[2697999] | 1 | \section{Gestión de contraseñas} |
---|
[147fb25] | 2 | \label{section:gestionDeContrasenas} |
---|
| 3 | |
---|
[9eaa9ea] | 4 | El objetivo de la gestión personal de contraseñas es seleccionar secuencias de |
---|
| 5 | caracteres lo suficientemente difíciles |
---|
| 6 | de ``romper'', es decir, que sean tales que difícilmente puedan |
---|
| 7 | ser obtenidas mediante algún procedimiento que utilice una persona |
---|
| 8 | no autorizada para acceder a los activos de información |
---|
| 9 | que la contraseña protege. |
---|
[2697999] | 10 | |
---|
| 11 | El uso de contraseñas es el mecanismo |
---|
[9eaa9ea] | 12 | más utilizado para la autenticación en los sistemas informáticos, |
---|
| 13 | pero de la misma forma representa uno de |
---|
| 14 | los puntos mas débiles en la seguridad de la información. |
---|
| 15 | Utilizando técnicas como el |
---|
[bff2774] | 16 | \textit{phising}, espionaje, ingeniería |
---|
| 17 | social, engaño, extorsión o fuerza bruta se pueden obtener contraseñas y |
---|
[a373526] | 18 | provocar daños o alteraciones significativas a los activos de información. |
---|
[2697999] | 19 | |
---|
[9eaa9ea] | 20 | Hay muchos usuarios que eligen contraseñas muy cortas o de fácil |
---|
| 21 | asociación con datos personales. |
---|
| 22 | Existen sistemas informáticos que asignan de manera automáticas |
---|
| 23 | contraseñas con un tamaño adecuado (por ejemplo de longitud mayor |
---|
| 24 | o igual a 8) y cuyos caracteres |
---|
| 25 | son seleccionados aleatoriamente entre símbolos, números y letras |
---|
| 26 | minúsculas y mayúsculas, es decir, que cumplen con la condiciones |
---|
| 27 | para una buena contraseña, pero que representan una carga para |
---|
| 28 | los usuarios al ser difíciles de recordar. |
---|
| 29 | |
---|
| 30 | Existen algunas recomendaciones generales para la generación de |
---|
| 31 | las contraseñas que pueden ser útiles para cualquier persona. |
---|
| 32 | A continuación se describen algunas reglas a seguir para tener |
---|
| 33 | contraseñas de difícil rompimiento: |
---|
[147fb25] | 34 | |
---|
[a373526] | 35 | \begin{itemize} |
---|
[147fb25] | 36 | |
---|
[9eaa9ea] | 37 | \item No solo se conformen con letras o números, es mejor utilizar |
---|
| 38 | la combinación |
---|
| 39 | de ambos grupos y que se incluyan mayúsculas, minúsculas |
---|
| 40 | y caracteres especiales. |
---|
[147fb25] | 41 | |
---|
| 42 | |
---|
[9eaa9ea] | 43 | \item Usar siempre diferentes contraseñas para los |
---|
| 44 | distintos sistemas informáticos. |
---|
[147fb25] | 45 | |
---|
[9eaa9ea] | 46 | \item No utilice palabras que puedan encontrarse |
---|
| 47 | en un diccionario (de inglés, español u otro idioma popular). |
---|
[2f5fd50] | 48 | |
---|
[9eaa9ea] | 49 | \item No repita el mismo símbolo seguido en la contraseña, por |
---|
| 50 | ejemplo evitar palabras del tipo "aaaaa" o "zzzzzz". |
---|
[2f5fd50] | 51 | |
---|
[9eaa9ea] | 52 | \item Use contraseñas de longitud mayor o iguales a 8 símbolos |
---|
| 53 | (caracteres). Este es un número mínimo para que la contraseña no |
---|
| 54 | sea considerada de débil rompimiento. |
---|
[2f5fd50] | 55 | |
---|
[9eaa9ea] | 56 | \item Pruebe la fortaleza de la contraseña con alguna herramienta |
---|
| 57 | especializada o algún servicio certificado (que utilice protocolo |
---|
| 58 | https y sea reconocido) en internet. |
---|
[2f5fd50] | 59 | |
---|
[9eaa9ea] | 60 | \item No comparta las contraseñas con otras personas. En lugar de |
---|
| 61 | ello solicite al administrador del sistema informático que active |
---|
| 62 | procedimientos de delegación de tareas donde se le otorga un permiso |
---|
| 63 | temporal a un tercero sin compartir la contraseña personal. |
---|
[147fb25] | 64 | |
---|
[a373526] | 65 | \end{itemize} |
---|
[147fb25] | 66 | |
---|
[9eaa9ea] | 67 | Ahora bien, cualquier persona se puede formular la siguiente |
---|
| 68 | pregunta: ¿Cómo se puede generar una clave que sea fácil de |
---|
| 69 | recordar, que cumpla |
---|
| 70 | las recomendaciones descritas anteriormente, que no pueda |
---|
| 71 | ser descubierta por |
---|
| 72 | cualquier atacante, y que además, no genere una carga para |
---|
| 73 | el usuario en su |
---|
[2697999] | 74 | generación, recordación, resguardo y utilización?. |
---|
| 75 | |
---|
[bff2774] | 76 | Como respuesta a esta pregunta se han desarrollado sistemas |
---|
[9eaa9ea] | 77 | de software integrados con los navegadores web que facilitan |
---|
| 78 | la generación y resguardo de claves. |
---|
[2f5fd50] | 79 | Sin embargo, |
---|
[9eaa9ea] | 80 | el principal elemento para contar con una buena gestión de |
---|
| 81 | contraseñas es la responsabilidad de las personas para |
---|
| 82 | generar y resguardar |
---|
| 83 | sus claves, y se debe tomar en cuenta que esto depende de |
---|
| 84 | las costumbres, el contexto social, el uso consciente, |
---|
| 85 | el tipo de información que resguarda y el nivel de riesgo |
---|
| 86 | que implica el acceso a determinados activos de información. |
---|
[147fb25] | 87 | |
---|
[a373526] | 88 | \subsection{Tamaños de contraseñas} |
---|
[147fb25] | 89 | |
---|
[9eaa9ea] | 90 | Suponga que existen 96 caracteres posibles a utilizar en |
---|
| 91 | una clave (letras minúsculas y mayúsculas, |
---|
| 92 | números y caracteres especiales). En una clave con 8 dígitos |
---|
| 93 | existen $96^{8}$ %(7.213.895.789.838.336) |
---|
| 94 | (más de 7 trillones) posibilidades para descubrirla y |
---|
| 95 | analizando 1.000.000 posibilidades por segundo |
---|
| 96 | tardaría 228 años, en probarlas |
---|
| 97 | todas (peor de los casos)\cite{SCHNEIER:14}. |
---|
[147fb25] | 98 | |
---|
[9eaa9ea] | 99 | \begin{comment} |
---|
[147fb25] | 100 | %Cantidad de caracteres |
---|
| 101 | %Letras (27) |
---|
| 102 | %Letras y números (37) |
---|
| 103 | %Letras minúsculas y mayúsculas (54) |
---|
| 104 | %Letras, números y símbolos (96) |
---|
| 105 | %5 |
---|
| 106 | %14,349 seg |
---|
| 107 | %69 seg |
---|
| 108 | %459 seg |
---|
| 109 | %2 horas |
---|
| 110 | %6 |
---|
| 111 | %387,42 seg |
---|
| 112 | %2.565 seg |
---|
| 113 | %6 horas |
---|
| 114 | %217 horas |
---|
| 115 | %7 |
---|
| 116 | %2 horas |
---|
| 117 | %26 horas |
---|
| 118 | %371 horas |
---|
| 119 | %2 años 4 meses |
---|
| 120 | %8 |
---|
| 121 | %78 horas |
---|
| 122 | %975 horas |
---|
| 123 | %2 años 3 meses |
---|
| 124 | %228 años y 9 meses |
---|
| 125 | %9 |
---|
| 126 | %2118 horas |
---|
| 127 | %4 años 1 mes |
---|
| 128 | %123 años y 9 meses |
---|
| 129 | %21960 años y 2 meses |
---|
| 130 | %10 |
---|
| 131 | %6 años 6 meses |
---|
| 132 | %152 años y 5 meses |
---|
| 133 | %6.685 años y 4 mese |
---|
| 134 | %2.108.170 años y 2 meses |
---|
[9eaa9ea] | 135 | \end{comment} |
---|
[147fb25] | 136 | |
---|
| 137 | Probablemente no se dispone de esa cantidad de tiempo para verificarlos por |
---|
[9eaa9ea] | 138 | el método de fuerza bruta. Existen métodos que reducen el tiempo |
---|
| 139 | de descubrimiento de |
---|
[bff2774] | 140 | las contraseñas como probar primero con palabras de |
---|
[147fb25] | 141 | diccionarios, palabras que tenga relación con el usuario, ya que la mayoría de |
---|
[a373526] | 142 | las contraseñas de los usuarios se conforman de esta manera. |
---|
[147fb25] | 143 | |
---|
| 144 | Existen técnicas básicas para la selección de contraseñas. |
---|
[9eaa9ea] | 145 | Se les puede explicar a los usuarios la importancia de usar secuencias |
---|
| 146 | de caracteres difíciles como contraseñas, |
---|
| 147 | sensibilizándolos en las posibles implicaciones de una mala gestión |
---|
| 148 | de las contraseñas. |
---|
[c1c9daf] | 149 | A continuación se explica un método para construir un contraseña fuerte que |
---|
| 150 | permite ser recordada a través de la asociación. Para ello debemos seleccionar |
---|
| 151 | una oración que sea fácil de recordar y a partir de ella generar la contraseña. |
---|
| 152 | Por ejemplo: |
---|
[147fb25] | 153 | |
---|
| 154 | \begin{itemize} |
---|
[bff2774] | 155 | \item Oración 1 (Ejemplo 1), \textit{Mi hermana Sofía me regaló una poderosa computadora} |
---|
[147fb25] | 156 | |
---|
[bff2774] | 157 | \item Oración 2 (Ejemplo 2), \textit{Pase todas las materias con 20 puntos} |
---|
[147fb25] | 158 | \end{itemize} |
---|
| 159 | |
---|
[2697999] | 160 | Si tomamos los primeros caracteres de cada palabra de la oración nos resultaría: |
---|
[147fb25] | 161 | |
---|
| 162 | \begin{itemize} |
---|
| 163 | |
---|
[bff2774] | 164 | \item Oración 1 (Ejemplo 1), \texttt{MhSmr1pc} |
---|
[147fb25] | 165 | |
---|
[bff2774] | 166 | \item Oración 2 (Ejemplo 2),\texttt{Ptlmc20p} |
---|
[147fb25] | 167 | |
---|
| 168 | \end{itemize} |
---|
| 169 | |
---|
[9eaa9ea] | 170 | Si a esto se le incorpora reglas como por ejemplo, |
---|
| 171 | cambiar la \texttt{p} por algún |
---|
[147fb25] | 172 | símbolo, que para este caso será ($\%$), entonces las oraciones quedarían: |
---|
| 173 | |
---|
| 174 | \begin{itemize} |
---|
[bff2774] | 175 | \item Oración 1 (Ejemplo 1), \texttt{MhSmr1$\%$c} |
---|
[147fb25] | 176 | |
---|
[bff2774] | 177 | \item Oración 2 (Ejemplo 2), \texttt{$\%$tlmc20$\%$} |
---|
[147fb25] | 178 | |
---|
| 179 | \end{itemize} |
---|
| 180 | |
---|
[9eaa9ea] | 181 | Como se puede notar, de esta manera se generaría una buena |
---|
| 182 | contraseña, que es difícil |
---|
| 183 | de romper por un tercero, y fácil de recordar para la persona |
---|
| 184 | ya que es generada |
---|
| 185 | a partir de oraciones particulares que generalmente están |
---|
| 186 | asociadas con el usuario autorizado. |
---|
[2697999] | 187 | |
---|