1 | \section{Gestión de contraseñas} |
---|
2 | \label{section:gestionDeContrasenas} |
---|
3 | |
---|
4 | El objetivo de la gestión personal de contraseñas es seleccionar secuencias de |
---|
5 | caracteres lo suficientemente difíciles |
---|
6 | de ``romper'', es decir, que sean tales que difícilmente puedan |
---|
7 | ser obtenidas mediante algún procedimiento que utilice una persona |
---|
8 | no autorizada para acceder a los activos de información |
---|
9 | que la contraseña protege. |
---|
10 | |
---|
11 | El uso de contraseñas es el mecanismo |
---|
12 | más utilizado para la autenticación en los sistemas informáticos, |
---|
13 | pero de la misma forma representa uno de |
---|
14 | los puntos mas débiles en la seguridad de la información. |
---|
15 | Utilizando técnicas como el |
---|
16 | \textit{phising}, espionaje, ingeniería |
---|
17 | social, engaño, extorsión o fuerza bruta se pueden obtener contraseñas y |
---|
18 | provocar daños o alteraciones significativas a los activos de información. |
---|
19 | |
---|
20 | Hay muchos usuarios que eligen contraseñas muy cortas o de fácil |
---|
21 | asociación con datos personales. |
---|
22 | Existen sistemas informáticos que asignan de manera automáticas |
---|
23 | contraseñas con un tamaño adecuado (por ejemplo de longitud mayor |
---|
24 | o igual a 8) y cuyos caracteres |
---|
25 | son seleccionados aleatoriamente entre símbolos, números y letras |
---|
26 | minúsculas y mayúsculas, es decir, que cumplen con la condiciones |
---|
27 | para una buena contraseña, pero que representan una carga para |
---|
28 | los usuarios al ser difíciles de recordar. |
---|
29 | |
---|
30 | Existen algunas recomendaciones generales para la generación de |
---|
31 | las contraseñas que pueden ser útiles para cualquier persona. |
---|
32 | A continuación se describen algunas reglas a seguir para tener |
---|
33 | contraseñas de difícil rompimiento: |
---|
34 | |
---|
35 | \begin{itemize} |
---|
36 | |
---|
37 | \item No solo se conformen con letras o números, es mejor utilizar |
---|
38 | la combinación |
---|
39 | de ambos grupos y que se incluyan mayúsculas, minúsculas |
---|
40 | y caracteres especiales. |
---|
41 | |
---|
42 | |
---|
43 | \item Usar siempre diferentes contraseñas para los |
---|
44 | distintos sistemas informáticos. |
---|
45 | |
---|
46 | \item No utilice palabras que puedan encontrarse |
---|
47 | en un diccionario (de inglés, español u otro idioma popular). |
---|
48 | |
---|
49 | \item No repita el mismo símbolo seguido en la contraseña, por |
---|
50 | ejemplo evitar palabras del tipo "aaaaa" o "zzzzzz". |
---|
51 | |
---|
52 | \item Use contraseñas de longitud mayor o iguales a 8 símbolos |
---|
53 | (caracteres). Este es un número mínimo para que la contraseña no |
---|
54 | sea considerada de débil rompimiento. |
---|
55 | |
---|
56 | \item Pruebe la fortaleza de la contraseña con alguna herramienta |
---|
57 | especializada o algún servicio certificado (que utilice protocolo |
---|
58 | https y sea reconocido) en internet. |
---|
59 | |
---|
60 | \item No comparta las contraseñas con otras personas. En lugar de |
---|
61 | ello solicite al administrador del sistema informático que active |
---|
62 | procedimientos de delegación de tareas donde se le otorga un permiso |
---|
63 | temporal a un tercero sin compartir la contraseña personal. |
---|
64 | |
---|
65 | \end{itemize} |
---|
66 | |
---|
67 | Ahora bien, cualquier persona se puede formular la siguiente |
---|
68 | pregunta: ¿Cómo se puede generar una clave que sea fácil de |
---|
69 | recordar, que cumpla |
---|
70 | las recomendaciones descritas anteriormente, que no pueda |
---|
71 | ser descubierta por |
---|
72 | cualquier atacante, y que además, no genere una carga para |
---|
73 | el usuario en su |
---|
74 | generación, recordación, resguardo y utilización?. |
---|
75 | |
---|
76 | Como respuesta a esta pregunta se han desarrollado sistemas |
---|
77 | de software integrados con los navegadores web que facilitan |
---|
78 | la generación y resguardo de claves. |
---|
79 | Sin embargo, |
---|
80 | el principal elemento para contar con una buena gestión de |
---|
81 | contraseñas es la responsabilidad de las personas para |
---|
82 | generar y resguardar |
---|
83 | sus claves, y se debe tomar en cuenta que esto depende de |
---|
84 | las costumbres, el contexto social, el uso consciente, |
---|
85 | el tipo de información que resguarda y el nivel de riesgo |
---|
86 | que implica el acceso a determinados activos de información. |
---|
87 | |
---|
88 | \subsection{Tamaños de contraseñas} |
---|
89 | |
---|
90 | Suponga que existen 96 caracteres posibles a utilizar en |
---|
91 | una clave (letras minúsculas y mayúsculas, |
---|
92 | números y caracteres especiales). En una clave con 8 dígitos |
---|
93 | existen $96^{8}$ %(7.213.895.789.838.336) |
---|
94 | (más de 7 trillones) posibilidades para descubrirla y |
---|
95 | analizando 1.000.000 posibilidades por segundo |
---|
96 | tardaría 228 años, en probarlas |
---|
97 | todas (peor de los casos)\cite{SCHNEIER:14}. |
---|
98 | |
---|
99 | \begin{comment} |
---|
100 | %Cantidad de caracteres |
---|
101 | %Letras (27) |
---|
102 | %Letras y números (37) |
---|
103 | %Letras minúsculas y mayúsculas (54) |
---|
104 | %Letras, números y símbolos (96) |
---|
105 | %5 |
---|
106 | %14,349 seg |
---|
107 | %69 seg |
---|
108 | %459 seg |
---|
109 | %2 horas |
---|
110 | %6 |
---|
111 | %387,42 seg |
---|
112 | %2.565 seg |
---|
113 | %6 horas |
---|
114 | %217 horas |
---|
115 | %7 |
---|
116 | %2 horas |
---|
117 | %26 horas |
---|
118 | %371 horas |
---|
119 | %2 años 4 meses |
---|
120 | %8 |
---|
121 | %78 horas |
---|
122 | %975 horas |
---|
123 | %2 años 3 meses |
---|
124 | %228 años y 9 meses |
---|
125 | %9 |
---|
126 | %2118 horas |
---|
127 | %4 años 1 mes |
---|
128 | %123 años y 9 meses |
---|
129 | %21960 años y 2 meses |
---|
130 | %10 |
---|
131 | %6 años 6 meses |
---|
132 | %152 años y 5 meses |
---|
133 | %6.685 años y 4 mese |
---|
134 | %2.108.170 años y 2 meses |
---|
135 | \end{comment} |
---|
136 | |
---|
137 | Probablemente no se dispone de esa cantidad de tiempo para verificarlos por |
---|
138 | el método de fuerza bruta. Existen métodos que reducen el tiempo |
---|
139 | de descubrimiento de |
---|
140 | las contraseñas como probar primero con palabras de |
---|
141 | diccionarios, palabras que tenga relación con el usuario, ya que la mayoría de |
---|
142 | las contraseñas de los usuarios se conforman de esta manera. |
---|
143 | |
---|
144 | Existen técnicas básicas para la selección de contraseñas. |
---|
145 | Se les puede explicar a los usuarios la importancia de usar secuencias |
---|
146 | de caracteres difíciles como contraseñas, |
---|
147 | sensibilizándolos en las posibles implicaciones de una mala gestión |
---|
148 | de las contraseñas. |
---|
149 | A continuación se explica un método para construir un contraseña fuerte que |
---|
150 | permite ser recordada a través de la asociación. Para ello debemos seleccionar |
---|
151 | una oración que sea fácil de recordar y a partir de ella generar la contraseña. |
---|
152 | Por ejemplo: |
---|
153 | |
---|
154 | \begin{itemize} |
---|
155 | \item Oración 1 (Ejemplo 1), \textit{Mi hermana Sofía me regaló una poderosa computadora} |
---|
156 | |
---|
157 | \item Oración 2 (Ejemplo 2), \textit{Pase todas las materias con 20 puntos} |
---|
158 | \end{itemize} |
---|
159 | |
---|
160 | Si tomamos los primeros caracteres de cada palabra de la oración nos resultaría: |
---|
161 | |
---|
162 | \begin{itemize} |
---|
163 | |
---|
164 | \item Oración 1 (Ejemplo 1), \texttt{MhSmr1pc} |
---|
165 | |
---|
166 | \item Oración 2 (Ejemplo 2),\texttt{Ptlmc20p} |
---|
167 | |
---|
168 | \end{itemize} |
---|
169 | |
---|
170 | Si a esto se le incorpora reglas como por ejemplo, |
---|
171 | cambiar la \texttt{p} por algún |
---|
172 | símbolo, que para este caso será ($\%$), entonces las oraciones quedarían: |
---|
173 | |
---|
174 | \begin{itemize} |
---|
175 | \item Oración 1 (Ejemplo 1), \texttt{MhSmr1$\%$c} |
---|
176 | |
---|
177 | \item Oración 2 (Ejemplo 2), \texttt{$\%$tlmc20$\%$} |
---|
178 | |
---|
179 | \end{itemize} |
---|
180 | |
---|
181 | Como se puede notar, de esta manera se generaría una buena |
---|
182 | contraseña, que es difícil |
---|
183 | de romper por un tercero, y fácil de recordar para la persona |
---|
184 | ya que es generada |
---|
185 | a partir de oraciones particulares que generalmente están |
---|
186 | asociadas con el usuario autorizado. |
---|
187 | |
---|