miércoles, 4 de julio de 2012

¿Son seguras tus contraseñas? Compruébalo...

Las contraseñas junto con la criptografía son posiblemente unas de las primeras medidas de seguridad de la información que fue inventada por el ser humano. Tirando de la Wikipedia se puede leer como este método era empleado por los militares romanos y conocido como el famoso "santo y seña".

Con todo lo que han evolucionado las tecnologías en seguridad lo cierto es que este mecanismo de identificación y autenticación no ha encontrado todavía un relevo generacional que haya sido asimilado por los usuarios finales. Recuerdo en los años 2001 y 2002 como empezaba a hablarse mucho de las PKIs, certificados digitales y la autenticación fuerte como un sistema robusto y eficaz que acabaría con las contraseñas. También en aquel momento y para los entornos más criticos se empezaban a implantar los sistemas basados en tokens y en paswords de un solo uso (OTP).

Sin embargo y pese a ser un mecanismo de autenticación que no ofrece la mejor de las garantías, es el más barato y extendido. El problema principal no es tanto que las contraseñas sean malas sino que son tantos los entornos que nos obligan a usarlas que finalmente el número de contraseñas supera nuestra capacidad de memorización. En este sentido, han proliferado diferentes herramientas que ayudan a la gestión y custodia de contraseñas como Keepass. Con los últimos incidentes de Linkedin tan recientes, me ha parecido interesante recomendar un par de enlaces que sirven para medir la calidad de nuestras contraseñas. Estos sitios puntúan o valoran la complejidad y nos indican si dichas palabras son buenas o malas como contraseña. La fortaleza de una contraseña viene definida según la complejidad y el número de combinaciones posibles que habría que intentar para poderla reventar empleando técnicas de fuerza bruta (es decir, probando todas las posibles combinaciones de caracteres que se pueden formar) aunque normalmente los ataques contra las password emplean técnicas menos complicadas como diccionarios o variaciones heurísticas sobre palabras comunes.

Lo que es de vital importancia es no cometer los errores habituales y conocidos por los "chicos malos" que hacen vulnerable una mala contraseña. La siguiente infografía resume lo que NO hay que hacer o utilizar.


En cualquier caso, es didáctico comprobar cómo de robusta es una contraseña antes de seleccionarla para ser empleada. Hay dos buenos medidores que ilustran qué puntuación recibe una palabra que quiere ser empleada como password atendiendo a los criterios de complejidad que se identifican en su contenido.
Estos enlaces pueden ser muy pedagógicos en cursos de concienciación y formación de seguridad. Te indican qué tiempo sería necesario para adivinarla y  de esta forma sencilla podemos comprobar si realmente usamos contraseñas que superan unos mínimos niveles de calidad. También son interesantes conocer qué esfuerzos son necesarios para poder adivinar las contraseñas según la longitud de la misma y el juego de caracteres empleados.
Y por acabar con unas recomendaciones básicas que siempre se incluyen en cualquier curso de concienciación sobre seguridad, en mi primer post técnico en este blog allá por octubre de 2002 y hace ya la friolera de 10 años, establecí precisamente una serie de recomendaciones sobre password que hoy todavía están completamente en vigor.


Requisitos para la elección de claves de acceso de seguridad alta 
Todas las contraseñas del sistema deberán cumplir los siguientes requisitos: 
• Contener mayúsculas y minúsculas. 
• Contener dígitos y símbolos de puntuación además de letras. 
• Pueden incluir caracteres de control y /o espacios. 
• Deben ser fáciles de recordar para que no haya que escribirlas, pero no se deben emplear datos propios que puedan ser averiguados por terceros (teléfono, fecha de nacimiento, nombre de la pareja, etc.).. 
• Deben tener más de 8 caracteres. 

Sugerencias para la elección 
Como sugerencias a la hora de elegir contraseńas podemos recomendar: 


- Seleccionar frases que sean faciles de recordar porque es más sencillo memorizar una frase que palabras y además la longitud de caracteres superará los 8. 
- Tomar dos palabras cortas y combinarlas intercalando un carácter especial o un número como arbol?madera, ventana-casa, etc. - Coger palabras que forman una mala contraseña pero mezclaras con signos de puntuación como (perro->gato),
- Poner junto un acrónimo que le diga algo como nssadespa ( No Se Si Algo De Esto Servirá Para Algo), euldlm (En Un Lugar De La Mancha).

- Cambiar las vocales por los números que más se parecen (La A por 4, la E por 3, la I por 1, la O por 0 y la U por 7) y emplear sobre cualquier palabra (M7r13l4g0).


3 comentarios:

chambertuX dijo...

No voy a ser yo quien compruebe en una web ajena a mi disco duro para comprobar mis contraseñas x).

Javier Cao Avellaneda dijo...

En los modos más paranóicos puedes sustituir los caracteres de tu password por otros equivalentes. Lo importante en estos casos es comprobar que tanto por longitud como por el juego de caracteres empleado, la contraseña es buena.

Si tu password fuera (nom3fi0), la comprobación de la palabra (mnl1dh0) sería equivalente (empleando cifrado del Cesar y moviendo el -1 el conjunto de caracteres). De todas formas yo no suelo estar en modo tan paranóico, teniendo en cuenta que sólo se piden palabras, ni cuentas ni logins... pero bueno, la prudencia excesiva nunca es mala.

Alberto Navarro Bilbao dijo...

No es nada malo ser paranoico en la seguridad, cuando nos dán la posibilidad de descargar la herramienta para usarla en nuestra propia máquina. Desde http://metabetageek.com/software/ podemos descargar la aplicación en javascript.( /Mode paronico on/ Siempre podemos usarla en una máquina virtual aislada por si sospechamos que use algún socket oculto :-) /Mode paronoico off/)

 
;