Ministerio de Desarrollo y Defensa Informática

Ver el tema anterior Ver el tema siguiente Ir abajo

Ministerio de Desarrollo y Defensa Informática

Mensaje  Martín Caggiano el Miér Jun 09, 2010 2:40 pm

Siguiendo la iniciativa de mi compañero De Julles, ante la carencia de un espacio adecuado abro aquí un nuevo post, que en mi caso hará las veces de oficina provisional del Ministerio del cual estoy a cargo.
avatar
Martín Caggiano

Mensajes : 26
Fecha de inscripción : 07/03/2010

Ver perfil de usuario

Volver arriba Ir abajo

Creación y Gestión de Contraseñas

Mensaje  Martín Caggiano el Miér Jun 09, 2010 4:02 pm

Bueno, para empezar con mi labor creo conveniente publicar algunas nociones básicas para mejorar la seguridad. Aquí me referiré a contraseñas. Como todos sabemos, las contraseñas son parte importante de nuestra seguridad en Internet.

Un hacker malintencionado puede hacer varias cosas para intentar obtener acceso a cuentas, pero la mayoría de las veces termina debiendo crackear (descifrar) una contraseña, mediante ataques de diccionario (probando palabras existentes) o de fuerza bruta (probando sucesivas combinaciones de caracteres hasta dar con la correcta).

Para empezar una buena contraseña no debe tener sentido, ya que de lo contrario un ataque de diccionario la descifra rápidamente (no sirve poner palabras en otros idiomas, porque es lo mismo). Tampoco tiene que ser muy corta, porque las contraseñas cortas también son descifrables por los ataques de fuerza bruta.

En líneas generales, las primeras recomendaciones son:

-Nunca poner contraseñas que tengan sentido (mucho menos si es algo relacionado con uno como el nombre de un familiar, porque sin mucha ciencia pueden ser obtenidas por gente cercana)
-Nunca elegir sucesiones lógicas (abc, 123, qwerty) como contraseñas, pues también son adivinables sin ningún programa.

Tengan en cuenta que si bien estas primeras recomendaciones pueden sonar de sentido común, son muchos los que suelen incumplir con ellas (como ejemplo, una lista fue publicada aquí)

Por otro lado:

- Usar muchos caracteres dificulta notablemente la obtención de contraseñas. Lo mismo con la utilización de diferentes tipos de caracteres: letras en minúsculas, mayúsculas y números. A veces se permite utilizar caracteres especiales ($,!,/,%...), espacios, letras con tilde… Combinando estos caracteres en contraseñas relativamente largas son un buen comienzo. A continuación una tabla que muestra lo que se tarda en obtener las contraseñas por fuerza bruta, según el número y tipo de caracteres:

CantidadTodos los caracteresSólo minúsculas
3 caracteres0,86 segundos0,02 segundos
4 caracteres1,36 minutos0,46 segundos
5 caracteres2,15 horas11,9 segundos
6 caracteres8,51 días5,15 minutos
7 caracteres2,21 años2,23 horas
8 caracteres2,10 siglos2,42 días
9 caracteres20 milenios2,07 meses
10 caracteres1.899 milenios4,48 años
11 caracteres180.365 milenios1,16 siglos
12 caracteres17.184.705 milenios3,03 milenios
13 caracteres1.627.797.068 milenios78.7 milenios
14 caracteres154.640.721.434 milenios2.046 milenios

Hasta aquí es suficiente para hacer una contraseña segura. Hay que recordar además que por segura que sea una contraseña nunca conviene utilizar la misma contraseña para todas o varias de las cuentas, cosa que hacen muchos, porque esto facilita la tarea de un invasor.

El siguiente problema reside en recordar todas las contraseñas, ante lo cual se pueden hacer dos cosas:

- utilizar una palabra o frase fácil de recordar y transformarlo en una contraseña fuerte, por ejemplo:

esta será mi nueva contraseña

Si tomamos las primeras letras de las palabras de la frase, y luego las últimas, quedará:

esmncaaiaa

Si bien no todos, existen varios servicios que permiten una amplia variedad de caracteres, incluyendo letras con tildes. En este caso se podría incluir la tilde de “está” y queda otro carácter especial mezclado entre las letras (esmncaáiaa) Podemos alternar minúsculas y mayúsculas (EsMnCaAiAa), y luego agregar números y caracteres especiales para hacerla más fuerte:

$1E9s9M2nCaAiAa

Al agregar los números, intercalé “1992”, como ejemplo de una fecha fácil de recordar. Se puede hacer de cualquier manera siempre que quede una contraseña segura y sobre todo, sea fácil de recordar. Se puede utilizar el mismo método con diferentes frases y datos y se obtendrán contraseñas distintas para todas las cuentas. Para acordarse mejor de las contraseñas de cada cuenta, se pueden utilizar palabras o frases relacionadas con el servicio a utilizar (por ejemplo "tengo un nuevo correo" para una cuenta de email), ya que al ser codificadas pierden el sentido y no son más fáciles de obtener que una contraseña basada en otras palabras.

Este sistema es eficiente ya que la información importante se almacena en la memoria de uno y no puede ser obtenida por un hacker, quedándole como último recurso intentar hackear las contraseñas que quedan al final.

- Si por algún motivo no es posible hacer esto, existen programas que permiten almacenar contraseñas de forma segura, como KeePass (que se puede descargar gratis desde este sitio). Este programa utiliza bases de datos y encripta toda la información para dificultar su obtención por parte de terceros. Hay disponibles varios tutoriales para empezar a usarlo en Internet. Sin embargo cada base de datos tiene una contraseña maestra, que si se descubre permite el acceso a todas las contraseñas almacenadas. Por lo tanto el programa es útil siempre y cuando las contraseñas maestras sean fuertes y difíciles de conseguir (se puede utilizar el método anterior para construirla). Tiene la ventaja de tener que recordar menos contraseñas para acceder a más cuentas.

Con esto ya se da (espero) un primer paso en nuestra seguridad informática. Seguramente mucho de lo que expuse no sea nada nuevo, sin embargo es notable la forma en que la gente ignora estas recomendaciones, por lo que en todo caso no viene mal recordarlas. Más adelante publicaré cosas más específicas y avanzadas, sin embargo espero que esto sea de utilidad para empezar.
avatar
Martín Caggiano

Mensajes : 26
Fecha de inscripción : 07/03/2010

Ver perfil de usuario

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.