estamos seguros? (y2)


Normas de Elección de Claves

Se debe tener en cuenta los siguientes consejos:

  1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
  2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).
  3. No utilizar terminología técnica conocida.
  4. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
  5. Deben ser largas, de 8 caracteres o más.
  6. Tener contraseñas diferentes en máquinas diferentes y sistemas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una password de un sistema cae no caigan todos los demás sistemas por utilizar la misma password.
  7. Deben ser fáciles de recordar para no verse obligado a escribirlas. Algunos ejemplos son:
    • Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
    • Usar un acrónimo de alguna frase fácil de recordar: A río Revuelto Ganancia de Pescadores: ArRGdP
    • Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
    • Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña: aHoelIo
    • Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
    • Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar: 35M\/Pq<

Normas para proteger una password

La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema.

RECORDAR:

“Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos”.

Algunos consejos a seguir:

  1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente (auditoría).
  2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Administrador, Root, System, Test, Demo, Guest, InetUser, etc.
  3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
  4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
  5. No teclear la contraseña si hay alguien observando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
  6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: “mi clave es…”.
  7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).

Passwords en los sistemas

Muchos sistemas incorporan ya algunas medidas de gestión y protección, que obliga al cambio periódico y chequea su nivel de dificultad. Entre ellas podemos citar las siguientes:

  1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas medidas:
    • Obligar a reescribir el nombre de usuario (lo más común).
    • Bloquear el acceso durante un tiempo.
    • Enviar un mensaje al administrador y/o mantener un registro especial.
  2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se recomienda 7 u 8 como mínimo).
  3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y números, no pueden contener el nombre del usuario ni ser un blanco.
  4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la contraseña. Se obliga a no repetir ciertas cantidad de las anterior. Se mantiene un periodo forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior.
  5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar las contraseñas de su propio sistema en busca de debilidades.

Passwords en la BIOS

Esta utilidad resulta de extremado interés en entornos multiusuario, pero tambien puede resultar un arma de doble filo que induce una falsa sensación de seguridad. Digo esto ya que muchos fabricantes de BIOS suelen utilizar puertas traseras, que aunque teóricamente sólo deberían conocer ellos, terminan saliendo a la luz. Por ejemplo: AWARD BIOS, utiliza/aba “AWARD_SW” o “AWARD_PW”.

Otras opciones válidas para franquear esta barrera es resetear la memoria de la BIOS quitando la pila de la placa base y volviéndola a conectar, cambiar un jumper de lugar o utilizar programas para saltar/descubrir la clave.

Auditoria de passwords

En el mercado existen múltiples herramientas que nos informan sobre la complejidad de las claves elegidas.

Estas herramientas pueden ser ejecutadas cada ciertos períodos de tiempo, analizando las claves existentes y su complejidad, o bien ser incorporadas a los sistemas de forma que no se permita la existencia de passwords débiles.

Conclusión

Una parte fundamental de nosotros mismos y de nuestro trabajo depende de las passwords elegidas y de su complejidad.

La implementación de passwords seguras debería ser el principal objetivo cuando decidimos (“nos damos cuenta”) que lo que somos y hacemos es importante.

Esta implementación depende de la educación que cada usuario recibe, de las políticas de seguridad aplicadas y de auditorias permanentes.
La seguridad existe… simplemente depende de la imaginación que tengamos a la hora de elegir nuestras claves.

Bibliografía consultada

– Capítulos 6 y 7 – Tesis de Seguridad Informática . BORGHELLO, Cristian F. Noviembre de 2001.

CERN Security Handbook on Passwords. CERN. Noviembre de 1998.

FAQ de alt.2600 versión .014

Tabla de Tiempos del John the Ripper 1.4 by +NetBul. SET N°15-0x07. Junio de 1998.

Foiling the Cracker: A Survey of, and Improvement to, Password Security. KLEIN, Daniel.

Buenos Aires, 13 de septiembre de 2002

Verificar la Fortaleza de sus Contraseñas

Anuncios

Un comentario en “estamos seguros? (y2)

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s