martes, 27 de abril de 2010

Como tener una contraseña segura




Si tu contraseña en internet es un término tan complejo como “123456”, ya eres parte del selecto grupo elaborado por la revista PC Magazine, donde determinó los 10 passwords más utilizados en la web.
En la lista, figuran términos como "password", "qwerty", "abc123", "letmein", "monkey", "myspace1", "password1", "link182" y el primer nombre del usuario.

Steve Johnson, columnista del Chicago Tribune, opina que la falta de originalidad en la elección de contraseñas se debe a que los usuarios hacen caso omiso a las recomendaciones de seguridad que dan los expertos.

Algunas de las contraseñas identificadas por PC Magazine coinciden con la lista publicada el año pasado por una página alemana llamada FlirtLife, en la que también figuraban la secuencia de números "123456", la palabra "passwort" y los nombres de los usuarios. En esa oportunidad, el portal envió un mail de advertencia a todos sus clientes.

¿Cómo tener contraseñas seguras?

En Internet, las contraseñas son la fórmula de identificación por excelencia. Con ellas, demostramos a un sistema quiénes somos e impedimos el acceso indiscriminado de otros usuarios. Sin embargo, estamos expuestos a que un tercero pueda robar o averiguar las contraseñas y se haga pasar por nosotros asumiendo nuestra identidad digital.

Entre las técnicas más utilizadas para averiguar contraseñas en los sistemas de autenticación se encuentran los denominados “ataques por diccionario" y "ataques por fuerza bruta”. Para realizarlos con ciertas posibilidades de éxito es necesario conocer el nombre de usuario de una determinada cuenta, lo que en muchas ocasiones es muy sencillo ya que corresponde a valores por defecto (como “root”, “administrator” o “admin.”).




El ataque por diccionario consiste en, dado un nombre de usuario, ir probando contraseñas que se extraen de una lista. Esta operación se realiza en forma automática a través de un programa, y como fuente de las contraseñas a probar se utilizan las entradas de diccionarios reales, ya que muchos usuarios utilizan palabras comunes.

El ataque por fuerza bruta es muy similar al anteriormente mencionado, aunque en vez de utilizar una lista delimitado, emplea todas las combinaciones posibles de caracteres. Este tipo de ataques suele ser efectivo cuando la longitud de la contraseña es pequeña, ya que el número de combinaciones posibles a probar es exponencial a la longitud de la misma.

Muchos de estos ataques se dirigen a cuentas con máximos privilegios, aprovechando que el sistema utiliza un nombre de usuario conocido por defecto. Así, por ejemplo, en plataformas Windows tenemos al usuario "administrador" ("administrator" en versiones en inglés), que suele ser el objetivo más preciado.
Una buena práctica de seguridad es modificar el nombre de usuario de esta cuenta por uno menos obvio y conocido.

Adicionalmente, puede dejarse una cuenta señuelo con el nombre por defecto ("administrador", con mínimos privilegios y una contraseña muy complicada. De esta forma, la cuenta real del administrador estará protegida y al mismo tiempo podremos detectar cualquier intento de ataque, mediante las opciones de auditoría de cuentas de usuario de Windows que permiten registrar los intentos fallidos.





Usa contraseñas seguras

Una de las reglas fundamentales a la hora de elegir una buena contraseña se basa en su longitud y en la variedad de los caracteres que la componen, ya que cuanto mayor sea su tamaño y más heterogéneos los elementos que la integran, más difícil será que la adivine un atacante.

Una buena práctica consiste en crear contraseñas de al menos 8 caracteres de longitud, compuesta por letras, dígitos y símbolos especiales (un ejemplo podría ser "ke8_JW.@".
"En los servicios que lo admitan, también se puede incluir en la contraseña algún carácter de código ASCII. Tiene dos ventajas importantes, este código se compone de 255 símbolos que no se encuentran en el teclado y la mayoría de programas crackeadores por fuerza bruta no los incluyen en sus sistemas de búsqueda", señala el gerente general de Panda Software-Chile, Luis Valenzuela.
Si bien la construcción de una contraseña segura no resulta complicada, existen tantas aplicaciones y servicios que las requieren que puede llegar a ser difícil recordar todas y cada una de las empleadas en cada ocasión, y más si se tiene en cuenta que por su diseño no son series de números o palabras comunes fáciles de recordar.
Hay usuarios que optan por utilizar la misma contraseña para varias de sus aplicaciones y servicios, evitando así tener que recordar varias contraseñas diferentes.
Esto, aumenta el riesgo de que un atacante robe su identidad digital, ya que en cada una de las aplicaciones y servicios la contraseña puede ser almacenada de diferentes formas y estar más o menos expuesta ante terceros.
Según Valenzuela, "es importante diferenciar qué cuenta es más importante proteger. Si es para leer el diario electrónico no es grave que utilice una contraseña simple o que la repita en sitios similares. Sin embargo, las contraseñas de acceso al computador, al buzón de correo web, a la banca electrónica y a cualquier aplicación que contenga información confidencial, deben ser únicas, de mayor complejidad y deben sustituirse periódicamente, con claves que no contengan partes de la anterior".

Frente a los métodos tradicionales se encuentran los certificados digitales, siendo los más conocidos por los usuarios los que se encuentran en los servidores web seguros -como la banca electrónica- y permiten establecer conexiones cifradas a través del protocolo HTTPS. Los certificados digitales para clientes son similares pero, en este caso, permiten verificar la identidad del usuario, añadiendo una capa adicional de seguridad a los sistemas basados únicamente en contraseñas.

Hoy, varias las entidades bancarias están emitiendo certificados digitales para sus clientes. ¿Qué quiere decir esto? Les entregan un certificado que deben instalar en su PC, impidiendo así a un atacante acceder desde otro ordenador, aunque robe su contraseña de acceso.

Para los usuarios móviles, que no siempre se conectan desde un PC determinado, también se distribuyen certificados digitales almacenados en llaves USB (del tamaño de una llave convencional).

No te lo puedes perder

© Planeta digital
Maira Gall