|
1 Las contraseñas.
Estamos acostumbrados a manejar contraseñas. Las
usamos a menudo, y hoy en día cualquier usuario normal dispone de
muchas, sobre todo si utiliza servicios en Internet como cuentas de
correo, foros o comunidades de acceso restringido a miembros. La
tendencia natural es a unificar muchas de ellas al objeto de
facilitar su manejo y recordarlas con facilidad. También se tiende a
elegir contraseñas cortas, obviamente más cómodas.
Pero entonces ¿Es tan complicado elegir una palabra
?
Hay que tener claro que establecer buenas contraseñas
no es elegir una palabra más o menos larga y más o menos complicada
o incoherente. Es más bien una cuestión de educación, de hábito. Por
otro lado, si la contraseña es tan complicada que obliga al usuario
a tenerla apuntada en un papel debajo del teclado (práctica más
común de lo que se cree y buscar ahí de por sí es un método hacker)
no cumple el objetivo de protección al que está destinada. Una contraseña puede ser el punto
más vulnerable de un sistema, y el que tiene más probabilidades de
ser atacado.
Lo primero sería plantearnos nuestras necesidades, o mejor dicho, las necesidades
de protección del sistema o red en cuestión, pues está claro que no
serán las mismas para el propietario de un equipo aislado que para
el Administrador de una red ofimática. A los sistemas W 9X - Me son
aplicables todas las recomendaciones para las contraseñas, salvando
las diferencias obvias con los sistemas multiusuarios basados en
cuentas. Para proteger el acceso físico al equipo en estos, con un
nivel básico, ver Quien
accede al PC.
Si el caso es el de sistemas aislados o conectados en
pequeñas redes domésticas o profesionales, con conexión a Internet y
utilización de sus servicios, las necesidades de control son
algo mayores y en ellas nos vamos a centrar. Los sistemas
corporativos o de empresas, de mayor envergadura y número de
usuarios, deben auditar la seguridad de sus sistemas con un
consultor de seguridad informática.
· Entonces, ¿Como creo una buena
contraseña?
Usaremos recursos que faciliten que nos familiaricemos
con la contraseña para recordarla. Está claro que cualquiera puede
recordar una secuencia de letras y signos al azar, pero esto puede
resultar incomodo, y lo incómodo produce a la larga el efecto
"dejadez" con lo que no adelantamos. Hay que lograr un equilibrio
razonable entre la seguridad y la comodidad.
En principio, huyamos de las palabras con una relación personal con
el usuario, ya se
sabe, y se ha dicho mil veces que no se deben usar fechas
significativas, números de teléfono, nombre de los hijos novias etc.
Utilicemos palabras con algún sentido (que no
relación) para nosotros, pero desfigurémoslas introduciendo entre
ellas números y signos, de manera que matemos dos pájaros de un tiro, pues
la inclusión de
signos no alfanuméricos y números, mayúsculas y minúsculas es otra
de las normas de las contraseñas seguras. De esa forma, obligamos a un
posible atacante a buscar en un rango mucho mayor de caracteres.
En ocasiones estaremos condicionados por los
requisitos del sitio donde vayamos a establecer la contraseña, pues
en algunos estas se restringen a letras y números. En otros
es posible utilizar
hasta espacios en blanco, como en las cuentas de Win XP ó 2000.
Dotemos a la contraseña de una longitud aceptable. si
nos proponemos que el mínimo de caracteres de nuestras contraseñas
sea de 8, habremos dado un gran paso para nuestra seguridad. En lo
tocante al equipo, nuestro sistema y sus usuarios, aquí no valen
concesiones: Si estimamos como importante su integridad y
privacidad, adoptemos contraseñas de un mínimo de 15 caracteres.
(Aunque en NT podemos vernos limitados a 14)
Ahora que dices lo de los 14 caracteres, de NT algo he
oído, ¿Eso de que va?
Windows NT limitaba las contraseñas a 14 caracteres.
Esto daba la impresión de que una contraseña con ese número de
caracteres era muy segura.
En realidad, una conocida vulnerabilidad de NT (Y 2000
en un principio) conocida como hasing débil en LAN Manager, causaba
que las contraseñas de 14 dígitos se trataran en dos bloques de 7,
las contraseñas de 10 en un bloque de 7 y otro de 3 etc. con lo que
una contraseña de siete dígitos era en realidad, más segura que una
de 10, ya que si el asaltante descubría la secuencia de tres
dígitos, cosa fácil, obtenía una muy buena pista para descifrar los
7 caracteres restantes. Entonces se dedujo correctamente que la
mejor longitud de password sería de 7 ó de 14 caracteres.
Posteriormente, se mejoró esta circunstancia,
almacenando los 14 caracteres juntos, pero el número de los mismo
siguió limitado a esa cifra, con lo que se supuso que era una
longitud óptima.
Hoy en día, Windows XP y 2000 admiten hasta 127
caracteres, y se estima que 15 es una longitud de password muy
acertada.
La regla de
oro es elegir contraseñas largas.
Una contraseña larga de sólo minúsculas puede ser más
segura que otra combinada de signos, letras y números, si esta es de
menos caracteres. Si tiene ambas características, longitud y
complejidad, mejor que mejor. Es decir, una cerradura de seguridad
es más segura que las normales, aunque ambas pueden ser violadas.
Hoy en día casi todo el mundo prefiere poner en su puerta la de
seguridad.
Esta utilidad on-line nos puede servir para efectuar
un test no exhaustivo de la seguridad de la contraseña elegida, para
establecer unos MINIMOS en las mismas.
Tester
online contraseñas
· Yo es que quiero una contraseña dura dura de
pelar.
se puede incluir código
ASCII. Si, código ASCII. Utilizado en
aquellos servicios que lo admitan, es una muy buena opción incluir
algún carácter ASCII en el password.
Dicho código se compone de 255 símbolos que no figuran
en el teclado. Para acceder a ellos se mantiene pulsada la tecla
"Alt" más el código de tres dígitos ASCII correspondiente, en el
teclado numérico, aunque todos los dígitos no son admitidos en el
casillero de Windows.
¿Y que diferencia hay entre un signo ASCII y un signo
no alfanumérico normal, como por ejemplo la @rroba? Pues que la
mayoría de programas crackeadores por fuerza bruta no incluyen
los caracteres ASCII en su búsqueda, y además elevamos
exponencialmente el rango de búsqueda.
Quizás sea una opción que parezca rebuscada, pero
desde luego es excelente en el caso de que busquemos una contraseña
"Blindada".
De todas formas, el código ASCII ha de tomarse como
una opción de incremento del nivel de seguridad en la contraseña, no
como una contraseña en sí, pues las pulsaciones de teclado que
requieren escribir unos pocos caracteres ASCII sumarian una cantidad
notable de caracteres normales, si resolvemos la operación
aritmética de las combinaciones nos daríamos cuenta de que la
fortaleza estaría a favor de estos últimos...
|
Equivalencias código ASCII |
|
· Ya sé hacer buenas contraseñas, ¿Puedo utilizar una
buena contraseña para todo?
Una contraseña para cosa y cada cosa con su
contraseña.
Esto no es así de rotundo. Cierto que unificar las
contraseñas aumenta su vulnerabilidad, pero seamos razonables.
Podemos establecer grupos distintos de servicios con diferente nivel
de contraseña. Por ejemplo:
| Servicio |
Nivel |
Ejemplo
Password |
| Equipo. |
Nivel de seguridad alto. 15 ó
más caracteres. |
Cr@ckeal@ si
Puede5 |
| Correo. |
Nivel de seguridad alto. 15 ó
más caracteres. |
C@rtas@miYahoo88
C@rtas@miHotmail99 |
| Cuentas en servidores. |
Nivel de seguridad alto. 15
caracteres. |
MiP@ginaWEBServer9 |
| Cuentas FTP. |
Nivel de seguridad medio. 10
caracteres. |
Cuen7aF7P5 |
| Documentos, archivos. |
Nivel de seguridad medio. 10
caracteres. |
Fi6hero#99
W0rDTema#56 |
| Foros/Sites Web. |
Nivel de seguridad medio. 10 ó más
caracteres. |
PaseParaFor0
PaseParaSit6 |
| Otros servicios. |
Nivel de seguridad bajo. 8
caracteres. |
Sombrer0 |
De esta forma podemos organizar nuestro sistema de
contraseñas por "Familias" lo que nos servirá para diversificar las
mismas y facilitará que sean recordadas, pues siguen unos mismos
patrones manteniendo su complejidad. Incluso la contraseña aquí
catalogada de nivel bajo y que se puede destinar a servicios poco
relevantes, con 8 caracteres, una mayúscula y un número, es muy
aceptable. Organizarse es la
clave.
Algunos sitios establecen un mínimo de complejidad en
la contraseña, no aceptando las que no cumplan determinados
requisitos. En un sistema Windows XP, es posible por parte de los
administradores establecer unas opciones de seguridad de contraseñas
para los cuentas de cada usuario local, que no vienen configuradas
de inicio, imponiendo unos parámetros de complejidad y otras
condiciones. Muy importante de por sí y en especial para las redes
de varios equipos, pues estos mantienen operativo el protocolo Netbios.
·
Panel de control - Herramientas
administrativas - Directiva de seguridad local
En esta ventana obtendremos un árbol muy interesante y
que merece ser revisado detenidamente, pues ofrece la posibilidad de
configurar las opciones de seguridad ajustando el nivel de
protección a nuestras preferencias.
Por ejemplo, en las "Directivas de cuenta" -
"Directivas de contraseña" podemos forzar a que las
contraseñas cumplan los requisitos de complejidad, la longitud
mínima así como la vigencia máxima y mínima de las
mismas.
Para comprobar la fortaleza de las contraseñas de un
sistema, disponemos de aplicaciones que efectúan dicha auditoria.
Algunos son en origen crackeadores de contraseñas, reconvertidos o
aplicables en ambos sentidos.
L0stat
LC4
John the
Ripper
· ¿Y si se me olvida la contraseña?
Cuidado y conservación de las contraseñas, otro punto
importante...
Por supuesto, olvidar una contraseña puede
ocasionarnos tantos problemas como el que alguien llegue a
averiguarla. Pero recordemos lo dicho de anotarla debajo del
teclado.
Está claro que anotar las contraseñas puede ser una
medida de seguridad o de inseguridad, según se mire. Centralizar las
contraseñas en un sitio accesible fácilmente a otros supone un
riesgo considerable. Pero es cierto que si estas se guardan en un sitio
seguro nos puede venir bien algún día tenerlas
disponibles.
¿Que es un sitio
seguro? Depende. Conozco gente que las escribe en la contraportada
de "Guerra y Paz" como sitio seguro, presuponiendo que nadie se
atreve con Tolstoi . En un ámbito doméstico lo cierto es que no
deberíamos tener problemas. En un entorno profesional, deberemos
afinar bastante más.
Hay que tener en cuenta que en
los sistemas multiusuarios, el nivel de seguridad es mayor que en
los sistemas W 9X, en los que no hace falta una clave para acceder
al equipo. Una contraseña de usuario perdida puede ser repuesta por
el administrador, pero una contraseña de administrador únicamente
puede ser repuesta por otro administrador. Si no existen más
administradores y la contraseña se pierde, el sistema ha de ser
reinstalado. En Windows XP podemos hacer un disquete para recuperar
una contraseña perdida, en:
Panel de control --- cuentas de
usuario --- usuario --- tareas relacionadas --- prevenir el olvido
de contraseñas.
Aunque ese disco ha de guardarse
a buen recaudo, pues con él cualquier usuario puede restablecer la
contraseña.
No es recomendable la utilización de programas que
almacenan las contraseñas encriptándolas. Esto suena muy bien, pero
en realidad ponemos todos los passwords a merced de una única
contraseña, con el consiguiente riesgo.
Son conocidos algunos trucos para recordar
contraseñas, más nemotécnicos que informáticos, que pueden tener
utilidad.
Por ejemplo, es sencillo componer un acrónimo, de una
frase que recordaremos a buen seguro y extraer sus primeras
letras:
"A diez cañones por banda, viento en popa a toda
vela"
Se convierte en A10cpbvepatv, una contraseña muy decente.
· ¿Que vigencia deben tener?
Es otra de las cuestiones clave. Está claro que el
cambio de contraseña representa un trámite incómodo para el usuario,
que debe volver a realizar el proceso de creación de la misma. Por
otro lado, en un sistema pueden llegar a confluir un número
considerable de ellas, por lo que cambiarlas a menudo puede
representar una tarea con muchas opciones a "dejar para otro día", o
sea, nunca.
En la práctica, debe imponerse el sentido común. Es
una gran verdad que a mayor tiempo de vigencia más insegura se vuelve una
contraseña. Pero los
cambios frecuentes implican sus desventajas. Por un lado, ya hemos
dicho que la incomodidad degenera en dejadez. Por otro, los cambios
producen un patrón de elección en el usuario, ya que se tiende a
simplificar un hecho repetitivo y la gente acaba poniendo
despacho001, despacho002 etc... Al final, las contraseñas
pueden volverse predecibles por este hecho. Los cambios también
generan muchas veces anotaciones del password destinadas a paliar la
inseguridad de no recordar la nueva contraseña.
Por tanto lo ideal es establecer la vigencia del
password en un periodo aproximado de cuatro o cinco meses,
dependiendo el entorno. Algunas, si están bien gestionadas en un
entorno privado, pueden mantenerse por períodos bastante más largos.
En otras circunstancias puede ser aconsejable un período
sensiblemente más corto, de dos o tres meses. Lo que siempre es aconsejable, si
eres el Administrador, es que te pagues una cerveza a la peña el día
del cambio de contraseñas, método infalible para que le gente lo acoja
diligentemente (vamos, vamos, no me seáis tacaños).
· Pero, eso de los ataques a las contraseñas ¿que
es?
Los hackers y crackers consideran un desafió
penetrar en sistemas, sitios y redes, por el simple hecho de
lograrlo. Se ha desarrollado toda una subcultura alrededor de eso, y
lo que se interpone entre su objetivo y ellos es, en muchas
ocasiones, una contraseña. Entre ellos hay gente con muchos
conocimientos técnicos, y se han desarrollado potentes herramientas
que ayudan en la consecución de averiguar los passwords.
Otro tipo de personas, carentes de dicha ideología y
movidos por intereses o impulsos más primarios, como la imbecilidad,
aprovecha en gran medida las creaciones de los hackers para dar por
saco.
Estos programas utilizan la fuerza bruta, es
decir, prueban combinaciones de caracteres hasta dar con la que
compone el password. Una acción positiva de fuerza bruta puede ser
resuelta en pocos minutos o en semanas, dependiendo de la longitud
de la palabra y combinación de caracteres.
Otro tipo de ataques es por diccionarios. Estos son
listados de palabras comúnmente utilizadas por usuarios, en las que
se incluyen los passwords que los sistemas establecen por defecto.
De esa forma, la búsqueda se limita a un número mucho menor de
palabras. Varios de estos diccionarios se pueden obtener en la red,
algunos vienen incorporados en los programas, otros han sido
recopilados por destacados crackers, aunque es muy común que cada
uno prefiera sus diccionarios especializados, pues estos variarán en
función de condiciones como el idioma etc.
Los programas crackeadores de contraseñas utilizan por
lo común ambos sistemas y son configurables para obtener mayor
acierto, pudiendo comprobar combinaciones de palabras concretas si
el asaltante sospecha de alguna en especial, y aquí entra otra
condición de riesgo:
El asaltante al password no confía únicamente en las
herramientas informáticas. La psicología (Social Hacking) es otro
elemento comúnmente utilizado, junto con la paciencia y la
perseverancia. Si existe relación con la víctima, es lógico que se
conozcan nombres, números de teléfono, aficiones etc. Dichos
conocimientos más las herramientas adecuadas son la combinación
mortal para nuestro password. Estemos atentos a preguntas
indiscretas, muchas contraseñas han sido sonsacadas.
Y al hilo de esto, hay que decir que algunos
servicios, en especial de correo, utilizan una pregunta secreta para reponer la
contraseña perdida. A esa pregunta tiene acceso
cualquiera, así que
el solo enunciado de la misma puede ser significativo, y más si se
conoce al usuario, y la tendencia es a establecer una pregunta tipo
"Raza de perro", que está muy bien si la respuesta es
Mijefe&susombra, pero muy mal si es "Foxterrier".
Sobre cuentas Hotmail ver "Seguridad en
cuentas Hotmail".
Este artículo
de Ricardo Daniel Ponce es muy ilustrativo del punto de vista del
asaltante de passwords, recomendada su lectura.
Como curiosidad, diremos que en un estudio del que en
su día se hizo eco ZDnet
realizado sobre 1200 trabajadores británicos por psicólogos de una
universidad de allí, por el cual deducían rasgos de la personalidad
de los trabajadores a partir de los passwords elegidos, ya que
sostienen que mucha gente se siente impulsada a trasmitir aspectos
de su personalidad al escribir una contraseña, "como si tuvieran
que expresar la esencia de su ser en una palabra" :
· El 47% elegían un password relacionado con la
familia, su nombre o un dato familiar. A ese grupo le llamaron
"Familiares" y los catalogaron como "poco preocupados por sus datos
y con escaso interés por la informática".
· Un segundo grupo, compuesto por el 32% al Que
denominaron "Fans" usaría el nombre de artistas o deportistas de su
agrado (El jugador de futbol Beckham, Hommer Simpson y Madonna
fueron los destacados) .
. Un grupo del 10% utilizó palabras complejas, y
fue denominado "encriptadores".
· Finalmente, el 11% restante utilizó palabras
relacionadas con... el sexo, como "atractivo", "diosa"...
Les llamaron "Obsesivos".
Lo que demuestra que... no hay que hacer mucho caso a
los Psicólogos.
· Enlaces relacionados:
Quien
accede al PC.
Netbios
Tester
online contraseñas
Seguridad en
cuentas Hotmail
El
punto de vista del asaltante
Russian
Password Crackers
Seguridad
en red
L0stat
LC4
John the
Ripper
|
|
2- Resumen |
Principal Subir
http://www.enlacesdeseguridad.com | 
