[94f5b4a] | 1 | \subsection{Contraseñas} |
---|
[5a0f74c8] | 2 | \label{cap1:contrasenas} |
---|
[147fb25] | 3 | |
---|
[9ec9411] | 4 | Las contraseñas son quizás, el método más utilizado para asociar una identidad a |
---|
| 5 | personas en el mundo digital. Una contraseña en este ámbito se refiere a una |
---|
[408f320c] | 6 | secuencia de caracteres secreta que se utiliza generalmente |
---|
| 7 | en combinación con un nombre de |
---|
[9ec9411] | 8 | usuario o correo electrónico para obtener acceso a determinados recursos de un |
---|
| 9 | sistema informático. El sistema informático puede estar en la web, funcionar en |
---|
| 10 | un computador sin acceso a red, o ser un sistema dedicado tal como un cajero |
---|
| 11 | automático de banco, o un mecanismo de control para el acceso a un lugar |
---|
| 12 | físico. El acceso al correo electrónico, a una sesión en |
---|
| 13 | una computadora, al sitio de un banco en la Internet, la acción para |
---|
| 14 | desbloquear un teléfono móvil, así como actividades que se hacen a diario con |
---|
| 15 | los dispositivos lo utilizan como sistema primigenio y en muchas ocasiones |
---|
| 16 | como único procedimiento disponible para este fin. |
---|
[71f31f4] | 17 | |
---|
| 18 | |
---|
| 19 | En primer lugar, para construir un sistema de contraseñas se necesita un |
---|
[9ec9411] | 20 | almacén de datos, en el cual se guarden los datos vinculados |
---|
[408f320c] | 21 | con la clave que pueden representar el ámbito de operación de un usuario |
---|
[71f31f4] | 22 | dentro de un sistema informático, lo cual incluye esquemas de autorización para |
---|
[beee373] | 23 | operar sobre objetos o generar acciones. |
---|
[71f31f4] | 24 | |
---|
[408f320c] | 25 | Muchas veces los almacenes de datos para los esquemas de contraseñas se |
---|
[9ec9411] | 26 | construyen usando archivos de texto (por ejemplo, los sistemas Linux o Unix que |
---|
| 27 | utilizan el archivo \textit{/etc/shadow}), o también es muy frecuente utilizar |
---|
| 28 | un conjunto de relaciones u objetos en una base de datos. |
---|
[71f31f4] | 29 | |
---|
[408f320c] | 30 | Algunas de las reglas básicas para almacenar contraseñas |
---|
| 31 | se muestran a continuación: |
---|
[71f31f4] | 32 | |
---|
| 33 | \begin{itemize} |
---|
[408f320c] | 34 | \item Utilizar esquemas de seguridad para el resguardo de la base |
---|
| 35 | de datos acorde con las reglas generales de administración de servidores, |
---|
| 36 | sistemas de cómputo embebido o cualquier otro tipo de sistema |
---|
| 37 | donde resida el almacén de datos. |
---|
| 38 | \item No guardar las contraseñas en texto plano, en su lugar utilizar |
---|
| 39 | algoritmos (con la suficiente fortaleza contra ataques) de una sola |
---|
| 40 | vía para transformar las claves que ingrese el usuario. |
---|
| 41 | \item Implementar políticas y protocolos de creación y asignación de |
---|
| 42 | claves tales como: vinculación a dos o más correos electrónicos; prueba |
---|
| 43 | de fortaleza de contraseñas; monitorear los accesos de los usuarios |
---|
| 44 | por lugar, frecuencia; operaciones entre otras. |
---|
[71f31f4] | 45 | \item Realizar auditorias periódicas a todo el proceso de gestión de claves. |
---|
| 46 | \end{itemize} |
---|
| 47 | |
---|
[408f320c] | 48 | Uno de los objetivos que debe tener cualquier sistema de protección |
---|
| 49 | es proveer al usuario de instrumentos para mejorar su interacción |
---|
| 50 | con los sistemas informáticos, evitándole hacer tareas engorrosas o difíciles, |
---|
| 51 | sin que esta prerrogativa desmejore significativamente los niveles de |
---|
| 52 | seguridad. En este sentido, actualmente están disponibles varias tecnologías |
---|
| 53 | vinculadas con la gestión de contraseñas, que generalmente son implementadas |
---|
| 54 | por todos los navegadores para la Internet, entre ellas están: |
---|
[beee373] | 55 | |
---|
| 56 | |
---|
[c514080] | 57 | \begin{itemize} |
---|
[408f320c] | 58 | \item \textit{\textbf{galletas informáticas}}: también denominadas ``cookies'', |
---|
| 59 | son pequeñas porciones de información sobre los datos de acceso a |
---|
| 60 | una aplicación (sesión). |
---|
[9ec9411] | 61 | \item \textit{\textbf{listas de claves}}: Es una lista donde se encuentran |
---|
| 62 | asociadas las claves y nombres de usuarios con los sitios que se visitan en la |
---|
| 63 | Internet. Cuando el usuario visita un sitio web que se encuentra en la lista, |
---|
[408f320c] | 64 | el navegador ingresa automáticamente el nombre de usuario y su clave en el |
---|
| 65 | formulario. |
---|
| 66 | \item \textit{\textbf{Sistemas centralizados o locales de gestión de claves}}: |
---|
| 67 | son aplicaciones en la web o de uso local (computadora,tableta o teléfono |
---|
| 68 | móvil) para gestionar las claves de todos los sistemas al que los usuarios |
---|
| 69 | acceden desde sus dispositivos electrónicos. |
---|
[c514080] | 70 | \end{itemize} |
---|
| 71 | |
---|
| 72 | |
---|
[408f320c] | 73 | Por otra parte, para que una contraseña sea resistente a ataques de |
---|
| 74 | fuerza bruta, debe contar con varias propiedades como las descritas más adelante. |
---|
[9ec9411] | 75 | Muchos sistemas verifican las claves antes de que sean asignadas, pero no pueden |
---|
[408f320c] | 76 | asegurar de forma completa que la contraseña es inviolable dado que mucho de |
---|
| 77 | la responsabilidad de uso reside en el propietario de la clave: el usuario. |
---|
[c514080] | 78 | |
---|
[408f320c] | 79 | Generalmente para que una contraseña sea considerada fuerte, debe tener por |
---|
| 80 | lo menos las siguientes propiedades: |
---|
[c514080] | 81 | |
---|
| 82 | \begin{itemize} |
---|
[408f320c] | 83 | \item Ser lo suficiente larga. Hoy en día, se considera ocho (8) caracteres |
---|
| 84 | la extensión mínima de una contraseña para la mayoría de los sistemas |
---|
| 85 | informáticos, este número puede disminuir si se acompaña con el uso de una |
---|
| 86 | tarjeta o elemento físico seguro (\textit{ficha} o \textit{token}). |
---|
| 87 | \item No ser una palabra contenida en diccionarios. |
---|
[beee373] | 88 | \item Estar compuesta por letras minúsculas, mayúsculas y caracteres especiales. |
---|
[c514080] | 89 | \end{itemize} |
---|
| 90 | |
---|
[408f320c] | 91 | Muchos sistemas informáticos cuentan entre sus políticas el cambio |
---|
| 92 | periódico de claves por parte de los usuarios, con respecto a ello |
---|
| 93 | Schneier en \cite{SCHNEIER:14} considera que la política citada |
---|
| 94 | puede ser contraproducente y no se recomienda, debido a que si ya |
---|
| 95 | se cuenta con una contraseña fuerte no existe la necesidad de cambiarla. |
---|
[c514080] | 96 | |
---|
[9ec9411] | 97 | Se estima que las contraseñas como método de control de acceso seguirán siendo |
---|
| 98 | el método más popular varios años más, por lo tanto se hace necesario prestar |
---|
| 99 | atención en los aspectos de gestión organizacional y técnica de este tipo de |
---|
| 100 | herramienta, para lograr conectar de manera eficiente las políticas con las |
---|
[408f320c] | 101 | aplicaciones y con las personas, tomando en cuenta que no se debe disminuir |
---|
| 102 | demasiado la ergonomía en pro de la seguridad. |
---|
[c514080] | 103 | |
---|
| 104 | |
---|
| 105 | |
---|
| 106 | |
---|
| 107 | |
---|
| 108 | |
---|
[147fb25] | 109 | |
---|
| 110 | |
---|