Español | English
rss facebook linkedin Twitter

Uno de febrero, día de cambiar contraseñas


Desde Gizmodo se está promocionando ayer, el día 1 de febrero, como día de referencia para el cambio de contraseñas. Es una iniciativa interesante ya que marca un día destacado al año para recordar que es necesario el cambio de contraseñas. Cabe destacar que, en muchos casos, la contraseña es el único factor de autenticación para acceder a servicios como el de e-mail, redes sociales, etc.
Por ello, es fundamental que las contraseñas que se utilicen sean lo más seguras posibles.

Para poder decidir si la contraseña es segura es necesario conocer qué métodos usan los delincuentes informáticos de forma habitual, con la intención de (para) dificultar su tarea...
Los principales métodos de ataque para obtener las contraseñas son:
  • Ataques de diccionario: Se comprueba si la contraseña coincide con una lista de palabras anteriormente confeccionada. Esta listas, llamadas diccionarios, pueden ser de distinta temática, idioma, etc."
  • Ataques de fuerza bruta: Un ataque de fuerza bruta consiste en ir probando todas las combinaciones posibles de un conjunto de letras, símbolos y números previamente seleccionados, hasta dar con la contraseña.
  • Ataques de ingeniería social: Los ataques de ingeniería Social consisten en manipular y engañar al usuario para que de manera voluntaria, exponga su contraseña (o datos sensibles para forzar su recuperación).


Una vez expuestos los principales métodos para obtener contraseñas hay que desgranar los puntos para neutralizar estas amenazas de la manera más efectiva posible.

Una buena contraseña no debe ser una palabra que exista. Es la mejor manera de asegurarse de que la palabra elegida no está en los diccionarios del atacante. Cuanto más larga sea la contraseña más tiempo costará extraerla mediante fuerza bruta.
Además, si se utilizan mayúsculas, minúsculas, números y caracteres especiales, se provocará que el proceso sea más lento todavía, ya que hay que comprobar muchos más posibles valores, volviendo la contraseña más segura.
Es importante también no revelar bajo ningún concepto nuestras contraseñas a nadie.
Tampoco es conveniente utilizar una misma contraseña para servicios diferentes ya que si se compromete la contraseña todos los servicios que la compartan serán vulnerables (además de que en este caso habrá que cambiar muchas contraseñas para corregir el compromiso mientras que con el método de la contraseña única para cada servicio, con cambiar la del servicio afectado sería suficiente.)
Este último punto plantea la dificultad de recordar muchas contraseñas diferentes. Para solucionarlo, hay métodos que pueden facilitar el proceso:
  • El primer método es utilizar un programa de gestión de contraseñas como puede ser KeePass. KeePass es un programa gratuito open source que permite gestionar multitud de contraseñas de una manera muy cómoda. Sólo será necesario recordar una contraseña maestra que nos permitirá acceder a nuestro "llavero" de claves. Muy cómodo, con funciones muy bien pensadas y muy sencillo de utilizar. Se puede obtener aquí.
  • El otro método es la generación de contraseñas mediante un patrón.
1. Vamos a escoger un par de versos de una canción. Para este ejemplo se utilizarán dos estrofas de una canción de Rick Astley.
Las estrofas dicen así:

"Never gonna give you up
Never gonna let you down"

2. Vamos a seleccionar la primera letra de cada palabra. Quedará así:

NggyuNglyd

3. Ahora sustituiremos alguna letra por un carácter numérico. En éste se van a sustituir la letra g por 8. Nos queda así:

N88yuN8lyd

4. Como siguiente paso, añadiremos algún símbolo para que la contraseña sea todavía más segura:

@N88yuN8lyd!

5. Por último, añadiremos al principio o al final las 3 o 4 primeras letras del servicio para el que estamos creando la contraseña. De ésta manera aunque la base de la contraseña sea la misma, cambia para cada servicio diferente.
Es importante recalcar que en casos en los que se busque una mayos seguridad habría que hacer alguna operación sobre las letras que añadimos para identificar el servicio, para que el método resulte menos llamativo, como por ejemplo sustituir las letras que vamos a añadir por las siguientes en el alfabeto (o cualquier permutación que dificulte la identificación del patrón utilizado) aunque es un paso que se va a omitir en este tutorial.
Un par de ejemplos de cómo quedaría la contraseña según el servicio.

En una cuenta de google: @N88yuN8lyd!goog
En una cuenta de S21sec: @N88yuN8lyd!S21s

De ésta manera, se obtendrá una contraseña segura para cada servicio.

Es muy habitual que muchos servicios ofrezcan un servicio de recuperación de contraseñas mediante preguntas y respuestas (que decidimos al registrar el servicio). Una costumbre muy recomendable es que la respuesta que se dé a esas preguntas, no tenga ninguna relación con la pregunta ya que es relativamente fácil ( y hoy en día más aún con el auge de las redes sociales) obtener respuestas a preguntas típicas como el apellido de soltera de nuestra madre, colegio en el que estudiamos... etc.

Si se cumplen todos estos consejos, obtendremos una contraseña robusta que permitirá incrementar nuestra seguridad.

Resumiendo: Hay que cambiar periódicamente todas las contraseñas sobre las que se quiera mantener una mínima seguridad. Recordemos cambiarlas por lo menos una vez al año. El uno de febrero no es mala fecha para ello!

Mario González
S21sec ecrime

2 comentarios:

SilverNeoX dijo...

"@N88yuN8lyd!goog" "@N88yuN8lyd!S21s" Hacer un patrón de ese tipo es prácticamente lo mismo que escribir la misma contraseña para todas las cuentas. Incluso resultaría más fácil "averiguar" el resto puesto que al primer vistazo supondremos que hace lo mismo en todos los servicios.

Anónimo dijo...

Por dios no lo tenias mas cutre que rick astley!! jajajajaa


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login