| 1 | \subsection{Contraseñas} |
|---|
| 2 | \label{cap1:contrasenas} |
|---|
| 3 | |
|---|
| 4 | Las contraseñas son quizás, el método más utilizado para asociar una identidad a |
|---|
| 5 | personas en el mundo digital. Una contraseña en este ámbito se refiere a una |
|---|
| 6 | secuencia de caracteres secreta que se utiliza generalmente |
|---|
| 7 | en combinación con un nombre de |
|---|
| 8 | usuario o correo electrónico para obtener acceso a determinados recursos de un |
|---|
| 9 | sistema informático. El sistema informático puede estar en la web, funcionar en |
|---|
| 10 | un computador sin acceso a red, o ser un sistema dedicado tal como un cajero |
|---|
| 11 | automático de banco, o un mecanismo de control para el acceso a un lugar |
|---|
| 12 | físico. El acceso al correo electrónico, a una sesión en |
|---|
| 13 | una computadora, al sitio de un banco en la Internet, la acción para |
|---|
| 14 | desbloquear un teléfono móvil, así como actividades que se hacen a diario con |
|---|
| 15 | los dispositivos lo utilizan como sistema primigenio y en muchas ocasiones |
|---|
| 16 | como único procedimiento disponible para este fin. |
|---|
| 17 | |
|---|
| 18 | |
|---|
| 19 | En primer lugar, para construir un sistema de contraseñas se necesita un |
|---|
| 20 | almacén de datos, en el cual se guarden los datos vinculados |
|---|
| 21 | con la clave que pueden representar el ámbito de operación de un usuario |
|---|
| 22 | dentro de un sistema informático, lo cual incluye esquemas de autorización para |
|---|
| 23 | operar sobre objetos o generar acciones. |
|---|
| 24 | |
|---|
| 25 | Muchas veces los almacenes de datos para los esquemas de contraseñas se |
|---|
| 26 | construyen usando archivos de texto (por ejemplo, los sistemas Linux o Unix que |
|---|
| 27 | utilizan el archivo \textit{/etc/shadow}), o también es muy frecuente utilizar |
|---|
| 28 | un conjunto de relaciones u objetos en una base de datos. |
|---|
| 29 | |
|---|
| 30 | Algunas de las reglas básicas para almacenar contraseñas |
|---|
| 31 | se muestran a continuación: |
|---|
| 32 | |
|---|
| 33 | \begin{itemize} |
|---|
| 34 | \item Utilizar esquemas de seguridad para el resguardo de la base |
|---|
| 35 | de datos acorde con las reglas generales de administración de servidores, |
|---|
| 36 | sistemas de cómputo embebido o cualquier otro tipo de sistema |
|---|
| 37 | donde resida el almacén de datos. |
|---|
| 38 | \item No guardar las contraseñas en texto plano, en su lugar utilizar |
|---|
| 39 | algoritmos (con la suficiente fortaleza contra ataques) de una sola |
|---|
| 40 | vía para transformar las claves que ingrese el usuario. |
|---|
| 41 | \item Implementar políticas y protocolos de creación y asignación de |
|---|
| 42 | claves tales como: vinculación a dos o más correos electrónicos; prueba |
|---|
| 43 | de fortaleza de contraseñas; monitorear los accesos de los usuarios |
|---|
| 44 | por lugar, frecuencia; operaciones entre otras. |
|---|
| 45 | \item Realizar auditorias periódicas a todo el proceso de gestión de claves. |
|---|
| 46 | \end{itemize} |
|---|
| 47 | |
|---|
| 48 | Uno de los objetivos que debe tener cualquier sistema de protección |
|---|
| 49 | es proveer al usuario de instrumentos para mejorar su interacción |
|---|
| 50 | con los sistemas informáticos, evitándole hacer tareas engorrosas o difíciles, |
|---|
| 51 | sin que esta prerrogativa desmejore significativamente los niveles de |
|---|
| 52 | seguridad. En este sentido, actualmente están disponibles varias tecnologías |
|---|
| 53 | vinculadas con la gestión de contraseñas, que generalmente son implementadas |
|---|
| 54 | por todos los navegadores para la Internet, entre ellas están: |
|---|
| 55 | |
|---|
| 56 | |
|---|
| 57 | \begin{itemize} |
|---|
| 58 | \item \textit{\textbf{galletas informáticas}}: también denominadas ``cookies'', |
|---|
| 59 | son pequeñas porciones de información sobre los datos de acceso a |
|---|
| 60 | una aplicación (sesión). |
|---|
| 61 | \item \textit{\textbf{listas de claves}}: Es una lista donde se encuentran |
|---|
| 62 | asociadas las claves y nombres de usuarios con los sitios que se visitan en la |
|---|
| 63 | Internet. Cuando el usuario visita un sitio web que se encuentra en la lista, |
|---|
| 64 | el navegador ingresa automáticamente el nombre de usuario y su clave en el |
|---|
| 65 | formulario. |
|---|
| 66 | \item \textit{\textbf{Sistemas centralizados o locales de gestión de claves}}: |
|---|
| 67 | son aplicaciones en la web o de uso local (computadora,tableta o teléfono |
|---|
| 68 | móvil) para gestionar las claves de todos los sistemas al que los usuarios |
|---|
| 69 | acceden desde sus dispositivos electrónicos. |
|---|
| 70 | \end{itemize} |
|---|
| 71 | |
|---|
| 72 | |
|---|
| 73 | Por otra parte, para que una contraseña sea resistente a ataques de |
|---|
| 74 | fuerza bruta, debe contar con varias propiedades como las descritas más adelante. |
|---|
| 75 | Muchos sistemas verifican las claves antes de que sean asignadas, pero no pueden |
|---|
| 76 | asegurar de forma completa que la contraseña es inviolable dado que mucho de |
|---|
| 77 | la responsabilidad de uso reside en el propietario de la clave: el usuario. |
|---|
| 78 | |
|---|
| 79 | Generalmente para que una contraseña sea considerada fuerte, debe tener por |
|---|
| 80 | lo menos las siguientes propiedades: |
|---|
| 81 | |
|---|
| 82 | \begin{itemize} |
|---|
| 83 | \item Ser lo suficiente larga. Hoy en día, se considera ocho (8) caracteres |
|---|
| 84 | la extensión mínima de una contraseña para la mayoría de los sistemas |
|---|
| 85 | informáticos, este número puede disminuir si se acompaña con el uso de una |
|---|
| 86 | tarjeta o elemento físico seguro (\textit{ficha} o \textit{token}). |
|---|
| 87 | \item No ser una palabra contenida en diccionarios. |
|---|
| 88 | \item Estar compuesta por letras minúsculas, mayúsculas y caracteres especiales. |
|---|
| 89 | \end{itemize} |
|---|
| 90 | |
|---|
| 91 | Muchos sistemas informáticos cuentan entre sus políticas el cambio |
|---|
| 92 | periódico de claves por parte de los usuarios, con respecto a ello |
|---|
| 93 | Schneier en \cite{SCHNEIER:14} considera que la política citada |
|---|
| 94 | puede ser contraproducente y no se recomienda, debido a que si ya |
|---|
| 95 | se cuenta con una contraseña fuerte no existe la necesidad de cambiarla. |
|---|
| 96 | |
|---|
| 97 | Se estima que las contraseñas como método de control de acceso seguirán siendo |
|---|
| 98 | el método más popular varios años más, por lo tanto se hace necesario prestar |
|---|
| 99 | atención en los aspectos de gestión organizacional y técnica de este tipo de |
|---|
| 100 | herramienta, para lograr conectar de manera eficiente las políticas con las |
|---|
| 101 | aplicaciones y con las personas, tomando en cuenta que no se debe disminuir |
|---|
| 102 | demasiado la ergonomía en pro de la seguridad. |
|---|
| 103 | |
|---|
| 104 | |
|---|
| 105 | |
|---|
| 106 | |
|---|
| 107 | |
|---|
| 108 | |
|---|
| 109 | |
|---|
| 110 | |
|---|
