viernes, 18 de marzo de 2022

Seguridad. Contraseñas

Seguridad de contraseñas

Hoy en día, el método más habitual para asegurar el acceso a la información almacenada en nuestros ordenadores, correo electrónico y otros servicios es mediante contraseña. La contraseña es una información secreta que se nos solicita para acceder a algún tipo de recurso, y que solo debe conocer el propietario del mismo.

Es necesario invertir un poco de tiempo y esfuerzo en generar una contraseña segura. Si un usuario malintencionado consiguiera apoderarse de una contraseña podría acceder a información personal, violando la privacidad, o incluso tener acceso a servicios financieros.

Tiempo (en 2022) que emplearía un Hacker en averiguar nuestra contraseña por el método de fuerza bruta


Ataques a las contraseñas


Los atacantes pueden recurrir a diversos métodos para conseguir nuestras contraseñas. Algunos de los más conocidos son:

  • Sniffers: programas que interceptan las comunicaciones de los equipos en una red pudiendo extraer contraseñas de las comunicaciones "escuchadas".
  • Keyloggers: Programas que capturan las teclas pulsadas.
  • Fuerza bruta: Programas que prueban todas las combinaciones posibles. Por tanto, cuanto más larga sea la contraseña y más tipos de caracteres incluya, más tiempo requieren.
  • Ataque por diccionario: Programas que usan palabras habituales del idioma del usuario.
  • Suplantación de identidad: Se trata de engañar al usuario haciéndole creer que es su banco, o alguien conocido, o algún organismo público, para que se le faciliten las claves: phising, pharming…


Recomendaciones para la elección de contraseñas


Normas a seguir:

  • La longitud de las contraseñas nunca debe ser inferior a ocho caracteres. A mayor longitud más difícil será de reproducir y mayor seguridad ofrecerá. Se recomienda longitud superior a los 11 caracteres.
  • Construir las contraseñas con una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas), dígitos e incluso caracteres especiales (@, ¡, +, &).
  • Usar contraseñas diferenciadas en función del uso (por ejemplo, no debe usarse la misma para una cuenta de correo que la usada para acceso a servicios bancarios o para el acceso a la wifi doméstica).
  • Un buen método para crear una contraseña sólida es pensar en una frase fácil de memorizar y acortarla aplicando alguna regla sencilla.
  • Se deben cambiar las contraseñas regularmente. (Dependiendo de la criticidad de los datos puede ser cada 6 meses)
  • Usar algún tipo de programa para gestionar las contraseñas: almacenarlas, crearlas, cambiarlas periódicamente…
  • Activar donde sea posible la "verificación en dos pasos", en la cual se requiere de algún tipo de dispositivos físico (generalmente el móvil) para introducir la contraseña

No uses una de estas


Se debe evitar:

  • La contraseña no debe contener el nombre de usuario de la cuenta, o cualquier otra información personal fácil de averiguar (cumpleaños, nombres de hijos, cónyuges, ...). Tampoco una serie de letras dispuestas adyacentemente en el teclado (qwerty) o siguiendo un orden alfabético o numérico (123456, abcde, etc.)
  • No se recomienda emplear la misma contraseña para todas las cuentas creadas para acceder a servicios en línea. No utilizar la misma contraseña en sus servicios de la UAL en su banca electrónica, por ejemplo.
  • Se deben evitar contraseñas que contengan palabras existentes en algún idioma (por ejemplo “campo”). Uno de los ataques más conocidos para romper contraseñas es probar cada una de las palabras que figuran en un diccionario y/o palabras de uso común.
  • No se deben almacenar las contraseñas en un lugar público y al alcance de los demás (encima de la mesa escrita en papel, etc…).
  • No compartir las contraseñas en Internet (por correo electrónico) ni por teléfono. En especial se debe desconfiar de cualquier mensaje de correo electrónico en el que le soliciten la contraseña o indiquen que se ha de visitar un sitio Web para comprobarla. Casi con total seguridad se tratará de un fraude.
  • No utilizar la opción de “Guardar contraseña” que en ocasiones se ofrece, para evitar reintroducirla en cada conexión.

 

Para recordar una contraseña segura (mínimo 11 caracteres que incluyan números, letras y caracteres especiales) podemos recurrir al truco de usar una frase, por ejemplo: ¿Yo nací en febrero de 1980?, y quedarnos con los dos últimos caracteres de cada palabra: Yocíenrode80?

Obviamente, ninguna de estas precauciones será de utilidad si después anotamos la contraseña en un postit y la pegamos en la pantalla de nuestro ordenador.


Medidas de seguridad a implementar por el administrador del sistema


A la hora de configurar nuestros sistemas debemos forzar a los usuarios a tomar ciertas medidas de seguridad con respecto a sus contraseñas:

  • Obligar al usuario a cambiar la contraseña inicial en su primer acceso.
  • Número máximo de intentos permitidos, tras el cual el sistema se bloquea
  • Que no se admitan contraseñas de menos de 11 caracteres y que estos obligatoriamente incluyan mayúsculas, minúsculas, números y caracteres especiales.
  • Que las contraseñas expiren cada cierto tiempo y haya que cambiarlas, tampoco se permitirá repetir ninguna de las tres últimas
  • Preguntas que verifiquen que el intento lo está haciendo una persona y no un programa automático (CAPTCHA)
  • Implementar en el sistema la verificación en dos pasos



No hay comentarios:

Publicar un comentario