¡Bienvenidos!

Nuestro objetivo con la creación del presente Blog CyberLibrary es instituir un ámbito de opinión y colaboración entre quienes nos dedicamos a la automatización de Centros de Información Corporativos, intercambiando opiniones y experiencias, así como planteamiento de nuevos paradigmas que beneficien a la comunidad empresarial en general y a la bibliotecológica en particular.

Los invitamos a opinar. ¡Sus enriquecedoras opiniones serán de parabienes!


sábado, 21 de julio de 2012

Protocolo Contraseña Segura


En los primeros días del mes de junio del presente año recorrió el Cyberespacio una increíble noticia… “La red social LinkedIn reconoce en su página, el robo de contraseñas de cuentas de sus miembros.” (fuente, ©AFP)

Aparentemente, el robo de contraseñas se hizo pidiendo a determinados usuarios que cambiaran/confirmaran sus cuentas, mediante el uso de un enlace adosado al mensaje recibido.

En materia de contraseñas hay algunos aspectos fundamentales a tener en cuenta:

A)      Responsabilidades a cargo del Usuario… elaborar contraseñas fuertes, es decir, que sean difíciles de descifrar mediante programas que contengan algoritmos tendientes al descifrado de las mismas y además debe adoptar una correcta política de protección a fin  de evitar el robo de su contraseña, pues. de nada vale elaborar una contraseña segura si después el usuario es displicente y permite que se la roben.

B)      Responsabilidades a cargo del Web Site al cual se accede… debe adoptar todas las protecciones a su alcance e efectos de evitar el robo de las contraseñas de sus usuarios.
Reiterando… de nada vale elaborar una contraseña segura si después el Web Site que las almacena es displicente y permite que se la roben.

La temática a la cual nos referiremos en el presente artículo es: “cómo diseñar contraseñas seguras”, lo cual nos lleva a la siguiente pregunta…

¿Por qué a muchos usuarios no les interesa cómo protegerse?


Influencias del entorno

En primer lugar, cabe mencionar que la masificación y crecimiento de los servicios en Internet ha determinado que los usuarios tengan que suscribirse concomitantemente en varias redes sociales, tener varias cuentas de Webmails, realizar obligatoriamente actividades de home banking y e-commerce, etc.

En segundo lugar, existe una “presión social” muy importante sobre los usuarios de redes sociales (networking, en inglés) para que publiquen datos familiares, nombres, fechas de cumpleaños, fotos y videos, es decir… “publicar” todo un acumulado de datos personales que pueden ser utilizados en forma maliciosa por personas inescrupulosas y malintencionadas.

En tercer lugar, el método de acceso a los WebSites es mediante la conocida técnica de “Iniciar Sesión”, mediante la cual el usuario para poder acceder a sus datos… “debe Iniciar Sesión ingresando manualmente su “SiteID”, consistente en un “UserID” y un “Password”.

El UserID “lo elije el Site” y obligatoriamente debe ser un dato personal proporcionado previamente por el usuario al momento de registrarse, como ser: su nombre, su alias, su dirección de correo electrónico, su número de teléfono, etc.

Por el contrario, con el Password, es diferente… “lo elige el usuario”, es un dato que “él” escoge y solamente “él” conoce ¡!!

Pero… a pesar de todas las recomendaciones que ocasionalmente hacen los amigos o se lee en revistas especializadas, el común denominador es que “los usuarios de Internet tienden a usar contraseñas no seguras”,  viven en constante riesgo, creen que “nunca les va a pasar nada”, son escépticos, despistados, no tienen voluntad de aprender y recién toman conciencia cuando “algo grave les pasa”… realmente los hackers y crackers existen ¡!!

Por ende, cada tanto. escuchamos los famosos casos de “secuestros de datos y cuentas”, así como casos de “robos de identidad” y un sin número de “fraudes online”.

El tema seguridad informática es muy amplio, incluye tópicos vinculados con add-ons, spammers, scrammers, ventanas popups (ADS, por sus sigla en inglés), malwares (worms, trojans, etc.), adwares, spywares, keyloggers, rootkits, cookies de seguimiento, rootkits, hithaks, phishing , ransomwares, métodos de ingeniería social, etc.

Pero hay una máxima en informática… ¡el peor enemigo de un usuario es el propio usuario! …tema que analizaremos en próximos debates.

¿Qué debe saber el usuario sobre seguridad?

Preguntas básicas (FAQs)

¿Para qué necesito una contraseña realmente segura?

Para usar en aquellos sitios que exigen contraseña para “iniciar sesión”, también puede ser usada para acceder a redes locales (LAN, por su sigla en inglés), proteger carpetas y archivos, etc.

¿Cuándo una contraseña es segura?

Se dice que una contraseña es segura cuando cumple determinados requisitos que vuelven difícil su vulneración.

¿Cuáles son los requisitos básicos que requiriere una contraseña para que sea considera segura?

·         El primero es, nunca utilizar palabras, nombres de personas, datos personales (nombres de hijos, fechas de cumpleaños, números de teléfono, etc.), ni alias de común uso, publicados voluntariamente o no, a fin de evitar embates de programas denominados “atacadores de diccionario”.

·         El segundo es, que sea larga y fácil de recordar, pues, una contraseña larga es más difícil de adivinar que una corta.
La mayoría de los usuarios piensan que una contraseña larga es difícil de recordar, pero, como veremos, la solución es una cuestión de ingenio... la frase debe ser fácil  de recordar para el usuario, pero difícil de adivinar o deducir por terceras personas.
Por ejemplo recurrir a aficiones y apreciaciones personales, como ser, una frase extraída de un libro puede ser muy familiar para el usuario, pero resulta totalmente desconocida para su entorno.
La longitud ideal es ser mayor de de 14 caracteres (a partir de Windows XP, las contraseñas pueden tener una longitud de hasta 127 caracteres), pero, a partir de los 8 caracteres ya aparecen síntomas de fortaleza.

·         El tercero es, mezclar todo tipo caracteres, es decir, integrarla con letras (minúsculas y mayúsculas), números y símbolos.
Algo muy importante a tener en cuenta, es que no quede sometida al tipo de teclado, pues, todos sabemos lo difícil que es generar letras con tilde y la “ñ”, así como los símbolos [, !, +, <>, ¿, ?, etc. en teclados extranjeros configurados para el idioma español.

En resumen, una contraseña para que sea segura debe parecerle al atacante una cadena aleatoria de caracteres.

¿Cómo se hace para crear una contraseña segura?

De dos formas: a) la diseña personalmente el usuario con requisitos afines a su personalidad/entorno, b) recurrir a un servicio que la diseñará utilizando un programa generador de contraseñas, la desventaja en este último caso es que la contraseña no tendrá ninguna relación con el usuario y por tanto le resultará más difícil de recordar.

¿Cómo diseño contraseñas seguras?


Generación manual de claves

Manos a la obra…

A continuación, analizaremos un sencillo, pero, muy eficaz método para diseñar una contraseña segura en tres pasos.

PASO 1. – Preparar “la base de la contraseña” y luego “acondicionarla”.

El forjado de “la base” consta de tres fases:

·         Face 1. Pensar en una “frase larga y posible de recordar”, pero desconocida para terceras personas, por ejemplo: “me gusta la comida mexicana”.
·         FACE 2. Someterla a un “acondicionamiento” para transformarla en un vocablo sin sentido, utilizando la primera letra de cada palabra de la frase elegida, en nuestro caso: mglcm (Score: 6%, Very Weak).
Luego, para aumentar un poco más su complejidad, cambiamos alguna letra minúscula por mayúscula, por ejemplo: mGlcm (Score: 20%, Weak).
Pero atención si ubicamos la letra mayúscula en el primer lugar, se debilita la seguridad, por ejemplo… Mglacm (Score: 19%, Weak).

PASO 2. – Pensar en “nuestro número favorito”, por ejemplo el “13, y agregarla al principio o al final del vocablo que estamos construyendo como contraseña, con lo cual quedaría mGlcm13 (Score: 49%, Good).

PASO 3. – Incorporarle un símbolo, por ejemplo el punto y coma (“;”) antes del número, aunque también puede ser otros… “@”, “#”, etc.

Quedando finalmente así diseñada nuestra “posible” contraseña segura:

mGlacm;13 (Score: 75%, Strong) <= longitud=9, minúsculas=5, mayúsculas=1 en segundo lugar, caracteres=2

Si deseamos aumentar el nivel de seguridad, le podemos agregar, por ejemplo, un punto “.” al final:

mGlacm;13. (Score: 91%, Strong) <= longitud=10, minúsculas=5, mayúsculas=1 en segundo lugar, caracteres=2

¿Cómo compruebo el nivel de seguridad de una contraseña?


Prueba de contraseñas

Si deseamos, antes de usar la contraseña que hemos diseñado, comprobar la seguridad que nos brinda, podremos “probar su fortaleza” ingresando a sitios que brindan servicios de “verificación de fortalezas de claves”, como ser el Site de Password Meter.

¿Qué más debo saber?


Generación automática de claves seguras

Si no queremos diseñarla por nosotros mismos, podemos recurrir a un WebService que haga el trabajo por nosotros como ser el servicio que presta el sitio Password.es creador de claves online y aportando claves según especificaciones pre-establecidas, pero, lamentablemente, la clave obtenida al no ser nemotécnica ni estar relacionada directamente con nosotros será muy útil, pero… difícil de recordar ¡!!

Recomendaciones generales

-Cambiar las contraseñas con periodicidad (cada seis semanas es lo recomendado).
-No reciclar contraseñas viejas.
-No usar la misma contraseña para ingresar a diferentes WebServices, ni seleccionar el casillero con la opción “Recordarme en este equipo” que muchas veces nos ofrecen los formularios a los cuales accedemos para Iniciar Sesión.
-Además tener en cuenta que, por ejemplo 4<cy$8K[a (Score: 92%, Strong), es una excelente contraseña, pero, puede ser tedioso ubicar caracteres en un teclado inglés configurado para el escribir en español… la clásica pregunta  ¿dónde están los caracteres $ [ < ?

¿Algo más?

Reflexión final

La Seguridad Total… ¡No existe!

Pero,… Sí, debe recurrirse al uso de métodos y políticas que permitan incrementar razonablemente y en la medida de lo posible el nivel de seguridad del ecosistema.


Autor: Lic. Luis Urdampilleta

Copyright 2012 Luis Urdampilleta
Released under Creative Commons Attribution Noderivs 3.0

Sugerencias: únete al GrupoBibliotecas 3.0 – La Biblioteca Global” en LinkedIn

Próximo artículo a publicar: “Las Bibliotecas y la Seguridad Informática”, en el cual trataremos temas vinculados con políticas de seguridad, así como también… hardware y software de seguridad.

Te espero como amigo en Facebook y en Google+ …Contáctame a través de Linkedin

Twitter: @infocdei … #CyberLibrary

3 comentarios:

  1. Lo dicho... ¡el peor enemigo del usuario es el propio usuario! Los invito a leer el post publicado en el Grupo "Bibliotecas 3.0 - La Bilioteca Global" en Linkedin.

    "Periodista de Wired aprende dura lección sobre peligros de Internet"

    Fte AFP

    http://lnkd.in/_aRmtY

    ResponderEliminar
  2. Considero interesante recordar el célebre caso acontecido ya hace un tiempo atrás, conocido como “hacker Croll”… el hacker “adivinó” la contraseña de un empleado de Twitter y envió 310 documentos confidenciales de la plataforma de microbloggins al sitio Web TechCrunch (quien a su vez las publicó en Internet) en los cuales constaban proyecciones financieras, pronósticos empresariales para el año 2013 y actas de reuniones de la red social de microposts.

    Saludos a tod@s

    ResponderEliminar
  3. Atención amig@s.
    ☛ Cambia tu contraseña!! El bug "Heartbleed" ("corazón que sangra"), hallado en el programa de seguridad OpenSSL afectó a Yahoo, Google, Facebook, Youtube, Twitter, Blogspot, Amazon, Wordpress, Xing y Pinterest.
    .Afectó a las “apps móviles” de bancos, tarjetas de crédito y tiendas online; a vía de ejemplo podríamos citar que según estudios de la firma nipona Tend Micro por lo menos 1.300 aplicaciones distribuidas por Google Play para smartphones y tablets Android podrían estar en riesgo por fallas en sus sistemas de seguridad, como ser pagos vía móvil, mensajería, contralor de salud, configuración de teclado, entre otras.
    .Cabe aclarar que SSL (Secure Sockets Layer) es un protocolo de seguridad diseñado para lograr un acceso seguro a sitios HTTPS (sitios .Web) mediante el uso de navegadores Web.
    .El Programa OpenSSL es muy utilizado en servidores Apache.
    .Si desean más información sobre el Proyecto OpenSSL pueden acceder a link www.openssl.org

    Sds. Luis

    ResponderEliminar