Manejo de contraseñas_pb

Ricardo Urbina Miranda Un aporte a la Seguridad de la Información

Recomendaciones para el

manejo de contraseñas

UN APORTE A LA SEGURIDAD DE LA INFORMACIÓN

EN LOS TIEMPOS DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES


¿Por qué debemos usar contraseñas?

La idea principal es proteger el acceso a la información para

solo quién es su dueño o está autorizado a utilizarla.

Un ejemplo de identificador es el RUT, sin embargo, esta

información por si sola no permite asegurar que quién se

identifica con un RUT es el dueño de éste, luego se hace

necesario agregar un segundo factor que solo maneje el dueño

del ID o cuenta y que nos permite validar que es la persona

debida ya que nadie más debe manejar ese dato.

Esta información es la contraseña, clave o password.


¿Qué tipo de contraseña?

El grado de dificultad de la contraseña debe ser proporcional a

la importancia de la información que deseo proteger.

La dificultad se refiere al esfuerzo necesario para adivinar la

contraseña.


Atributos de la contraseña

Cantidad de caracteres

Tipo de caracteres

Modificación en el tiempo

Tipos de contraseña Débiles:

Menor a 3 caracteres

Solo números o solo letras

No se cambia en el tiempo

Fuertes:

Superior a 8 caracteres

Combinación números, letras y símbolos

Se cambia regularmente

No son palabras de diccionario


Complicaciones

Generar claves fuertes

Recordar claves fuertes

Almacenar claves fuertes


Sugerencia práctica para generar claves fuertes

Definir reglas de sustitución que me sea fácil recordar, por ejemplo

las vocales las remplazo por números (67890, 98765, 24680, nunca

12345), el espacio lo remplazaré por el signo igual, alterno letras

mayúsculas con letras minúsculas, cualquier sustitución que recuerde

siempre.

Por ejemplo:

La clave es el nombre Juan Pablo

Aplico alternancia jUaN pAbLo

Aplico remplazo jU6N=p6bL9

Quedando una contraseña fuerte donde la complejidad de

recordarla está asociado a la definición de las reglas de

sustitución.


Sugerencia práctica para recordar claves fuertes

Al definir reglas de sustitución tenemos resuelto el poder recordar la

contraseña fuerte, pero no el que manejemos muchas contraseñas.

Una recomendación es incorporar en la contraseña una asociación

con la información a la cual accedo.

Por ejemplo:

Juan Banco jU6N=b6nC9

Juan gmail jU6N=gM68l

Juan Oficina jU6N=8F6C6N6

Juan faceb jU6N=f6c7b


Sugerencia práctica para almacenar claves

Dado el nivel de claves que manejamos, siempre es necesario

mantener un registro de éstas, suele suceder que al no usarlas por un

tiempo podremos olvidarla.

Por lo tanto el almacenarlas resulta necesario, sin embargo, la

seguridad de este contenedor de claves debe ser de nivel superior, es

decir, si una clave fuerte tiene mínimo 8 caracteres, la clave que

asegura el contenedor debe ser mínimo de 14 caracteres. Más

adelante se detallará una sugerencia para la definición de ésta.

El contenedor de claves puede ser desde una planilla Excell (versión

2007 o superior) con clave hasta un software administrador de claves

como por ejemplo Password Safe.


Sugerencia práctica para almacenar claves –continuación-

Independientemente si es una planilla con clave o la base asociado a

un programa para administrar contraseñas siempre debemos tomar las

siguientes precauciones con el archivo que contiene las claves:

• Mantenerlo en un directorio especial que su identificación no

de información del contenido

• Mantenerlo en un equipo que tenga control de acceso, esto es,

usuario y clave que solo usted maneja

• Mantener un respaldo actualizado en otro lugar que le permita

acceder a la información en caso que se dañe o pierda el

equipo donde está el archivo

• Si es un software, mantener el archivo de respaldo junto al

software que permite leerlo


Sugerencia práctica para almacenar claves –continuación-

Dado que la clave que protege el archivo contenedor de todas las

claves es muy importante, la semilla o secuencia de caracteres a

partir de la cual generamos la contraseña que la protege debe ser de

un largo superior a 14 caracteres.

En este caso se debe utilizar un trozo de una canción, de un poema,

un refrán, un texto de un libro, una cita, es decir, un texto largo que

siempre recordemos.

Luego a esta semilla le aplicamos las definiciones de sustitución que

habíamos generado, obteniendo una contraseña clasificada como

muy fuerte.


Sugerencia práctica para cambiar claves

Una manera de darle mayor seguridad a la clave es teniendo que

cambiarla regularmente, la idea es que a mayor tiempo mayor

posibilidad que la conozca otra persona.

La recomendación e este caso es definir una parte fija que

mantenemos y luego un contador numérico que incrementamos y

cambiamos de posición.

Por ejemplo:

La clave Juan Pablo jU6N=p6bL9

Le agregamos contador jU6N=p6bL9010

próximo cambio 011jU6N=p6bL9

luego jU6N=p6bL9012

así sucesivamente . . .


Claves que NO se deben utilizar

Password

Passw0rd

Qwerty

Abc123

123456

654321

123456789

987654321

111111

123123

Iloveyou

shadow

letmein

Rockyou

Princess

America

Monkey

Superman

Qazwsx

La regla es NO USAR palabras que se

encuentran en un diccionario, ni nombres

propios, fechas de nacimiento, direcciones,

números de teléfono por si solos, la idea es

combinarlos y luego aplicar sustitución.


Conclusiones

Al igual que cuando compramos un candado o una

chapa, la elegimos en función de lo que deseamos

proteger, lo mismo sucede al definir una contraseña,

por lo tanto, la calidad de esta debe estar en directa

relación con la información que necesitamos cuidar.

El esfuerzo que significa manejar claves siempre será

menor que el daño en caso que la información que

protegemos se mal usada.

Manejo de contraseñas_pb

Technology

Transcript of Manejo de contraseñas_pb