Versión en:
Buscar en Mujeres de Empresa
A+ A-
Home > Tecnología

¿Por qué caen nuestras passwords?

| Cristian F. Borghello | 20.Feb.03 |
1 | 2 |

Normas de Elección de Claves

Se debe tener en cuenta los siguientes consejos:

1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).

2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).

3. No utilizar terminología técnica conocida.

4. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.

5. Deben ser largas, de 8 caracteres o más.

6. Tener contraseñas diferentes en máquinas diferentes y sistemas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una password de un sistema cae no caigan todos los demás sistemas por utilizar la misma password.

7. Deben ser fáciles de recordar para no verse obligado a escribirlas. Algunos ejemplos son:

  • Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
  • Usar un acrónimo de alguna frase fácil de recordar: A rio Revuelto Ganancia de Pescadores à ArRGdP
  • Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
  • Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña à aHoelIo
  • Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
  • Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar à 35M/Pq<

Normas para proteger una password

La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema.

RECORDAR: "Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos".

Algunos consejos a seguir:

1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente (auditoría).

2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Administrador, Root, System, Test, Demo, Guest, IUSR, etc.

3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.

4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.

5. No teclear la contraseña si hay alguien observando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.

6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es...".

7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).

Passwords en los sistemas

Muchos sistemas incorporan ya algunas medidas de gestión y protección, que obliga al cambio periódico y chequea su nivel de dificultad. Entre ellas podemos citar las siguientes:

1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas medidas:

  • Obligar a reescribir el nombre de usuario (lo más común).
  • Bloquear el acceso durante un tiempo.
  • Enviar un mensaje al administrador y/o mantener un registro especial.

2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se recomienda 7 u 8 como mínimo).

3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y números, no pueden contener el nombre del usuario ni ser un blanco.

4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la contraseña. Se obliga a no repetir ciertas cantidad de las anterior. Se mantiene un periodo forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior.

5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar las contraseñas de su propio sistema en busca de debilidades.

Passwords en la BIOS

Esta utilidad resulta de extremado interés en entornos multiusuario, pero también puede resultar un arma de doble filo que induce una falsa sensación de seguridad. Digo esto ya que muchos fabricantes de BIOS suelen utilizar puertas traseras, que aunque teóricamente sólo deberían conocer ellos, terminan saliendo a la luz. Por ejemplo: AWARD BIOS, utiliza/ba "AWARD_SW" o "AWARD_PW".

Otras opciones válidas para franquear esta barrera es resetear la memoria de la BIOS quitando la pila de la placa base y volviéndola a conectar, cambiar un jumper de lugar o utilizar programas para saltar/descubrir la clave.

Auditoria de passwords

En el mercado existen múltiples herramientas que nos informan sobre la complejidad de las claves elegidas.

Estas herramientas pueden ser ejecutadas cada ciertos períodos de tiempo, analizando las claves existentes y su complejidad, o bien ser incorporadas a los sistemas de forma que no se permita la existencia de passwords débiles.

Conclusión

Una parte fundamental de nosotros mismos y de nuestro trabajo depende de las passwords elegidas y de su complejidad.

La implementación de passwords seguras debería ser el principal objetivo cuando decidimos ("nos damos cuenta") que lo que somos y hacemos es importante.

Esta implementación depende de la educación que cada usuario recibe, de las políticas de seguridad aplicadas y de auditorias permanentes.

La seguridad existe... simplemente depende de la imaginación que tengamos a la hora de elegir nuestras claves.

Bibliografia

Capítulo 6 y 7 Tesis de Seguridad Informatica. BORGHELLO, Cristian F. Noviembre de 2001. http://www.cfbsoft.com.ar
CERN Security Handbook on Passwords. CERN. Noviembre de 1998. http://consult.cern.ch/writeups/security/security_3.html
FAQ de alt.2600 versión .014. http://www.2600.com
Tabla de Tiempos del John the Ripper 1.4 by +NetBul. SET N°15-0x07. Junio de 1998. http://www.vanhackez.co/set
Foiling the Cracker: A Survey of, and Improvement to, Password Security. KLEIN, Daniel.

Si le gustó este artículo compártalo:

Para recibir otras notas similares suscríbase mediante: RSS, Newsletter quincenal ó descargue la toolbar de Mujeres de Empresa.

Subir
1 | 2 |
Fuente: Cristian Borghello es Licenciado en Sistemas de la Universidad Tecnológica Nacional de Argentina, y mantiene el sitio relacionado con la Seguridad Informática. Publicado en Mujeres de Empresa bajo el título: ¿Por qué caen nuestras passwords? y distribuído bajo una Licencia Creative Commons

| | Servicio provisto por Haloscan

Canales
Actualidad Comercio Exterior Dinero y Finanzas E-business Management Marketing Negocios Networking Perfiles RRHH y Comunicación Tecnología
Línea natural
Arte y Cultura Fitness y Salud Lifestyle Sociedad Viajeras
Recursos
Agenda de Eventos Caja de Herramientas Capacitación E-books Empleo Enlaces de Interés
Servicios
Newsletter vía E-mail Suscríbase vía RSS Noticias en su sitio Contactos Publicite en MdE

Ultimas notas

Mi oficina móvil Los sitios de noticias al estilo web 2.0 Spyware, software para remover programas espías Que hacer cuando el Windows no arranca Borré un archivo por error. Y ahora? La barra de herramientas de Mujeres de Empresa Consejos prácticos sobre la barra de Google Qué es el trackback? Como comprimir archivos con WinZip VoIP:Terminología básica explicada para principiantes Como abrir archivos en forma automática Mmm, absolutamente Delicious: como empezar Social bookmarking: un tesoro de recursos online Como leer feeds: lectoras y agregadores de RSS? Beneficios de los RSS? Qué es exactamente RSS? Qué es un blog y en qué se diferencia de un site

| + notas de Tecnología |

Suscríbase a M. de Empresa
suscribir newsletterNewsletter
feed RSSFeeds RSS
Copyright 2000- Mujeres de Empresa
Sobre Mujeres de Empresa | Contactos |
Pasantías | Prensa | Publicidad |
Términos de uso | Políticas de Privacidad |