| 1 | \section{Gestión de contraseñas} |
|---|
| 2 | \label{section:gestionDeContrasenas} |
|---|
| 3 | |
|---|
| 4 | El objetivo de la gestión personal de contraseñas es seleccionar secuencias de |
|---|
| 5 | caracteres lo suficientemente difíciles |
|---|
| 6 | de ``romper'', es decir, que sean tales que difícilmente puedan |
|---|
| 7 | ser obtenidas mediante algún procedimiento que utilice una persona |
|---|
| 8 | no autorizada para acceder a los activos de información |
|---|
| 9 | que la contraseña protege. |
|---|
| 10 | |
|---|
| 11 | El uso de contraseñas es el mecanismo |
|---|
| 12 | más utilizado para la autenticación en los sistemas informáticos, |
|---|
| 13 | pero de la misma forma representa uno de |
|---|
| 14 | los puntos mas débiles en la seguridad de la información. |
|---|
| 15 | Utilizando técnicas como el |
|---|
| 16 | \textit{phising}, espionaje, ingeniería |
|---|
| 17 | social, engaño, extorsión o fuerza bruta se pueden obtener contraseñas y |
|---|
| 18 | provocar daños o alteraciones significativas a los activos de información. |
|---|
| 19 | |
|---|
| 20 | Hay muchos usuarios que eligen contraseñas muy cortas o de fácil |
|---|
| 21 | asociación con datos personales. |
|---|
| 22 | Existen sistemas informáticos que asignan de manera automáticas |
|---|
| 23 | contraseñas con un tamaño adecuado (por ejemplo de longitud mayor |
|---|
| 24 | o igual a 8) y cuyos caracteres |
|---|
| 25 | son seleccionados aleatoriamente entre símbolos, números y letras |
|---|
| 26 | minúsculas y mayúsculas, es decir, que cumplen con la condiciones |
|---|
| 27 | para una buena contraseña, pero que representan una carga para |
|---|
| 28 | los usuarios al ser difíciles de recordar. |
|---|
| 29 | |
|---|
| 30 | Existen algunas recomendaciones generales para la generación de |
|---|
| 31 | las contraseñas que pueden ser útiles para cualquier persona. |
|---|
| 32 | A continuación se describen algunas reglas a seguir para tener |
|---|
| 33 | contraseñas de difícil rompimiento: |
|---|
| 34 | |
|---|
| 35 | \begin{itemize} |
|---|
| 36 | |
|---|
| 37 | \item No solo se conformen con letras o números, es mejor utilizar |
|---|
| 38 | la combinación |
|---|
| 39 | de ambos grupos y que se incluyan mayúsculas, minúsculas |
|---|
| 40 | y caracteres especiales. |
|---|
| 41 | |
|---|
| 42 | |
|---|
| 43 | \item Usar siempre diferentes contraseñas para los |
|---|
| 44 | distintos sistemas informáticos. |
|---|
| 45 | |
|---|
| 46 | \item No utilice palabras que puedan encontrarse |
|---|
| 47 | en un diccionario (de inglés, español u otro idioma popular). |
|---|
| 48 | |
|---|
| 49 | \item No repita el mismo símbolo seguido en la contraseña, por |
|---|
| 50 | ejemplo evitar palabras del tipo "aaaaa" o "zzzzzz". |
|---|
| 51 | |
|---|
| 52 | \item Use contraseñas de longitud mayor o iguales a 8 símbolos |
|---|
| 53 | (caracteres). Este es un número mínimo para que la contraseña no |
|---|
| 54 | sea considerada de débil rompimiento. |
|---|
| 55 | |
|---|
| 56 | \item Pruebe la fortaleza de la contraseña con alguna herramienta |
|---|
| 57 | especializada o algún servicio certificado (que utilice protocolo |
|---|
| 58 | https y sea reconocido) en internet. |
|---|
| 59 | |
|---|
| 60 | \item No comparta las contraseñas con otras personas. En lugar de |
|---|
| 61 | ello solicite al administrador del sistema informático que active |
|---|
| 62 | procedimientos de delegación de tareas donde se le otorga un permiso |
|---|
| 63 | temporal a un tercero sin compartir la contraseña personal. |
|---|
| 64 | |
|---|
| 65 | \end{itemize} |
|---|
| 66 | |
|---|
| 67 | Ahora bien, cualquier persona se puede formular la siguiente |
|---|
| 68 | pregunta: ¿Cómo se puede generar una clave que sea fácil de |
|---|
| 69 | recordar, que cumpla |
|---|
| 70 | las recomendaciones descritas anteriormente, que no pueda |
|---|
| 71 | ser descubierta por |
|---|
| 72 | cualquier atacante, y que además, no genere una carga para |
|---|
| 73 | el usuario en su |
|---|
| 74 | generación, recordación, resguardo y utilización?. |
|---|
| 75 | |
|---|
| 76 | Como respuesta a esta pregunta se han desarrollado sistemas |
|---|
| 77 | de software integrados con los navegadores web que facilitan |
|---|
| 78 | la generación y resguardo de claves. |
|---|
| 79 | Sin embargo, |
|---|
| 80 | el principal elemento para contar con una buena gestión de |
|---|
| 81 | contraseñas es la responsabilidad de las personas para |
|---|
| 82 | generar y resguardar |
|---|
| 83 | sus claves, y se debe tomar en cuenta que esto depende de |
|---|
| 84 | las costumbres, el contexto social, el uso consciente, |
|---|
| 85 | el tipo de información que resguarda y el nivel de riesgo |
|---|
| 86 | que implica el acceso a determinados activos de información. |
|---|
| 87 | |
|---|
| 88 | \subsection{Tamaños de contraseñas} |
|---|
| 89 | |
|---|
| 90 | Suponga que existen 96 caracteres posibles a utilizar en |
|---|
| 91 | una clave (letras minúsculas y mayúsculas, |
|---|
| 92 | números y caracteres especiales). En una clave con 8 dígitos |
|---|
| 93 | existen $96^{8}$ %(7.213.895.789.838.336) |
|---|
| 94 | (más de 7 trillones) posibilidades para descubrirla y |
|---|
| 95 | analizando 1.000.000 posibilidades por segundo |
|---|
| 96 | tardaría 228 años, en probarlas |
|---|
| 97 | todas (peor de los casos)\cite{SCHNEIER:14}. |
|---|
| 98 | |
|---|
| 99 | \begin{comment} |
|---|
| 100 | %Cantidad de caracteres |
|---|
| 101 | %Letras (27) |
|---|
| 102 | %Letras y números (37) |
|---|
| 103 | %Letras minúsculas y mayúsculas (54) |
|---|
| 104 | %Letras, números y símbolos (96) |
|---|
| 105 | %5 |
|---|
| 106 | %14,349 seg |
|---|
| 107 | %69 seg |
|---|
| 108 | %459 seg |
|---|
| 109 | %2 horas |
|---|
| 110 | %6 |
|---|
| 111 | %387,42 seg |
|---|
| 112 | %2.565 seg |
|---|
| 113 | %6 horas |
|---|
| 114 | %217 horas |
|---|
| 115 | %7 |
|---|
| 116 | %2 horas |
|---|
| 117 | %26 horas |
|---|
| 118 | %371 horas |
|---|
| 119 | %2 años 4 meses |
|---|
| 120 | %8 |
|---|
| 121 | %78 horas |
|---|
| 122 | %975 horas |
|---|
| 123 | %2 años 3 meses |
|---|
| 124 | %228 años y 9 meses |
|---|
| 125 | %9 |
|---|
| 126 | %2118 horas |
|---|
| 127 | %4 años 1 mes |
|---|
| 128 | %123 años y 9 meses |
|---|
| 129 | %21960 años y 2 meses |
|---|
| 130 | %10 |
|---|
| 131 | %6 años 6 meses |
|---|
| 132 | %152 años y 5 meses |
|---|
| 133 | %6.685 años y 4 mese |
|---|
| 134 | %2.108.170 años y 2 meses |
|---|
| 135 | \end{comment} |
|---|
| 136 | |
|---|
| 137 | Probablemente no se dispone de esa cantidad de tiempo para verificarlos por |
|---|
| 138 | el método de fuerza bruta. Existen métodos que reducen el tiempo |
|---|
| 139 | de descubrimiento de |
|---|
| 140 | las contraseñas como probar primero con palabras de |
|---|
| 141 | diccionarios, palabras que tenga relación con el usuario, ya que la mayoría de |
|---|
| 142 | las contraseñas de los usuarios se conforman de esta manera. |
|---|
| 143 | |
|---|
| 144 | Existen técnicas básicas para la selección de contraseñas. |
|---|
| 145 | Se les puede explicar a los usuarios la importancia de usar secuencias |
|---|
| 146 | de caracteres difíciles como contraseñas, |
|---|
| 147 | sensibilizándolos en las posibles implicaciones de una mala gestión |
|---|
| 148 | de las contraseñas. |
|---|
| 149 | A continuación se explica un método para construir un contraseña fuerte que |
|---|
| 150 | permite ser recordada a través de la asociación. Para ello debemos seleccionar |
|---|
| 151 | una oración que sea fácil de recordar y a partir de ella generar la contraseña. |
|---|
| 152 | Por ejemplo: |
|---|
| 153 | |
|---|
| 154 | \begin{itemize} |
|---|
| 155 | \item Oración 1 (Ejemplo 1), \textit{Mi hermana Sofía me regaló una poderosa computadora} |
|---|
| 156 | |
|---|
| 157 | \item Oración 2 (Ejemplo 2), \textit{Pase todas las materias con 20 puntos} |
|---|
| 158 | \end{itemize} |
|---|
| 159 | |
|---|
| 160 | Si tomamos los primeros caracteres de cada palabra de la oración nos resultaría: |
|---|
| 161 | |
|---|
| 162 | \begin{itemize} |
|---|
| 163 | |
|---|
| 164 | \item Oración 1 (Ejemplo 1), \texttt{MhSmr1pc} |
|---|
| 165 | |
|---|
| 166 | \item Oración 2 (Ejemplo 2),\texttt{Ptlmc20p} |
|---|
| 167 | |
|---|
| 168 | \end{itemize} |
|---|
| 169 | |
|---|
| 170 | Si a esto se le incorpora reglas como por ejemplo, |
|---|
| 171 | cambiar la \texttt{p} por algún |
|---|
| 172 | símbolo, que para este caso será ($\%$), entonces las oraciones quedarían: |
|---|
| 173 | |
|---|
| 174 | \begin{itemize} |
|---|
| 175 | \item Oración 1 (Ejemplo 1), \texttt{MhSmr1$\%$c} |
|---|
| 176 | |
|---|
| 177 | \item Oración 2 (Ejemplo 2), \texttt{$\%$tlmc20$\%$} |
|---|
| 178 | |
|---|
| 179 | \end{itemize} |
|---|
| 180 | |
|---|
| 181 | Como se puede notar, de esta manera se generaría una buena |
|---|
| 182 | contraseña, que es difícil |
|---|
| 183 | de romper por un tercero, y fácil de recordar para la persona |
|---|
| 184 | ya que es generada |
|---|
| 185 | a partir de oraciones particulares que generalmente están |
|---|
| 186 | asociadas con el usuario autorizado. |
|---|
| 187 | |
|---|
