Contraseñas
Hoy en día la confidencialidad de los datos es uno de
los objetivos principales de la seguridad informática y uno de los mecanismos
para lograrla es mediante el uso de contraseñas.
Esquemas de
seguridad
Básicamente, un sistema de seguridad se basa en uno de estos tres puntos:
Básicamente, un sistema de seguridad se basa en uno de estos tres puntos:
Ø El conocimiento à Un PIN, una contraseña, un gesto.
Ø La posesión à Un dispositivo, un servicio.
Ø
La inherencia o herencia à Ojos, rostro, huellas dactilares.
Dado que la utilización de sólo uno de ellos es fácilmente suplantable, se intenta recurrir a lo que da nombre a la verificación en dos pasos,
usando para ello dos de los tres puntos de un esquema de seguridad (siendo por lo
general conocimiento y posesión).
Esquemas de seguridad basados en el conocimiento
Son los más
habituales y están presentes en casi todos los servicios que utilizamos.
Un patrón se basa en el dibujo de un símbolo específico frente a un esquema dado (por ejemplo, el sistema de patrón de desbloqueo de Android, que tiene varios puntos que utilizados como vértices para dibujar con el dedo la figura elegida) o frente a una imagen (como sucede en el sistema operativo Windows 8).
La contraseña es un sistema que podría ser muy efectivo si siempre se tuvieran en cuenta y se cumplieran ciertas restricciones.
Contraseña segura
Una buena contraseña debe
cumplir, al menos, tres de estas cuatro características:
Ø Constar
de 8 a 15 caracteres (mínimo) à A mayor
longitud más difícil de adivinar.
Ø Utilizar
MAYÚSCULAS y minúsculas.
Ø Utilizar
caracteres especiales à $&%!#?*
Ø Utilizar
números de 0-9.
Además, para que una
contraseña sea aún más segura también debe cumplir los siguientes requisitos:
Ø No debe
formarse con números y/o letras que sean consecutivas y/o estén adyacentes en
el teclado, ni utilizar caracteres repetidos à 123456, 1q2w3e, aaa3456 o 123QWEasd
Ø La
contraseña no debe contener información que sea fácil de averiguar à Información personal: cumpleaños, nombres de hijos, cuadros de fútbol, etc.
Ø No debe
contener palabras existentes en algún idioma à Los ataques de diccionario
prueban cada una de las palabras que figuran en el diccionario y/o palabras de
uso común.
Método eficaz de selección de contraseñas
Es recomendable tener un método de selección de contraseñas. Como ejemplo, se elige una frase que para el usuario tenga un significado especial o simplemente que asegure que siempre la recordará.
El
04 de Mayo es el día de Star Wars
De esta frase se escogen las primeras letras, respetando mayúsculas y minúsculas, con lo cual se obtiene una serie de letras sin sentido aparente. Pero si es posible recordar la frase fácilmente, se tendrá una combinación que además incluya letras y números.
El 04
de Mayo es el día de Star Wars
E04dMeeddSW
Después se debe añadir algún símbolo especial, por ejemplo
“%” al final del patrón que estamos creando, obteniendo así un patrón alfanumérico y que además contiene
símbolos especiales:
E04dMeeddSW%
Esquemas de seguridad basados en la posesión
Estos sistemas están basados en algo único que sólo un usuario debería tener.
Estos sistemas están basados en algo único que sólo un usuario debería tener.
Dispositivo: Un token de seguridad es
un dispositivo electrónico que se le da a un usuario autorizado de un servicio
computarizado para facilitar el proceso de autenticación. Los tokens permiten
almacenar contraseñas y certificados y llevar, además, la identidad digital de
la persona. Son generadores de contraseñas dinámicas conocidas como "OTP"
(One Time Password).
Clave pública: Se trata de un sistema de
seguridad basado en la posesión de un archivo que contiene la clave pública para
acceder al servicio. Este método ofrece
bastante seguridad (el archivo sólo lo debe tener el usuario y puede descargarse únicamente en el momento de creación). No es sencillo de implementar, por lo que sólo suele verse en entornos más
bien técnicos.
Esquemas de seguridad basados
en la inherencia
Este sistema de identificación se basa en autenticar a la persona por algo que le es innato a ella de forma normalmente biológica.
Este sistema de identificación se basa en autenticar a la persona por algo que le es innato a ella de forma normalmente biológica.
Huellas dactilares: Es el más sencillo de
implementar, también es de bajo costo.
Iris: Requiere buenas condiciones
de luminosidad. El costo es mucho mayor.
Reconocimiento
facial: De bajo costo pero requiere buenas condiciones de luminosidad. Es
fácilmente manipulable.
Reconocimiento facial 3D: Es difícil de implementar.
Voz: Requiere buenas condiciones de sonido. Es fácilmente manipulable.
Voz: Requiere buenas condiciones de sonido. Es fácilmente manipulable.
Ritmo cardíaco: Es difícil de implementar.
La unión de dos o
más de estos esquemas de seguridad es lo que le da nombre a la verificación en
dos pasos. Por ejemplo, con la unión de conocimiento y posesión, se tendría una
contraseña y un OTP generado por un dispositivo digital (token).
Ataques por “Fuerza bruta” y “Diccionarios”Una parte fundamental de nosotros mismos y de nuestro trabajo depende de las claves elegidas y de su complejidad.
La implementación de contraseñas seguras debería ser el principal objetivo, ya que lo que somos y hacemos es importante. Esta implementación depende de la educación que cada usuario recibe y de las políticas de seguridad aplicadas.
Mediante el método denominado “Fuerza Bruta”, el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario. Este tipo de ataque involucra algún tiempo de prueba y error.
La implementación de contraseñas seguras debería ser el principal objetivo, ya que lo que somos y hacemos es importante. Esta implementación depende de la educación que cada usuario recibe y de las políticas de seguridad aplicadas.
Mediante el método denominado “Fuerza Bruta”, el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario. Este tipo de ataque involucra algún tiempo de prueba y error.
Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y “diccionarios” que prueban millones de posibles claves, en tiempos muy breves, hasta encontrar el password correcto.
Los “diccionarios” son archivos con millones de palabras, las cuales pueden ser posibles contraseñas de los usuarios. Este archivo es utilizado para descubrir dicha clave en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se esté atacando.
A continuación podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo, aunque este número suele ser mucho mayor dependiendo del programa utilizado.
|
Cantidad de Caracteres
|
26 - Letras Minúsculas
|
36 - Letras y Dígitos
|
52 - Mayúsculas y Minúsculas
|
96 - Todos los Caracteres
|
|
6
|
51 minutos
|
6 horas
|
2,3 días
|
3 meses
|
|
7
|
22,3 horas
|
9 días
|
4 meses
|
24 años
|
|
8
|
24 días
|
10,5 meses
|
17 años
|
2.288 años
|
|
9
|
21 meses
|
32,6 años
|
890 años
|
219.601 años
|
|
10
|
54 años
|
1.160 años
|
45.840 años
|
21.081.705 años
|
Aquí puede observarse que si
se utilizara una clave de 8 caracteres de longitud, con los 96 caracteres
posibles, puede tardarse 2.288 años en descifrarla. Esto se obtiene a partir de
las 968 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.
Conclusiones
La seguridad del conjunto es tan débil como el más débil de sus elementos.
Vale la pena tener en cuenta que las contraseñas son como la ropa interior... Deben cambiarse seguido, no se deben compartir con amigos, no se deben dejar tiradas por ahí, cuanto más largas sean, mejor y se debe ser misterioso en cuanto a ellas.
La seguridad del conjunto es tan débil como el más débil de sus elementos.
Vale la pena tener en cuenta que las contraseñas son como la ropa interior... Deben cambiarse seguido, no se deben compartir con amigos, no se deben dejar tiradas por ahí, cuanto más largas sean, mejor y se debe ser misterioso en cuanto a ellas.
No hay comentarios:
Publicar un comentario