Buenas prácticas para el manejo de tus contraseñas

Las contraseñas se utilizan para permitir o denegar el acceso a un recurso. Es importante que las contraseñas que usemos sean seguras/robustas, para evitar que un usuario no autorizado pueda obtenerlas y usarlas para propósitos no deseados. Como puede verse en la siguiente tabla, si se utiliza una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir de las 96^8 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.

Partiendo de la premisa de que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más probables, comúnmente llamadas Claves Débiles.

Según demuestra el análisis de +NetBuL (1) realizado sobre 2.134 cuentas y probando 227.000 palabras por segundo:

• Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
• Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).

Otro estudio (2) muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas:

• En un año se obtuvieron 3.340 contraseñas (24,22%).
• En la primera semana se descubrieron 3.000 claves (21,74%).
• En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).

Según los grandes números vistos, sería válido afirmar que: es imposible encontrar ¡36 cuentas en 19 segundos!. También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y una semana.

Tal vez, esto sucedió porque existían claves nulas; que corresponde al nombre del usuario; a secuencias alfabéticas tipo “abcd”; a secuencias numéricas tipo “1234″; a secuencias observadas en el teclado tipo “qwer”; a palabras que existen en un diccionario del lenguaje del usuario. Sí, estas claves (las más débiles) son las primeras en ser analizadas y los tiempos obtenidos confirman la hipótesis.

Hoy quiero compartir con nuestros lectores algunos consejos para aumentar la fortaleza de nuestras contraseñas y lograr que estas no caigan dentro del grupo de “las más débiles”.

1. No utilizar palabras comunes a nuestro entorno social. Las claves Elchacal123, Elprincipe&Damian o Elmicha2012 son malas contraseñas porque son palabras comunes en nuestra sociedad a pesar de que tienen mayúsculas, minúsculas, símbolos y números.
2. No utilizar nuestros datos personales o el de nuestros seres queridos para formar la contraseña. (nombre, fecha de cumpleaños, aniversario, graduación, artistas favoritos, novio/novia,  mascotas, etc.). Mucha gente forma su contraseña con porciones de su nombre, por ejemplo una contraseña común para Juan Dela García sería judega   o juadela, etc.
3. No usar contraseñas completamente numéricas con algún significado (teléfono, carnet de identidad, fecha de nacimiento, placa del automóvil, etc.).
4. Longitud mínima de al menos 9 caracteres. En general una contraseña más larga será más segura. Muchos sistemas actuales ponen como límite 16 caracteres, pero hay otros con un límite mucho mayor.
5. No usar la misma contraseña para sistemas diferentes. La contraseña debe ser única para cada sistema de manera que si una de nuestras contraseñas es robada, el resto de los sistemas no se verá afectado. Este error es muy común en muchos lugares donde tratando de ahorrar tiempo se le pone el mismo password de administración a todas las PC de un determinado local.
6. Cambiar las contraseñas regularmente, por ejemplo cada tres o seis meses (si es factible un menor tiempo, mejor). La frecuencia de cambio de las contraseñas dependerá de la importancia del sistema que se desea proteger.  Si un usuario no autorizado logra obtener el “hash” de nuestra contraseña podría intentar realizar un ataque de fuerza bruta sobre ésta. Si la contraseña es cambiada con regularidad, la probabilidad de que logre adivinarla es mucho menor. El hash de una contraseña es una representación de ésta que proporciona seguridad para su almacenamiento.
7. No deben anotarlas en un papel (una práctica muy común a nuestro alrededor) cerca de la computadora o debajo del teclado. Sí se pueden anotar siempre y cuando se guarden en un lugar seguro bajo llave, para que podamos consultarlas en caso de que las olvidemos.
8. Si se utiliza una contraseña en una computadora no confiable, como la de un café internet, se debe cambiar lo más pronto posible desde una computadora confiable. De preferencia, deben usarse contraseñas de un sólo uso.
9. Configurar los mecanismos de recuperación de contraseñas, para obtener acceso a nuestras cuentas en caso de que nuestras contraseñas sean comprometidas. Algunas acciones comunes son seleccionar una segunda cuenta de recuperación y configurar una pregunta secreta. Muchos sistemas ofrecen guías específicas y gratuitas para incrementar la seguridad.
10. Deben ser fáciles de recordar para no verse obligado a escribirlas.
    Algunos ejemplos son:

• Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
• Usar un acrónimo de alguna frase fácil de recordar: A r io R evuelto G anancia d e P escadores -> ArRGdP
• Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
• Mejor incluso si la frase no es conocida: H a sta A h ora n o h e O l vidado m i C o ntraseña -> aHoelIo
• Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar, Win8cackkenl2012
• Realizar reemplazos de letras por signos o números: E n S eguridad M ás V ale P revenir q ue C urar -> 35M\/Pq<
• Crear contraseñas con al menos tres de los siguientes cuatro conjuntos de caracteres.

• Minúsculas.
• Mayúsculas.
• Letras.
• Símbolos especiales.

Las contraseñas que usen caracteres de los cuatro conjuntos serán más seguras, pero hay algunos sistemas que no permiten el uso de símbolos especiales.

Las contraseñas seguras tienen una desventaja, son más difíciles de recordar. Esta es una de las principales razones por las que los usuarios evitan escoger una contraseña segura o cambiarla regularmente.

Normas para Proteger una Clave

La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario. Al comprometer una cuenta se puede estar comprometiendo todo el sistema.

La siguiente frase difundida en UseNet resume algunas de las reglas básicas de uso de la contraseña: “Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos”.

Algunos consejos a seguir:

1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente.
2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Root, System, Test, Demo, Guest, etc.
3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
5. No teclear la contraseña si hay alguien mirando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: “mi clave es…”.
7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).

Muchos sistemas incorporan ya algunas medidas de gestión y protección de las contraseñas. Entre ellas podemos citar las siguientes:

1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas medidas:
   • Obligar a reescribir el nombre de usuario (lo más común).
   • Bloquear el acceso durante un tiempo.
   • Enviar un mensaje al administrador y/o mantener un registro especial.
2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se recomienda 7 u 8 como mínimo).
3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y números, no pueden contener el nombre del usuario ni ser un blanco.
4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la contraseña. Se obliga a no repetir ciertas cantidad de las anterior. Se mantiene un periodo forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior.
5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar las contraseñas de su propio sistema en busca de debilidades.

De seguro existen muchas otras medidas y consejos para manejar y mantener a salvo la información bajo nuestra custodia, pero de seguro ustedes de eso saben más que yo… Saludos GUTL…

(1) +NetBul. Tabla de Tiempos del John the Ripper 1.4. SET N°15-0×07. Junio de 1998.

(2) KLEIN, Daniel V. Foiling the Cracker: A Survey of, and Improvement to, Password Security.

Fuente:

http://www.segu-info.com.ar

 http://comunidad.ingenet.com.mx

Artículos relacionados con lo que acabas de leer:

• Escaneador/Deautenticador Arsenius
• Convierte toda tu navegación en red tor.
• Conoces rainbowhack 1.0 ?
• Actualización de crackaw 1.1
• [Actualización] CrackAw

Publicado por Maikel Llamaret Heredia

https://swlx.info » Facebook » Twitter » Google+ » Linkedin » Forma parte de GUTL desde el 6 diciembre, 2011. Parte de la familia GUTL. Usuario de Tecnologías Libres desde hace varios años. Fiel a GNU/Linux y las filosofías del Software Libre y el Código Abierto. Linux User # 587451. Creador y actual mantenedor del Proyecto SWL-X. Freelancer dedicado al Desarrollo / Diseño Web y Marketing Online. Creador de Web & Media Integrated Solutions