Changeset 969cb45 in libros for maquetacion/capitulo2/gestionContrasenas.tex
- Timestamp:
- Oct 16, 2014, 8:55:14 AM (10 years ago)
- Branches:
- revisionfinal
- Children:
- 22dcb0c
- Parents:
- 772329b
- git-author:
- Dhionel Díaz <ddiaz@…> (14/10/14 11:55:35)
- git-committer:
- aaraujo <aaraujo@…> (16/10/14 08:55:14)
- File:
-
- 1 edited
Legend:
- Unmodified
- Added
- Removed
-
maquetacion/capitulo2/gestionContrasenas.tex
- Property mode changed from 100755 to 100644
r9eaa9ea r969cb45 2 2 \label{section:gestionDeContrasenas} 3 3 4 El objetivo de la gestión personal de contraseñas es seleccionar secuencias de 5 caracteres lo suficientemente difíciles 6 de ``romper'', es decir, que sean tales que difícilmente puedan 7 ser obtenidas mediante algún procedimiento que utilice una persona 8 no autorizada para acceder a los activos de información 9 que la contraseña protege. 4 El objetivo de la gestión personal de contraseñas es seleccionar secuencias de caracteres lo suficientemente difíciles de ``romper'', es decir, que sean tales que difícilmente puedan ser obtenidas mediante algún procedimiento que utilice una persona no autorizada para acceder a los activos de información que la contraseña protege. 10 5 11 El uso de contraseñas es el mecanismo 12 más utilizado para la autenticación en los sistemas informáticos, 13 pero de la misma forma representa uno de 14 los puntos mas débiles en la seguridad de la información. 15 Utilizando técnicas como el 16 \textit{phising}, espionaje, ingeniería 17 social, engaño, extorsión o fuerza bruta se pueden obtener contraseñas y 18 provocar daños o alteraciones significativas a los activos de información. 6 El uso de contraseñas es el mecanismo más utilizado para la autenticación en los sistemas informáticos, pero de la misma forma representa uno de los puntos mas débiles en la seguridad de la información. 7 Utilizando técnicas como el \textit{phising}, espionaje, ingeniería social, engaño, extorsión o fuerza bruta se pueden obtener contraseñas y provocar daños o alteraciones significativas a los activos de información. 19 8 20 Hay muchos usuarios que eligen contraseñas muy cortas o de fácil 21 asociación con datos personales. 22 Existen sistemas informáticos que asignan de manera automáticas 23 contraseñas con un tamaño adecuado (por ejemplo de longitud mayor 24 o igual a 8) y cuyos caracteres 25 son seleccionados aleatoriamente entre símbolos, números y letras 26 minúsculas y mayúsculas, es decir, que cumplen con la condiciones 27 para una buena contraseña, pero que representan una carga para 28 los usuarios al ser difíciles de recordar. 9 Hay muchos usuarios que eligen contraseñas muy cortas o de fácil asociación con datos personales. 10 Existen sistemas informáticos que asignan de manera automáticas contraseñas con un tamaño adecuado (por ejemplo de longitud mayor o igual a 8) y cuyos caracteres son seleccionados aleatoriamente entre símbolos, números y letras minúsculas y mayúsculas, es decir, que cumplen con la condiciones para una buena contraseña, pero que representan una carga para los usuarios al ser difíciles de recordar. 29 11 30 Existen algunas recomendaciones generales para la generación de 31 las contraseñas que pueden ser útiles para cualquier persona. 32 A continuación se describen algunas reglas a seguir para tener 33 contraseñas de difícil rompimiento: 12 Existen algunas recomendaciones generales para la generación de las contraseñas que pueden ser útiles para cualquier persona. 13 A continuación se describen algunas reglas a seguir para tener contraseñas de difícil rompimiento: 34 14 35 15 \begin{itemize} 36 16 37 \item No solo se conformen con letras o números, es mejor utilizar 38 la combinación 39 de ambos grupos y que se incluyan mayúsculas, minúsculas 40 y caracteres especiales. 17 \item 18 No solo se conformen con letras o números, es mejor utilizar la combinación de ambos grupos y que se incluyan mayúsculas, minúsculas y caracteres especiales. 41 19 42 20 43 \item Usar siempre diferentes contraseñas para los44 distintos sistemas informáticos.21 \item 22 Usar siempre diferentes contraseñas para los distintos sistemas informáticos. 45 23 46 \item No utilice palabras que puedan encontrarse47 en un diccionario (de inglés, español u otro idioma popular).24 \item 25 No utilice palabras que puedan encontrarse en un diccionario (de inglés, español u otro idioma popular). 48 26 49 \item No repita el mismo símbolo seguido en la contraseña, por50 ejemplo evitar palabras del tipo "aaaaa" o "zzzzzz".27 \item 28 No repita el mismo símbolo seguido en la contraseña, por ejemplo evitar palabras del tipo "aaaaa" o "zzzzzz". 51 29 52 \item Use contraseñas de longitud mayor o iguales a 8 símbolos53 (caracteres). Este es un número mínimo para que la contraseña no 54 sea considerada de débil rompimiento.30 \item 31 Use contraseñas de longitud mayor o iguales a 8 símbolos (caracteres). 32 Este es un número mínimo para que la contraseña no sea considerada de débil rompimiento. 55 33 56 \item Pruebe la fortaleza de la contraseña con alguna herramienta 57 especializada o algún servicio certificado (que utilice protocolo 58 https y sea reconocido) en internet. 34 \item 35 Pruebe la fortaleza de la contraseña con alguna herramienta especializada o algún servicio certificado (que utilice protocolo https y sea reconocido) en internet. 59 36 60 \item No comparta las contraseñas con otras personas. En lugar de 61 ello solicite al administrador del sistema informático que active 62 procedimientos de delegación de tareas donde se le otorga un permiso 63 temporal a un tercero sin compartir la contraseña personal. 37 \item 38 No comparta las contraseñas con otras personas. 39 En lugar de ello solicite al administrador del sistema informático que active procedimientos de delegación de tareas donde se le otorga un permiso temporal a un tercero sin compartir la contraseña personal. 64 40 65 41 \end{itemize} 66 42 67 Ahora bien, cualquier persona se puede formular la siguiente 68 pregunta: ¿Cómo se puede generar una clave que sea fácil de 69 recordar, que cumpla 70 las recomendaciones descritas anteriormente, que no pueda 71 ser descubierta por 72 cualquier atacante, y que además, no genere una carga para 73 el usuario en su 74 generación, recordación, resguardo y utilización?. 43 Ahora bien, cualquier persona se puede formular la siguiente pregunta: ¿Cómo se puede generar una clave que sea fácil de recordar, que cumpla las recomendaciones descritas anteriormente, que no pueda ser descubierta por cualquier atacante, y que además, no genere una carga para el usuario en su generación, recordación, resguardo y utilización?. 75 44 76 Como respuesta a esta pregunta se han desarrollado sistemas 77 de software integrados con los navegadores web que facilitan 78 la generación y resguardo de claves. 79 Sin embargo, 80 el principal elemento para contar con una buena gestión de 81 contraseñas es la responsabilidad de las personas para 82 generar y resguardar 83 sus claves, y se debe tomar en cuenta que esto depende de 84 las costumbres, el contexto social, el uso consciente, 85 el tipo de información que resguarda y el nivel de riesgo 86 que implica el acceso a determinados activos de información. 45 Como respuesta a esta pregunta se han desarrollado sistemas de software integrados con los navegadores web que facilitan la generación y resguardo de claves. 46 Sin embargo, el principal elemento para contar con una buena gestión de contraseñas es la responsabilidad de las personas para generar y resguardar sus claves, y se debe tomar en cuenta que esto depende de las costumbres, el contexto social, el uso consciente, el tipo de información que resguarda y el nivel de riesgo que implica el acceso a determinados activos de información. 87 47 88 48 \subsection{Tamaños de contraseñas} 89 49 90 Suponga que existen 96 caracteres posibles a utilizar en 91 una clave (letras minúsculas y mayúsculas, 92 números y caracteres especiales). En una clave con 8 dígitos 93 existen $96^{8}$ %(7.213.895.789.838.336) 94 (más de 7 trillones) posibilidades para descubrirla y 95 analizando 1.000.000 posibilidades por segundo 96 tardaría 228 años, en probarlas 97 todas (peor de los casos)\cite{SCHNEIER:14}. 50 Suponga que existen 96 caracteres posibles a utilizar en una clave (letras minúsculas y mayúsculas, números y caracteres especiales). 51 En una clave con 8 dígitos existen 52 $96^{8}$ %(7.213.895.789.838.336) 53 (más de 7 trillones) posibilidades para descubrirla y analizando 1.000.000 posibilidades por segundo tardaría 228 años, en probarlas todas (peor de los casos)\cite{SCHNEIER:14}. 98 54 99 55 \begin{comment} … … 135 91 \end{comment} 136 92 137 Probablemente no se dispone de esa cantidad de tiempo para verificarlos por 138 el método de fuerza bruta. Existen métodos que reducen el tiempo 139 de descubrimiento de 140 las contraseñas como probar primero con palabras de 141 diccionarios, palabras que tenga relación con el usuario, ya que la mayoría de 142 las contraseñas de los usuarios se conforman de esta manera. 93 Probablemente no se dispone de esa cantidad de tiempo para verificarlos por el método de fuerza bruta. 94 Existen métodos que reducen el tiempo de descubrimiento de las contraseñas como probar primero con palabras de diccionarios, palabras que tenga relación con el usuario, ya que la mayoría de las contraseñas de los usuarios se conforman de esta manera. 143 95 144 Existen técnicas básicas para la selección de contraseñas. 145 Se les puede explicar a los usuarios la importancia de usar secuencias 146 de caracteres difíciles como contraseñas, 147 sensibilizándolos en las posibles implicaciones de una mala gestión 148 de las contraseñas. 149 A continuación se explica un método para construir un contraseña fuerte que 150 permite ser recordada a través de la asociación. Para ello debemos seleccionar 151 una oración que sea fácil de recordar y a partir de ella generar la contraseña. 96 Existen técnicas básicas para la selección de contraseñas. 97 Se les puede explicar a los usuarios la importancia de usar secuencias de caracteres difíciles como contraseñas, sensibilizándolos en las posibles implicaciones de una mala gestión de las contraseñas. 98 A continuación se explica un método para construir un contraseña fuerte que permite ser recordada a través de la asociación. 99 Para ello debemos seleccionar una oración que sea fácil de recordar y a partir de ella generar la contraseña. 152 100 Por ejemplo: 153 101 154 102 \begin{itemize} 155 \item Oración 1 (Ejemplo 1), \textit{Mi hermana Sofía me regaló una poderosa computadora} 103 \item 104 Oración 1 (Ejemplo 1), \textit{Mi hermana Sofía me regaló una poderosa computadora} 156 105 157 \item Oración 2 (Ejemplo 2), \textit{Pase todas las materias con 20 puntos} 106 \item 107 Oración 2 (Ejemplo 2), \textit{Pase todas las materias con 20 puntos} 158 108 \end{itemize} 159 109 … … 162 112 \begin{itemize} 163 113 164 \item Oración 1 (Ejemplo 1), \texttt{MhSmr1pc} 114 \item 115 Oración 1 (Ejemplo 1), \texttt{MhSmr1pc} 165 116 166 \item Oración 2 (Ejemplo 2),\texttt{Ptlmc20p} 117 \item 118 Oración 2 (Ejemplo 2),\texttt{Ptlmc20p} 167 119 168 120 \end{itemize} 169 121 170 Si a esto se le incorpora reglas como por ejemplo, 171 cambiar la \texttt{p} por algún 172 símbolo, que para este caso será ($\%$), entonces las oraciones quedarían: 122 Si a esto se le incorpora reglas como por ejemplo, cambiar la \texttt{p} por algún símbolo, que para este caso será 123 ($\%$), entonces las oraciones quedarían: 173 124 174 125 \begin{itemize} 175 \item Oración 1 (Ejemplo 1), \texttt{MhSmr1$\%$c} 126 \item 127 Oración 1 (Ejemplo 1), 128 \texttt{MhSmr1$\%$c} 176 129 177 \item Oración 2 (Ejemplo 2), \texttt{$\%$tlmc20$\%$} 130 \item 131 Oración 2 (Ejemplo 2), 132 \texttt{$\%$tlmc20$\%$} 178 133 179 \end{itemize}134 \end{itemize} 180 135 181 Como se puede notar, de esta manera se generaría una buena 182 contraseña, que es difícil 183 de romper por un tercero, y fácil de recordar para la persona 184 ya que es generada 185 a partir de oraciones particulares que generalmente están 186 asociadas con el usuario autorizado. 136 Como se puede notar, de esta manera se generaría una buena contraseña, que es difícil de romper por un tercero, y fácil de recordar para la persona ya que es generada a partir de oraciones particulares que generalmente están asociadas con el usuario autorizado. 187 137
Note: See TracChangeset
for help on using the changeset viewer.