1 | \section{Gestión de Contraseñas} |
---|
2 | \label{section:gestionDeContrasenas} |
---|
3 | |
---|
4 | Mantener las contraseñas en secreto o tener una contraseña lo suficientemente difícil |
---|
5 | de adivinar para cada uno de los usuarios es uno de los problemas que se presenta usualmente para la seguridad de un servicio o sistema informático. |
---|
6 | |
---|
7 | El uso de contraseñas es el mecanismo |
---|
8 | más utilizado para la autenticación en los sistemas y que representa uno de |
---|
9 | los puntos mas débiles en la seguridad de la información, ya que cuando se revelan |
---|
10 | las contraseñas, ya sea por robo, espionaje, ingeniería |
---|
11 | social, engaño, extorsión, fuerza bruta, se puede acceder a los sistemas y |
---|
12 | provocar daños o alteraciones significativas a los activos de información.\\ |
---|
13 | |
---|
14 | Hay muchos usuarios que eligen contraseñas muy cortas o de fácil asociación con datos personales., |
---|
15 | Otras veces se asignan contraseñas con un tamaño mínimo (por ejemplo 8 caracteres) y cuyos caracteres |
---|
16 | son seleccionados aleatoriamente, es decir, que cumplen con la condiciones para una buena contraseña pero |
---|
17 | también son de difícil recordación para la mayoría de los usuarios. |
---|
18 | |
---|
19 | |
---|
20 | Existen algunas recomendaciones generales para la gestión de las claves |
---|
21 | que se listan a continuación:\\ |
---|
22 | |
---|
23 | \begin{enumerate} |
---|
24 | |
---|
25 | \item No solo se conformen con letras o números, es mejor utilizar la combinación |
---|
26 | de ambos grupos y que incluyan mayúsculas, minúsculas y caracteres especiales |
---|
27 | |
---|
28 | \item Usar diferentes claves para los distintos servicios. |
---|
29 | |
---|
30 | \item No utilizar palabras del diccionario. |
---|
31 | |
---|
32 | \item Deben ser mayor a 8 dígitos. |
---|
33 | |
---|
34 | \item No compartir las claves. |
---|
35 | \end{enumerate} |
---|
36 | |
---|
37 | ¿Cómo se puede generar una clave que sea fácil de recordar, que cumpla |
---|
38 | las recomendaciones descritas anteriomente, que no pueda ser desacubierta por |
---|
39 | cualquier atacante, y que además, no genere una carga para el usuario; en su |
---|
40 | generación, recordación, resguardo y utilización?. |
---|
41 | |
---|
42 | En respuesta a esta pregunta se han desarrollado sistemas |
---|
43 | de software multiplataforma, integrados con los navegadores web que facilitan la generación y resguardo de claves, Sin embargo, |
---|
44 | el principal elemento para contar con una buena gestión de contraseñas es la responsabilidad de las personas para generar y resguardar |
---|
45 | sus claves, y es de tomar en cuenta que esto depende de sus costumbres, el contexto social, el uso consciente, |
---|
46 | el tipo de información que resguarda y el nivel de riesgo que implica el acceso a los activos de información.\\ |
---|
47 | |
---|
48 | \subsection{Claves con menos de ocho dígitos} |
---|
49 | |
---|
50 | Suponga que existen 96 caracteres posibles a utilizar en una clave (letras minúsculas y mayúsculas, |
---|
51 | números, símbolos). En una clave con 8 dígitos existen $96^{8}$ (7.213.895.789.838.336) |
---|
52 | posibilidades para adivinarla y analizando 1.000.000 posibilidades por segundo |
---|
53 | tardaría 228 años, en probarlas todas (peor de los casos).\\ |
---|
54 | |
---|
55 | %Cantidad de caracteres |
---|
56 | %Letras (27) |
---|
57 | %Letras y números (37) |
---|
58 | %Letras minúsculas y mayúsculas (54) |
---|
59 | %Letras, números y símbolos (96) |
---|
60 | %5 |
---|
61 | %14,349 seg |
---|
62 | %69 seg |
---|
63 | %459 seg |
---|
64 | %2 horas |
---|
65 | %6 |
---|
66 | %387,42 seg |
---|
67 | %2.565 seg |
---|
68 | %6 horas |
---|
69 | %217 horas |
---|
70 | %7 |
---|
71 | %2 horas |
---|
72 | %26 horas |
---|
73 | %371 horas |
---|
74 | %2 años 4 meses |
---|
75 | %8 |
---|
76 | %78 horas |
---|
77 | %975 horas |
---|
78 | %2 años 3 meses |
---|
79 | %228 años y 9 meses |
---|
80 | %9 |
---|
81 | %2118 horas |
---|
82 | %4 años 1 mes |
---|
83 | %123 años y 9 meses |
---|
84 | %21960 años y 2 meses |
---|
85 | %10 |
---|
86 | %6 años 6 meses |
---|
87 | %152 años y 5 meses |
---|
88 | %6.685 años y 4 mese |
---|
89 | %2.108.170 años y 2 meses |
---|
90 | |
---|
91 | Probablemente no se dispone de esa cantidad de tiempo para verificarlos por |
---|
92 | el método de fuerza bruta. Existen métodos que reducen el tiempo de descubrimiento de |
---|
93 | las contraseñas, como probar primero con palabras de |
---|
94 | diccionarios, palabras que tenga relación con el usuario, ya que la mayoría de |
---|
95 | las contraseñas de los usuarios se conforman de esta manera.\\ |
---|
96 | |
---|
97 | Existen técnicas básicas para la selección de contraseñas. |
---|
98 | Se les puede explicar a los usuarios la importancia de usar palabras difíciles de adivinar, |
---|
99 | sensibilizándolos en las posibles implicaciones de una mala gestión de las contraseñas. |
---|
100 | Recomendaciones para la selección de las contraseña fuertes\\ |
---|
101 | |
---|
102 | |
---|
103 | Seleccionar una oración que sea fácil de recordar y a partir de ella generar |
---|
104 | la contraseña. Por ejemplo:\\ |
---|
105 | |
---|
106 | \begin{itemize} |
---|
107 | \item Oración 1, \textit{Mi hermana Sofía me regaló una poderosa computadora} |
---|
108 | |
---|
109 | \item Oración 2, \textit{Pase todas las materias con 20 puntos} |
---|
110 | \end{itemize} |
---|
111 | |
---|
112 | Si tomamos los primeros caracteres de cada palabra de la oración nos resultaría: |
---|
113 | |
---|
114 | \begin{itemize} |
---|
115 | |
---|
116 | \item Oración 1, \texttt{MhSmr1pc} |
---|
117 | |
---|
118 | \item Oración 2,\texttt{Ptlmc20p} |
---|
119 | |
---|
120 | \end{itemize} |
---|
121 | |
---|
122 | Si a esto se le incorpora reglas como por ejemplo, cambiar la \texttt{p} por algún |
---|
123 | símbolo, que para este caso será ($\%$), entonces las oraciones quedarían: |
---|
124 | |
---|
125 | \begin{itemize} |
---|
126 | \item Oración 1, \texttt{MhSmr1$\%$c} |
---|
127 | |
---|
128 | \item Oración 2, \texttt{$\%$tlmc20$\%$} |
---|
129 | |
---|
130 | \end{itemize} |
---|
131 | |
---|
132 | Como se puede notar, de esta manera se generaría una buena contraseña, que es difícil |
---|
133 | de adivinar por un tercero, y fácil de recordar para la persona ya que es generada |
---|
134 | a partir de oraciones particulares que generalmente están asociadas con |
---|