Español | English
rss facebook linkedin Twitter

Factor humano y contraseñas

¿Cómo de segura es la contraseña que usas para proteger tu información privada?

Elegir la contraseña adecuada es fundamental para conseguir proteger nuestros datos. Para explicar qué se entiende por "contraseña adecuada" tal vez tenemos que mirar la otra cara de la moneda: los métodos que se utilizan para poder romper las contraseñas.

Destacan dos, el ataque por fuerza bruta y el ataque por diccionario.

El ataque por fuerza bruta consiste en probar todas las combinaciones de password posibles hasta encontrar aquella que permite el acceso. Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son muy costosos en tiempo computacional.

Los ataques de diccionario consisten en intentar averiguar una contraseña probando todas las palabras del diccionario (palabras con sentido, o también combinaciones de letras/números que se usan como contraseña habitualmente: 123abc, etc.). Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable.

Así pues, visto lo visto, en un principio nos quedamos con la idea de que nuestra contraseña debe tener, por un lado una longitud considerable (contraseñas de menos de 8 caracteres se pueden considerar débiles), y por otro, a ser posible, no deben de estar basadas en palabras de diccionario. ¿Es esto suficiente?. Pues no, también hay que tener en cuenta el "factor humano".

Y digo esto, debido a una reciente discusión que hemos mantenido entre los compañeros de trabajo aquí en S21sec. Pongamos, que yo, elijo una canción en euskera (para complicarlo un poco, je,je) al azar, y decido utilizar una estrofa de esta canción como clave. En un principio, podría parecer que mi clave puede ser vulnerable frente a ataques por diccionario. Además, el "factor humano" interviene: he apuntado mi contraseña en un papel que está en mi escritorio, de esta manera, cualquiera puede leer mi clave. ¿Sería la gente capaz de entreveer que la contraseña está escrita en ese papel? Y, lo que finalmente motivó el debate entre nosotros, ¿usar estrofas de canciones en euskera es una buena elección como clave?.

Por un lado son claves lo suficientemente largas como para que ataques por fuerza bruta sean inviables. Por otro, si tenemos en cuenta que dentro del euskera hay 5 dialectos (sin contar el euskera unificado, mas conocido como euskera batua), que cada una de las canciones puede transcribirse en uno de esos 5 dialectos y que no todas las canciones que existen en euskera están transcritas, a primera vista parece que un ataque por diccionario tampoco es factible. Además, al ser una canción, es fácilmente memorizable. ¿Es entonces una contraseña de este tipo adecuada? (el caso del euskera, dadas las particularidades de ese idioma da mucho juego, aunque la pregunta puede ser extensible para cualquier idioma).

No os podéis ni imaginar el debate que ha surgido a partir de esta cuestión. A partir de aquí, espero vuestras opiniones, y ya de paso, os dejo una pequeña guía de buenas prácticas para la gestión de contraseñas seguras (gracias Montse ;-)), que por supuesto no es una lista cerrada:

  • Contraseñas alfanuméricas de 10 a 12 caracteres. Que tengan parámetros de no coincidencia con el ID, y el histórico de contraseñas utilizadas, y limitación de utilización de palabras preseleccionadas Ej. Nº DNI usuario, nombre empresa, meses, años, equipos de fútbol, grupos musicales, etc.
  • Cambio periódico cada 90 días por ejemplo (aunque el empleo de una contraseña robusta con todos estos requerimientos podría hacer posible que la contraseña se cambiase con una periodicidad incluso mayor).
  • Bloqueo de la cuenta con necesidad de que intervenga el administrador (no bloqueo temporal de la cuenta) al 3 ó 5 intento.
  • Histórico de 8 a 14 contraseñas.
  • Bloqueo de la cuenta por inactividad durante por ejemplo 1 mes (15 días o menos para sistemas muy críticos Ej. Cuentas de administración de sistemas).
  • Cambio obligatorio de la contraseña en la primera autenticación del usuario.
  • Exclusión del uso de ID genéricos o compartidos.
  • Y por supuesto, tratar de minimizar el "factor humano"; si apuntáis vuestra contraseña en algún papel, guardarlo en un sitio seguro (ah! y nunca le digáis la contraseña a nadie).

Nota: Si tenéis curiosidad de saber cuanto tiempo costaría sacar por fuerza bruta vuestra contraseña, no dudéis en visitar esta página.



Asier Marruedo
S21sec e-crime

11 comentarios:

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Otro anónimo dijo...

Seguro que es un manual encubierto! Está claro cómo lo indican... porque ese manual de buenas prácticas no está en ningún sitio, ni en la wiki, ni en la ayuda de Microsoft... Además queda claro que solamente los de s21sec son capaces de pensar en usar dialectos (http://www.forosegundaguerra.com/viewtopic.php?t=7179&sid=1b4e026bbb4a1767e56759e15b261c9c)

O el mismo euskera se usó en segunda guerra mundial (http://actualidad.terra.es/cultura/articulo/americanos_ii_guerra_mundial_620970.htm.

Ya ha escrito Asier que ha habido una discusión. No hace falta ser Einstein para saber que si no pones una buena contraseña te dura un telediario por fuerza bruta o diccionario

Daniel dijo...

Se podria hacer una contraseña con la letra inicial de cada palabra de una estrofa, poema, extracto de texto etc. que el usuario conozca de memoria??? ejemplo
Supongamos que me sé de memoria este texto:

Para explicar qué se entiende por "contraseña adecuada" tal vez tenemos que mirar la otra cara de la moneda: los métodos que se utilizan para poder romper las contraseñas.

entonces quedaria:

Peqsepcatvtqmlocdlmlmqsupprlc

aunque con mas practica lo pueda escribir mas rapido :)

Anónimo dijo...

Y porque mejor este sitio es solo un link a wikipedia?
Completamente inutil la informacion y ademas copiada de esa otra web

Una perdida de tiempo y bytes!

Ion dijo...
Este comentario ha sido eliminado por el autor.
Anónimo dijo...

Lo que es un desperdicio son los comentarios. Un blog no tiene porque ser educativo ni mucho menos instructivo, eso si, sin duda alguna todos vosotros sois modelos a seguir, por eso publicais de forma anónima y por eso todo el mundo lee vuestros blogs... o no.

¿es el siguiente paso culpar a blogger por ser una herramienta de difusión de mensajes ocultos?

Anónimo dijo...

Anda! La misma tecnica que utilizan los de la ETA...

" En la práctica, según las fuentes consultadas, los miembros de ETA siempre eligen estrofas de canciones en euskera como clave." Fuente: http://www.diariovasco.com/20081111/politica/eta-cifra-mensajes-20081111.html

S21sec dijo...

Hola a todos. El objetivo de este post era hacer participar a la gente en la discusión a la que hago referencia:

¿qué contraseña es mejor?

a#8%!9z$lks.8) o unafrasemuylargaqueyomesedememoriayquenomecuestarecordaraunqueestebasadaenpalabrasdediccionario

Simplemente se pretende indicar que a la hora de elegir contraseña hay que buscar un compromiso entre la complejidad de la contraseña y la facilidad para recordarla después de un tiempo (y, a ser posible, sin tener que apuntarla en ningún sitio).

Recordar a algunos de nuestros lectores, que este blog trata de abarcar el mayor rango posible de lectores, así pues algunos de los post pueden ser muy tecnicos, mientras que otros no.

Gracias a todos por leernos!

Álvaro Del Hoyo dijo...

Nada que no sea de actualidad y haya sido eternamente discutido en Internet.

Para muestra un botón:

http://www.kriptopolis.org/la-contrasena-ha-muerto-viva-la-frase-secr

Álvaro Del Hoyo dijo...

http://www.kriptopolis.org/la-contrasena-ha-muerto-viva-la-frase-secreta

Morvran dijo...

Discrepo de lo de cuatro o cinco intentos antes de bloquear. Si dejas 30 o 40 no pasa nada, el usuario puede hacer suficientes pruebas antes de darse por vencido, y si la política de definición de contraseñas es acertada, es un número despreciable de intentos como para que un ataque tenga éxito.
Y apoyo lo de la frase... si no se puede acceder a un sistema de tarjetas y certificados.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login