1 | \subsection{Contraseñas} |
---|
2 | \label{cap1:contrasenas} |
---|
3 | |
---|
4 | Las contraseñas son quizás, el método más utilizado para asociar una identidad a |
---|
5 | personas en el mundo digital. Una contraseña en este ámbito se refiere a una |
---|
6 | secuencia de caracteres secreta que se utiliza generalmente |
---|
7 | en combinación con un nombre de |
---|
8 | usuario o correo electrónico para obtener acceso a determinados recursos de un |
---|
9 | sistema informático. El sistema informático puede estar en la web, funcionar en |
---|
10 | un computador sin acceso a red, o ser un sistema dedicado tal como un cajero |
---|
11 | automático de banco, o un mecanismo de control para el acceso a un lugar |
---|
12 | físico. El acceso al correo electrónico, a una sesión en |
---|
13 | una computadora, al sitio de un banco en la Internet, la acción para |
---|
14 | desbloquear un teléfono móvil, así como actividades que se hacen a diario con |
---|
15 | los dispositivos lo utilizan como sistema primigenio y en muchas ocasiones |
---|
16 | como único procedimiento disponible para este fin. |
---|
17 | |
---|
18 | |
---|
19 | En primer lugar, para construir un sistema de contraseñas se necesita un |
---|
20 | almacén de datos, en el cual se guarden los datos vinculados |
---|
21 | con la clave que pueden representar el ámbito de operación de un usuario |
---|
22 | dentro de un sistema informático, lo cual incluye esquemas de autorización para |
---|
23 | operar sobre objetos o generar acciones. |
---|
24 | |
---|
25 | Muchas veces los almacenes de datos para los esquemas de contraseñas se |
---|
26 | construyen usando archivos de texto (por ejemplo, los sistemas Linux o Unix que |
---|
27 | utilizan el archivo \textit{/etc/shadow}), o también es muy frecuente utilizar |
---|
28 | un conjunto de relaciones u objetos en una base de datos. |
---|
29 | |
---|
30 | Algunas de las reglas básicas para almacenar contraseñas |
---|
31 | se muestran a continuación: |
---|
32 | |
---|
33 | \begin{itemize} |
---|
34 | \item Utilizar esquemas de seguridad para el resguardo de la base |
---|
35 | de datos acorde con las reglas generales de administración de servidores, |
---|
36 | sistemas de cómputo embebido o cualquier otro tipo de sistema |
---|
37 | donde resida el almacén de datos. |
---|
38 | \item No guardar las contraseñas en texto plano, en su lugar utilizar |
---|
39 | algoritmos (con la suficiente fortaleza contra ataques) de una sola |
---|
40 | vía para transformar las claves que ingrese el usuario. |
---|
41 | \item Implementar políticas y protocolos de creación y asignación de |
---|
42 | claves tales como: vinculación a dos o más correos electrónicos; prueba |
---|
43 | de fortaleza de contraseñas; monitorear los accesos de los usuarios |
---|
44 | por lugar, frecuencia; operaciones entre otras. |
---|
45 | \item Realizar auditorias periódicas a todo el proceso de gestión de claves. |
---|
46 | \end{itemize} |
---|
47 | |
---|
48 | Uno de los objetivos que debe tener cualquier sistema de protección |
---|
49 | es proveer al usuario de instrumentos para mejorar su interacción |
---|
50 | con los sistemas informáticos, evitándole hacer tareas engorrosas o difíciles, |
---|
51 | sin que esta prerrogativa desmejore significativamente los niveles de |
---|
52 | seguridad. En este sentido, actualmente están disponibles varias tecnologías |
---|
53 | vinculadas con la gestión de contraseñas, que generalmente son implementadas |
---|
54 | por todos los navegadores para la Internet, entre ellas están: |
---|
55 | |
---|
56 | |
---|
57 | \begin{itemize} |
---|
58 | \item \textit{\textbf{galletas informáticas}}: también denominadas ``cookies'', |
---|
59 | son pequeñas porciones de información sobre los datos de acceso a |
---|
60 | una aplicación (sesión). |
---|
61 | \item \textit{\textbf{listas de claves}}: Es una lista donde se encuentran |
---|
62 | asociadas las claves y nombres de usuarios con los sitios que se visitan en la |
---|
63 | Internet. Cuando el usuario visita un sitio web que se encuentra en la lista, |
---|
64 | el navegador ingresa automáticamente el nombre de usuario y su clave en el |
---|
65 | formulario. |
---|
66 | \item \textit{\textbf{Sistemas centralizados o locales de gestión de claves}}: |
---|
67 | son aplicaciones en la web o de uso local (computadora,tableta o teléfono |
---|
68 | móvil) para gestionar las claves de todos los sistemas al que los usuarios |
---|
69 | acceden desde sus dispositivos electrónicos. |
---|
70 | \end{itemize} |
---|
71 | |
---|
72 | |
---|
73 | Por otra parte, para que una contraseña sea resistente a ataques de |
---|
74 | fuerza bruta, debe contar con varias propiedades como las descritas más adelante. |
---|
75 | Muchos sistemas verifican las claves antes de que sean asignadas, pero no pueden |
---|
76 | asegurar de forma completa que la contraseña es inviolable dado que mucho de |
---|
77 | la responsabilidad de uso reside en el propietario de la clave: el usuario. |
---|
78 | |
---|
79 | Generalmente para que una contraseña sea considerada fuerte, debe tener por |
---|
80 | lo menos las siguientes propiedades: |
---|
81 | |
---|
82 | \begin{itemize} |
---|
83 | \item Ser lo suficiente larga. Hoy en día, se considera ocho (8) caracteres |
---|
84 | la extensión mínima de una contraseña para la mayoría de los sistemas |
---|
85 | informáticos, este número puede disminuir si se acompaña con el uso de una |
---|
86 | tarjeta o elemento físico seguro (\textit{ficha} o \textit{token}). |
---|
87 | \item No ser una palabra contenida en diccionarios. |
---|
88 | \item Estar compuesta por letras minúsculas, mayúsculas y caracteres especiales. |
---|
89 | \end{itemize} |
---|
90 | |
---|
91 | Muchos sistemas informáticos cuentan entre sus políticas el cambio |
---|
92 | periódico de claves por parte de los usuarios, con respecto a ello |
---|
93 | Schneier en \cite{SCHNEIER:14} considera que la política citada |
---|
94 | puede ser contraproducente y no se recomienda, debido a que si ya |
---|
95 | se cuenta con una contraseña fuerte no existe la necesidad de cambiarla. |
---|
96 | |
---|
97 | Se estima que las contraseñas como método de control de acceso seguirán siendo |
---|
98 | el método más popular varios años más, por lo tanto se hace necesario prestar |
---|
99 | atención en los aspectos de gestión organizacional y técnica de este tipo de |
---|
100 | herramienta, para lograr conectar de manera eficiente las políticas con las |
---|
101 | aplicaciones y con las personas, tomando en cuenta que no se debe disminuir |
---|
102 | demasiado la ergonomía en pro de la seguridad. |
---|
103 | |
---|
104 | |
---|
105 | |
---|
106 | |
---|
107 | |
---|
108 | |
---|
109 | |
---|
110 | |
---|