| 1 | \subsection{Contraseñas} |
|---|
| 2 | \label{cap1:contrasenas} |
|---|
| 3 | |
|---|
| 4 | Una contraseña es una palabra secreta que se utiliza generalmente en combinación con un nombre de usuario o correo electrónico para obtener acceso |
|---|
| 5 | a determinados recursos de un sistema informático. El sistema informático puede estar en la web, funcionar en un computador sin acceso a red, |
|---|
| 6 | o ser un hardware dedicado tal como un cajero automático de banco, o un mecanismo de control para el acceso a un lugar físico. |
|---|
| 7 | |
|---|
| 8 | |
|---|
| 9 | Las contraseñas son quizás, el método más utilizado para identificar a personas en el mundo digital. El acceso al correo electrónico, |
|---|
| 10 | a una sesión en una computadora, al sitio de un banco en internet, la acción para desbloquear un teléfono móvil, así como actividades que hacemos |
|---|
| 11 | a diario con los dispositivos lo utilizan como sistema primigenio y en muchas ocasiones como único procedimiento disponible para este fin. |
|---|
| 12 | |
|---|
| 13 | |
|---|
| 14 | En primer lugar, para construir un sistema de contraseñas se necesita un |
|---|
| 15 | almacén de datos, en el cual se guarden los elementos de información vinculados |
|---|
| 16 | con la clave, y que pueden representar el ámbito de operación de un usuario |
|---|
| 17 | dentro de un sistema informático, lo cual incluye esquemas de autorización para |
|---|
| 18 | operar sobre objetos o generar acciones. |
|---|
| 19 | |
|---|
| 20 | Generalmente los almacenes de datos para los esquemas de contraseñas se |
|---|
| 21 | construyen usando archivos de texto (por ejemplo, el usado por los sistemas Linux o Unix que es un |
|---|
| 22 | archivo \textit{/etc/shadow}), o también es muy frecuente utilizar un conjunto de relaciones u objetos en una base de datos. |
|---|
| 23 | |
|---|
| 24 | Algunas de las reglas básicas para almacenar contraseñas se muestran a continuación: |
|---|
| 25 | |
|---|
| 26 | \begin{itemize} |
|---|
| 27 | \item Utilizar esquemas de seguridad para el resguardo de la base de datos acorde con las reglas generales de administración de servidores, sistemas de cómputo embebido o cualquier otro tipo de sistema donde resida el almacén de datos. |
|---|
| 28 | \item No guardar las contraseñas en texto plano, en su lugar utilizar algoritmos (con la suficiente fortaleza contra ataques) de una sola vía para transformar las claves que ingrese el usuario. |
|---|
| 29 | \item Implementar políticas y protocolos de creación y asignación de claves tales como: vinculación a dos o más correos electrónicos; prueba de fortaleza de contraseñas; monitorear los accesos de los usuarios por lugar, frecuencia; operaciones entre otras. |
|---|
| 30 | \item Realizar auditorias periódicas a todo el proceso de gestión de claves. |
|---|
| 31 | \end{itemize} |
|---|
| 32 | |
|---|
| 33 | Uno de los objetivos que debe tener cualquier sistema de protección es proveer al usuario de |
|---|
| 34 | instrumentos para mejorar su interacción con los sistemas informáticos, evitándole hacer tareas engorrosas o difíciles, |
|---|
| 35 | sin que esta prerrogativa desmejore significativamente los niveles de seguridad. En este sentido, |
|---|
| 36 | actualmente están disponibles varias tecnologías vinculadas con la gestión de contraseñas, que |
|---|
| 37 | generalmente son implementadas por todos los navegadores para la Internet, entre ellas están: |
|---|
| 38 | |
|---|
| 39 | |
|---|
| 40 | \begin{itemize} |
|---|
| 41 | \item \textit{\textbf{cookies}}: son pequeñas porciones de información sobre los datos de acceso a una aplicación (sesión) . |
|---|
| 42 | \item \textit{\textbf{listas de claves}}: Es una lista donde se encuentran asociadas las claves y usuarios |
|---|
| 43 | con los sitios que se visitan en la Internet. Cuando el usuario visita un sitio que se encuentra en la lista, |
|---|
| 44 | el navegador ingresa automáticamente el nombre de usuario y su clave en el formulario. |
|---|
| 45 | \item \textit{\textbf{Sistemas centralizados o locales de gestión de claves}}: son aplicaciones en |
|---|
| 46 | la web o de uso local (computadora,tableta o teléfono móvil) para gestionar las claves de todos los |
|---|
| 47 | sistemas al que los usuarios ingresan desde sus dispositivos digitales. |
|---|
| 48 | \end{itemize} |
|---|
| 49 | |
|---|
| 50 | |
|---|
| 51 | Por otro parte, para que una contraseña sea resistente a ataques de fuerza bruta, debe contar con varias propiedades. |
|---|
| 52 | Muchos sistemas validan las claves antes de que sean asignadas, pero no pueden asegurar de forma |
|---|
| 53 | completa que la contraseña es inviolable dado que mucho de la responsabilidad de uso reside en el |
|---|
| 54 | propietario de la clave: el usuario. |
|---|
| 55 | |
|---|
| 56 | Generalmente para que una contraseña sea considerada fuerte, debe tener por lo menos las siguientes propiedades: |
|---|
| 57 | |
|---|
| 58 | \begin{itemize} |
|---|
| 59 | \item Ser lo suficiente larga. Hoy en día, se considera ocho (8) caracteres la extensión |
|---|
| 60 | mínima de una contraseña para la mayoría de los sistemas informáticos, este número puede |
|---|
| 61 | disminuir si se acompaña con el uso de una tarjeta o elemento físico seguro (\textit{token}). |
|---|
| 62 | \item No ser una palabra de diccionarios. |
|---|
| 63 | \item Estar compuesta por letras minúsculas, mayúsculas y caracteres especiales. |
|---|
| 64 | \end{itemize} |
|---|
| 65 | |
|---|
| 66 | Muchos sistemas informáticos cuentan entre sus políticas el cambio periódico de claves por parte de |
|---|
| 67 | los usuarios, con respecto a ello Schneier en \cite{SCHNEIER:14} considera que la política citada |
|---|
| 68 | puede ser contraproducente y no se recomienda, debido a que si ya se cuenta con una contraseña |
|---|
| 69 | fuerte no existe la necesidad de cambiarla. |
|---|
| 70 | |
|---|
| 71 | Las contraseñas como método de control de acceso seguirá siendo por lo menos por unos cuantos |
|---|
| 72 | años más el método más popular, por lo tanto se hace necesario prestar atención en los aspectos |
|---|
| 73 | de gestión organizacional y técnica de este tipo de herramienta, logrando conectar de manera |
|---|
| 74 | eficiente las políticas con las aplicaciones y con las personas, tomando en cuenta que no se |
|---|
| 75 | debe disminuir la ergonomía significativamente en pro de la seguridad. |
|---|
| 76 | |
|---|
| 77 | |
|---|
| 78 | |
|---|
| 79 | |
|---|
| 80 | |
|---|
| 81 | |
|---|
| 82 | |
|---|
| 83 | |
|---|
