Estudio sobre las contraseñas seguras

Estamos acostumbrados a manejar contraseñas. Las usamos a menudo, y hoy en día cualquier usuario normal dispone de muchas, sobre todo si utiliza servicios en Internet como cuentas de correo, foros o comunidades de acceso restringido a miembros. La tendencia natural es a unificar muchas de ellas al objeto de facilitar su manejo y recordarlas con facilidad. También se tiende a elegir contraseñas cortas, obviamente más cómodas.

Pero entonces ¿Es tan complicado elegir una palabra ?

Hay que tener claro que establecer buenas contraseñas no es elegir una palabra más o menos larga y más o menos complicada o incoherente. Es más bien una cuestión de educación, de hábito. Por otro lado, si la contraseña es tan complicada que obliga al usuario a tenerla apuntada en un papel debajo del teclado (práctica más común de lo que se cree y buscar ahí de por sí es un método hacker) no cumple el objetivo de protección al que está destinada. Una contraseña puede ser el punto más vulnerable de un sistema, y el que tiene más probabilidades de ser atacado.

Lo primero sería plantearnos nuestras necesidades, o mejor dicho, las necesidades de protección del sistema o red en cuestión, pues está claro que no serán las mismas para el propietario de un equipo aislado que para el Administrador de una red ofimática. A los sistemas W 9X – Me son aplicables todas las recomendaciones para las contraseñas, salvando las diferencias obvias con los sistemas multiusuarios basados en cuentas. Para proteger el acceso físico al equipo en estos, con un nivel básico, ver quien accede al PC.

Si el caso es el de sistemas aislados o conectados en pequeñas redes domésticas o profesionales, con conexión a Internet y utilización de sus servicios,  las necesidades de control son algo mayores y en ellas nos vamos a centrar. Los sistemas corporativos o de empresas, de mayor envergadura y número de usuarios, deben auditar la seguridad de sus sistemas con un consultor de seguridad informática.

· Entonces, ¿Como creo una buena contraseña?

Usaremos recursos que faciliten que nos familiaricemos con la contraseña para recordarla. Está claro que cualquiera puede recordar una secuencia de letras y signos al azar, pero esto puede resultar incomodo, y lo incómodo produce a la larga el efecto "dejadez" con lo que no adelantamos. Hay que lograr un equilibrio razonable entre la seguridad y la comodidad.

En principio, huyamos de las palabras con una relación personal con el usuario, ya se sabe, y se ha dicho mil veces que no se deben usar fechas significativas, números de teléfono, nombre de los hijos novias etc.

Utilicemos palabras con algún sentido (que no relación) para nosotros, pero desfigurémoslas introduciendo entre ellas números y signos, de manera que matemos dos pájaros de un tiro, pues la inclusión de signos no alfanuméricos y números, mayúsculas y minúsculas es otra de las normas de las contraseñas seguras. De esa forma, obligamos a un posible atacante a buscar en un rango mucho mayor de caracteres.

En ocasiones estaremos condicionados por los requisitos del sitio donde vayamos a establecer la contraseña, pues en algunos estas se restringen a letras y números. En otros es posible utilizar hasta espacios en blanco, como en las cuentas de Win XP ó 2000.

Dotemos a la contraseña de una longitud aceptable. si nos proponemos que el mínimo de caracteres de nuestras contraseñas sea de 8, habremos dado un gran paso para nuestra seguridad. En lo tocante al equipo, nuestro sistema y sus usuarios, aquí no valen concesiones: Si estimamos como importante su integridad y privacidad, adoptemos contraseñas de un mínimo de 15 caracteres. (Aunque en NT podemos vernos limitados a 14)

Ahora que dices lo de los 14 caracteres, de NT algo he oído, ¿Eso de que va?

Windows NT limitaba las contraseñas a 14 caracteres. Esto daba la impresión de que una contraseña con ese número de caracteres era muy segura.

En realidad, una conocida vulnerabilidad de NT (Y 2000 en un principio) conocida como hasing débil en LAN Manager, causaba que las contraseñas de 14 dígitos se trataran en dos bloques de 7, las contraseñas de 10 en un bloque de 7 y otro de 3 etc. con lo que una contraseña de siete dígitos era en realidad, más segura que una de 10, ya que si el asaltante descubría la secuencia de tres dígitos, cosa fácil, obtenía una muy buena pista para descifrar los 7 caracteres restantes. Entonces se dedujo correctamente que la mejor longitud de password sería de 7 ó de 14 caracteres.

Posteriormente, se mejoró esta circunstancia, almacenando los 14 caracteres juntos, pero el número de los mismo siguió limitado a esa cifra, con lo que se supuso que era una longitud óptima.

Hoy en día, Windows XP y 2000 admiten hasta 127 caracteres, y se estima que 15 es una longitud de password muy acertada.

La regla de oro es elegir contraseñas largas.

En contra de lo que a veces se lee en diversos artículos, una contraseña larga de sólo minúsculas es ser más segura que otra combinada de signos, letras y números, si esta es de menos caracteres. Si tiene ambas características, longitud y complejidad, mejor que mejor. Es decir, una cerradura de seguridad es más segura que las normales, aunque ambas pueden ser violadas. Hoy en día casi todo el mundo prefiere poner en su puerta la de seguridad.

· Yo es que quiero una contraseña dura dura de pelar.

se puede incluir código ASCII. Si, código ASCII. Utilizado en aquellos servicios que lo admitan, es una muy buena opción incluir algún carácter ASCII en el password.

Dicho código se compone de 255 símbolos que no figuran en el teclado. Para acceder a ellos se mantiene pulsada la tecla "Alt" más el código de tres dígitos ASCII correspondiente, en el teclado numérico, aunque todos los dígitos no son admitidos en el casillero de Windows.

¿Y que diferencia hay entre un signo ASCII y un signo no alfanumérico normal, como por ejemplo la @rroba? Pues que la mayoría de  programas crackeadores por fuerza bruta no incluyen los caracteres ASCII en su búsqueda, y además elevamos exponencialmente el rango de búsqueda.

Quizás sea una opción que parezca rebuscada, pero desde luego es excelente en el caso de que busquemos una contraseña "Blindada".

De todas formas, el código ASCII ha de tomarse como una opción de incremento del nivel de seguridad en la contraseña, no como una contraseña en sí, pues las pulsaciones de teclado que requieren escribir unos pocos caracteres ASCII sumarian una cantidad notable de caracteres normales, si resolvemos la operación aritmética de las combinaciones nos daríamos cuenta de que la fortaleza estaría a favor de estos últimos…

Equivalencias código ASCII

 

· Ya sé hacer buenas contraseñas, ¿Puedo utilizar una buena contraseña para todo?

Una contraseña para cosa y cada cosa con su contraseña.

Esto no es así de rotundo. Cierto que unificar las contraseñas aumenta su vulnerabilidad, pero seamos razonables. Podemos establecer grupos distintos de servicios con diferente nivel de contraseña. Por ejemplo:

Servicio
Nivel
Ejemplo Password

Equipo.
Nivel de seguridad alto.   15 ó más caracteres.
Cr@ckeal@ si Puede5

Correo.
Nivel de seguridad alto.   15 ó más caracteres.
C@rtas@miHotmail99

Cuentas en servidores.
Nivel de seguridad alto.   15 caracteres.
MiP@ginaWEBServer9

Cuentas FTP.
Nivel de seguridad medio. 10 caracteres.
Cuen7aF7P5

Documentos, archivos.
Nivel de seguridad medio. 10 caracteres.
Fi6hero#99

Foros/Sites Web.
Nivel de seguridad medio. 10 ó más caracteres.
PaseParaFor0

Otros servicios.
Nivel de seguridad bajo.   8 caracteres.
Sombrer0

De esta forma podemos organizar nuestro sistema de contraseñas por "Familias" lo que nos servirá para diversificar las mismas y facilitará que sean recordadas, pues siguen unos mismos patrones manteniendo su complejidad. Incluso la contraseña aquí catalogada de nivel bajo y que se puede destinar a servicios poco relevantes, con 8 caracteres, una mayúscula y un número, es muy aceptable. Organizarse es la clave.

Algunos sitios establecen un mínimo de complejidad en la contraseña, no aceptando las que no cumplan determinados requisitos. En un sistema Windows XP, es posible por parte de los administradores establecer unas opciones de seguridad de contraseñas para los cuentas de cada usuario local, que no vienen configuradas de inicio, imponiendo unos parámetros de complejidad y otras condiciones. Muy importante de por sí y en especial para las redes de varios equipos, pues estos mantienen operativo el protocolo Netbios.

· Panel de control – Herramientas administrativas – Directiva de seguridad local

En esta ventana obtendremos un árbol muy interesante y que merece ser revisado detenidamente, pues ofrece la posibilidad de configurar las opciones de seguridad ajustando el nivel de protección a nuestras preferencias.

Por ejemplo, en las "Directivas de cuenta" – "Directivas de contraseña"  podemos forzar a que las contraseñas cumplan los requisitos de complejidad, la longitud mínima así como la vigencia máxima y mínima de las mismas.

Para comprobar la fortaleza de las contraseñas de un sistema, disponemos de aplicaciones que efectúan dicha auditoria. Algunos son en origen crackeadores de contraseñas, reconvertidos o aplicables en ambos sentidos.

· ¿Y si se me olvida la contraseña?

Cuidado y conservación de las contraseñas, otro punto importante…

Por supuesto, olvidar una contraseña puede ocasionarnos tantos problemas como el que alguien llegue a averiguarla.  Pero recordemos lo dicho de anotarla debajo del teclado.

Está claro que anotar las contraseñas puede ser una medida de seguridad o de inseguridad, según se mire. Centralizar las contraseñas en un sitio accesible fácilmente a otros supone un riesgo considerable. Pero es cierto que si estas se guardan en un sitio seguro nos puede venir bien algún día tenerlas disponibles. ¿Que es un sitio seguro? Depende. Conozco gente que las escribe en la contraportada de "Guerra y Paz" como sitio seguro, presuponiendo que nadie se atreve con Tolstoi . En un ámbito doméstico lo cierto es que no deberíamos tener problemas. En un entorno profesional, deberemos afinar bastante más.

Hay que tener en cuenta que en los sistemas multiusuarios, el nivel de seguridad es mayor que en los sistemas W 9X, en los que no hace falta una clave para acceder al equipo. Una contraseña de usuario perdida puede ser repuesta por el administrador, pero una contraseña de administrador únicamente puede ser repuesta por otro administrador. Si no existen más administradores y la contraseña se pierde, el sistema ha de ser reinstalado. En Windows XP podemos hacer un disquete para recuperar una contraseña perdida, en:  

Panel de control — cuentas de usuario — usuario — tareas relacionadas — prevenir el olvido de contraseñas.

Aunque ese disco ha de guardarse a buen recaudo, pues con él cualquier usuario puede restablecer la contraseña.

No es recomendable la utilización de programas que almacenan las contraseñas encriptándolas. Esto suena muy bien, pero en realidad ponemos todos los passwords a merced de una única contraseña, con el consiguiente riesgo.

Son conocidos algunos trucos para recordar contraseñas, más nemotécnicos que informáticos, que pueden tener utilidad.

Por ejemplo, es sencillo componer un acrónimo, de una frase que recordaremos a buen seguro y extraer sus primeras letras:

"A diez cañones por banda, viento en popa a toda vela"

Se convierte en A10cpbvepatv, una contraseña muy decente.

· ¿Que vigencia deben tener?

Es otra de las cuestiones clave. Está claro que el cambio de contraseña representa un trámite incómodo para el usuario, que debe volver a realizar el proceso de creación de la misma. Por otro lado, en un sistema pueden llegar a confluir un número considerable de ellas, por lo que cambiarlas a menudo puede representar una tarea con muchas opciones a "dejar para otro día", o sea, nunca.

En la práctica, debe imponerse el sentido común. Es una gran verdad que a mayor tiempo de vigencia más insegura se vuelve una contraseña. Pero los cambios frecuentes implican sus desventajas. Por un lado, ya hemos dicho que la incomodidad degenera en dejadez. Por otro, los cambios producen un patrón de elección en el usuario, ya que se tiende a simplificar un hecho repetitivo y la gente acaba poniendo despacho001, despacho002 etc…  Al final, las contraseñas pueden volverse predecibles por este hecho. Los cambios también generan muchas veces anotaciones del password destinadas a paliar la inseguridad de no recordar la nueva contraseña.

Por tanto lo ideal es establecer la vigencia del password en un periodo aproximado de cuatro o cinco meses, dependiendo el entorno. Algunas, si están bien gestionadas en un entorno privado, pueden mantenerse por períodos bastante más largos. En otras circunstancias puede ser aconsejable un período sensiblemente más corto, de dos o tres meses. Lo que siempre es aconsejable, si eres el Administrador, es que te pagues una cerveza a la peña el día del cambio de contraseñas, método infalible para que le gente lo acoja diligentemente (vamos, vamos, no me seáis tacaños).

· Pero, eso de los ataques a las contraseñas ¿que es?

Los hackers  y crackers consideran un desafió penetrar en sistemas, sitios y redes, por el simple hecho de lograrlo. Se ha desarrollado toda una subcultura alrededor de eso, y lo que se interpone entre su objetivo y ellos es, en muchas ocasiones, una contraseña. Entre ellos hay gente con muchos conocimientos técnicos, y se han desarrollado potentes herramientas que ayudan en la consecución de averiguar los passwords.

Otro tipo de personas, carentes de dicha ideología y movidos por intereses o impulsos más primarios, como la imbecilidad, aprovecha en gran medida las creaciones de los hackers para dar por saco.

Estos programas utilizan la fuerza bruta,  es decir, prueban combinaciones de caracteres hasta dar con la que compone el password. Una acción positiva de fuerza bruta puede ser resuelta en pocos minutos o en semanas, dependiendo de la longitud de la palabra y combinación de caracteres.

Otro tipo de ataques es por diccionarios. Estos son listados de palabras comúnmente utilizadas por usuarios, en las que se incluyen los passwords que los sistemas establecen por defecto. De esa forma, la búsqueda se limita a un número mucho menor de palabras. Varios de estos diccionarios se pueden obtener en la red, algunos vienen incorporados en los programas, otros han sido recopilados por destacados crackers, aunque es muy común que cada uno prefiera sus diccionarios especializados, pues estos variarán en función de condiciones como el idioma etc.

Los programas crackeadores de contraseñas utilizan por lo común ambos sistemas y son configurables para obtener mayor acierto, pudiendo comprobar combinaciones de palabras concretas si el asaltante sospecha de alguna en especial, y aquí entra otra condición de riesgo:

El asaltante al password no confía únicamente en las herramientas informáticas. La psicología (Social Hacking) es otro elemento comúnmente utilizado, junto con la paciencia y la perseverancia. Si existe relación con la víctima, es lógico que se conozcan nombres, números de teléfono, aficiones etc. Dichos conocimientos más las herramientas adecuadas son la combinación mortal para nuestro password. Estemos atentos a preguntas indiscretas, muchas contraseñas han sido sonsacadas.

Y al hilo de esto, hay que decir que algunos servicios, en especial de correo, utilizan una pregunta secreta para reponer la contraseña perdida. A esa pregunta tiene acceso cualquiera, así que el solo enunciado de la misma puede ser significativo, y más si se conoce al usuario, y la tendencia es a establecer una pregunta tipo "Raza de perro", que está muy bien si la respuesta es Mijefe&susombra, pero muy mal si es "Foxterrier".

Como curiosidad, diremos que en un estudio del que en su día se hizo eco ZDnet realizado sobre 1200 trabajadores británicos por psicólogos de una universidad de allí, por el cual deducían rasgos de la personalidad de los trabajadores a partir de los passwords elegidos, ya que sostienen que mucha gente se siente impulsada a trasmitir aspectos de su personalidad al escribir una contraseña, "como si tuvieran que  expresar la esencia de su ser en una palabra" :

· El 47% elegían un password relacionado con la familia, su nombre o un dato familiar. A ese grupo le llamaron "Familiares" y los catalogaron como "poco preocupados por sus datos y con escaso interés por la informática".

· Un segundo grupo, compuesto por el 32% al Que denominaron "Fans" usaría el nombre de artistas o deportistas de su agrado (El jugador de futbol Beckham, Hommer Simpson y Madonna fueron los destacados) .

. Un grupo del 10%  utilizó palabras complejas, y fue denominado "encriptadores".

· Finalmente, el 11% restante utilizó palabras relacionadas con… el sexo, como "atractivo", "diosa"…

Les llamaron "Obsesivos".

Lo que demuestra que… no hay que hacer mucho caso a los Psicólogos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: