Si alguien conoce la contraseña predeterminada del fabricante para un producto, es probable que pruebe primero con esas contraseñas.
