En los primeros días del mes de junio del presente año
recorrió el Cyberespacio una increíble noticia… “La red social LinkedIn reconoce en su página, el
robo de contraseñas de cuentas de sus miembros.” (fuente, ©AFP)
Aparentemente, el robo de contraseñas se hizo pidiendo a
determinados usuarios que cambiaran/confirmaran sus cuentas, mediante el uso de
un enlace adosado al mensaje recibido.
En materia de contraseñas hay algunos aspectos
fundamentales a tener en cuenta:
A)
Responsabilidades a cargo del Usuario… elaborar contraseñas fuertes, es decir, que sean
difíciles de descifrar mediante programas que contengan algoritmos tendientes
al descifrado de las mismas y además debe adoptar una
correcta política de protección a fin
de evitar el robo de su contraseña, pues. de nada vale elaborar una
contraseña segura si después el usuario es displicente y permite que se la
roben.
B)
Responsabilidades a cargo del Web Site
al cual se accede… debe adoptar todas las protecciones
a su alcance e efectos de evitar el robo de las contraseñas de sus
usuarios.
Reiterando… de nada vale
elaborar una contraseña segura si después el Web Site que las almacena es
displicente y permite que se la roben.
La temática a la cual nos referiremos en el presente
artículo es: “cómo diseñar contraseñas seguras”,
lo cual nos lleva a la siguiente pregunta…
¿Por qué a muchos usuarios no les interesa cómo
protegerse?
Influencias
del entorno
En primer lugar, cabe mencionar que la masificación y
crecimiento de los servicios en Internet ha determinado que los usuarios tengan
que suscribirse concomitantemente en varias redes sociales, tener varias
cuentas de Webmails, realizar obligatoriamente actividades de home banking y
e-commerce, etc.
En segundo lugar, existe una “presión social” muy
importante sobre los usuarios de redes sociales (networking, en inglés) para
que publiquen datos familiares, nombres, fechas de cumpleaños, fotos y videos,
es decir… “publicar” todo un acumulado de datos personales que pueden ser
utilizados en forma maliciosa por personas inescrupulosas y malintencionadas.
En tercer lugar, el método de acceso a los WebSites es
mediante la conocida técnica de “Iniciar Sesión”, mediante la cual el usuario
para poder acceder a sus datos… “debe Iniciar Sesión
ingresando manualmente su “SiteID”, consistente en un “UserID” y un “Password”.
El UserID “lo elije el Site” y obligatoriamente debe ser
un dato personal proporcionado previamente por el usuario al momento de
registrarse, como ser: su nombre, su alias, su dirección de correo electrónico,
su número de teléfono, etc.
Por el contrario, con el Password, es diferente… “lo
elige el usuario”, es un dato que “él” escoge y solamente “él” conoce ¡!!
Pero… a pesar de todas las recomendaciones que
ocasionalmente hacen los amigos o se lee en revistas especializadas, el común
denominador es que “los usuarios de Internet tienden a
usar contraseñas no seguras”,
viven en constante riesgo, creen que “nunca les va a pasar nada”, son escépticos,
despistados, no tienen voluntad de aprender y recién toman conciencia cuando
“algo grave les pasa”… realmente los hackers y crackers existen ¡!!
Por ende, cada tanto. escuchamos los famosos casos de
“secuestros de datos y cuentas”, así como casos de “robos de identidad” y un
sin número de “fraudes online”.
El tema seguridad informática es muy amplio, incluye
tópicos vinculados con add-ons, spammers, scrammers, ventanas popups (ADS, por
sus sigla en inglés), malwares (worms, trojans, etc.), adwares, spywares,
keyloggers, rootkits, cookies de seguimiento, rootkits, hithaks, phishing ,
ransomwares, métodos de ingeniería social, etc.
Pero hay una máxima en informática… ¡el peor enemigo de un usuario es el propio usuario! …tema
que analizaremos en próximos debates.
¿Qué debe saber el usuario sobre seguridad?
Preguntas
básicas (FAQs)
¿Para qué necesito una contraseña realmente
segura?
Para usar en aquellos sitios que exigen contraseña para
“iniciar sesión”, también puede ser usada para acceder a redes locales (LAN,
por su sigla en inglés), proteger carpetas y archivos, etc.
¿Cuándo una contraseña es segura?
Se dice que una contraseña es segura cuando cumple
determinados requisitos que vuelven difícil su vulneración.
¿Cuáles son los requisitos básicos que
requiriere una contraseña para que sea considera segura?
·
El primero es, nunca utilizar palabras,
nombres de personas, datos personales (nombres de hijos, fechas de cumpleaños,
números de teléfono, etc.), ni alias de común uso, publicados voluntariamente o
no, a fin de evitar embates de programas denominados “atacadores de
diccionario”.
·
El segundo es, que sea larga y fácil de
recordar, pues, una contraseña larga es más difícil de adivinar que una corta.
La mayoría de los usuarios
piensan que una contraseña larga es difícil de recordar, pero, como veremos, la
solución es una cuestión de ingenio... la frase debe ser fácil de recordar para el usuario, pero difícil de
adivinar o deducir por terceras personas.
Por ejemplo recurrir a aficiones
y apreciaciones personales, como ser, una frase extraída de un libro puede ser
muy familiar para el usuario, pero resulta totalmente desconocida para su
entorno.
La longitud ideal es ser mayor
de de 14 caracteres (a partir de Windows XP, las contraseñas pueden tener una
longitud de hasta 127 caracteres), pero, a partir de los 8 caracteres ya
aparecen síntomas de fortaleza.
·
El tercero es, mezclar todo tipo
caracteres, es decir, integrarla con letras (minúsculas y mayúsculas), números
y símbolos.
Algo muy importante a tener en
cuenta, es que no quede sometida al tipo de teclado, pues, todos sabemos lo
difícil que es generar letras con tilde y la “ñ”, así como los símbolos [, !,
+, <>, ¿, ?, etc. en teclados extranjeros configurados para el idioma
español.
En resumen, una contraseña para que sea segura debe
parecerle al atacante una cadena aleatoria de caracteres.
¿Cómo se hace para crear una contraseña
segura?
De dos formas: a) la diseña personalmente el usuario con
requisitos afines a su personalidad/entorno, b) recurrir a un servicio que la
diseñará utilizando un programa generador de contraseñas, la desventaja en este
último caso es que la contraseña no tendrá ninguna relación con el usuario y
por tanto le resultará más difícil de recordar.
¿Cómo diseño contraseñas seguras?
Generación
manual de claves
Manos a la obra…
A continuación, analizaremos un sencillo, pero, muy
eficaz método para diseñar una contraseña segura en tres pasos.
PASO 1. – Preparar “la base de la contraseña” y luego
“acondicionarla”.
El forjado de “la base” consta de tres fases:
·
Face 1. Pensar en una “frase larga y
posible de recordar”, pero desconocida para terceras personas, por ejemplo: “me gusta la comida mexicana”.
·
FACE 2. Someterla a un
“acondicionamiento” para transformarla en un vocablo sin sentido, utilizando la
primera letra de cada palabra de la frase elegida, en nuestro caso: mglcm (Score: 6%, Very Weak).
Luego, para aumentar un poco más
su complejidad, cambiamos alguna letra minúscula por mayúscula, por ejemplo: mGlcm (Score: 20%,
Weak).
Pero atención si ubicamos la
letra mayúscula en el primer lugar, se debilita la seguridad, por ejemplo… Mglacm (Score: 19%, Weak).
PASO 2. – Pensar en “nuestro número favorito”, por
ejemplo el “13” , y
agregarla al principio o al final del vocablo que estamos construyendo como
contraseña, con lo cual quedaría mGlcm13 (Score: 49%,
Good).
PASO 3. – Incorporarle un símbolo, por ejemplo el punto y
coma (“;”)
antes del número, aunque también puede ser otros… “@”, “#”, etc.
Quedando finalmente así diseñada nuestra “posible”
contraseña segura:
mGlacm;13 (Score: 75%, Strong) <=
longitud=9, minúsculas=5, mayúsculas=1 en segundo lugar, caracteres=2
Si deseamos aumentar el nivel de seguridad, le podemos
agregar, por ejemplo, un punto “.” al final:
mGlacm;13. (Score: 91%, Strong) <=
longitud=10, minúsculas=5, mayúsculas=1 en segundo lugar, caracteres=2
¿Cómo compruebo el nivel de seguridad de una contraseña?
Prueba
de contraseñas
Si deseamos, antes de usar la contraseña que hemos
diseñado, comprobar la seguridad que nos brinda, podremos “probar su fortaleza”
ingresando a sitios que brindan servicios de “verificación de fortalezas de
claves”, como ser el Site de Password
Meter.
¿Qué más debo saber?
Generación automática de claves seguras
Si no queremos diseñarla por nosotros mismos, podemos
recurrir a un WebService que haga el trabajo por nosotros como ser el servicio
que presta el sitio Password.es creador
de claves online y aportando claves según especificaciones pre-establecidas,
pero, lamentablemente, la clave obtenida al no ser nemotécnica ni estar
relacionada directamente con nosotros será muy útil, pero… difícil de recordar
¡!!
Recomendaciones generales
-Cambiar las contraseñas con periodicidad (cada seis
semanas es lo recomendado).
-No reciclar contraseñas viejas.
-No usar la misma contraseña para ingresar a diferentes
WebServices, ni seleccionar el casillero con la opción “Recordarme en este equipo” que muchas veces nos ofrecen los
formularios a los cuales accedemos para Iniciar Sesión.
-Además tener en cuenta que, por ejemplo 4<cy$8K[a
(Score: 92%, Strong), es una excelente contraseña, pero, puede ser tedioso
ubicar caracteres en un teclado inglés configurado para el escribir en español…
la clásica pregunta ¿dónde están los
caracteres $ [ < ?
¿Algo más?
Reflexión final
Pero,… Sí, debe recurrirse al uso de métodos y políticas
que permitan incrementar razonablemente y en la medida de lo posible el nivel
de seguridad del ecosistema.
Autor: Lic. Luis Urdampilleta
Copyright 2012 Luis Urdampilleta
Released under Creative Commons Attribution Noderivs
3.0
Sugerencias: únete al Grupo “Bibliotecas
3.0 – La Biblioteca Global” en LinkedIn
Próximo artículo a
publicar: “Las
Bibliotecas y la
Seguridad Informática ”, en el cual trataremos temas vinculados con
políticas de seguridad, así como también… hardware y software de seguridad.
Lo dicho... ¡el peor enemigo del usuario es el propio usuario! Los invito a leer el post publicado en el Grupo "Bibliotecas 3.0 - La Bilioteca Global" en Linkedin.
ResponderEliminar"Periodista de Wired aprende dura lección sobre peligros de Internet"
Fte AFP
http://lnkd.in/_aRmtY
Considero interesante recordar el célebre caso acontecido ya hace un tiempo atrás, conocido como “hacker Croll”… el hacker “adivinó” la contraseña de un empleado de Twitter y envió 310 documentos confidenciales de la plataforma de microbloggins al sitio Web TechCrunch (quien a su vez las publicó en Internet) en los cuales constaban proyecciones financieras, pronósticos empresariales para el año 2013 y actas de reuniones de la red social de microposts.
ResponderEliminarSaludos a tod@s
Atención amig@s.
ResponderEliminar☛ Cambia tu contraseña!! El bug "Heartbleed" ("corazón que sangra"), hallado en el programa de seguridad OpenSSL afectó a Yahoo, Google, Facebook, Youtube, Twitter, Blogspot, Amazon, Wordpress, Xing y Pinterest.
.Afectó a las “apps móviles” de bancos, tarjetas de crédito y tiendas online; a vía de ejemplo podríamos citar que según estudios de la firma nipona Tend Micro por lo menos 1.300 aplicaciones distribuidas por Google Play para smartphones y tablets Android podrían estar en riesgo por fallas en sus sistemas de seguridad, como ser pagos vía móvil, mensajería, contralor de salud, configuración de teclado, entre otras.
.Cabe aclarar que SSL (Secure Sockets Layer) es un protocolo de seguridad diseñado para lograr un acceso seguro a sitios HTTPS (sitios .Web) mediante el uso de navegadores Web.
.El Programa OpenSSL es muy utilizado en servidores Apache.
.Si desean más información sobre el Proyecto OpenSSL pueden acceder a link www.openssl.org
Sds. Luis