Manejo de contraseñas_pb

UN APORTE A LA SEGURIDAD DE LA INFORMACIÓN
EN LOS TIEMPOS DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

Recomendaciones para el
manejo de contraseñas

Ricardo Urbina Miranda Un aporte a la Seguridad de la Información

¿Por qué debemos usar contraseñas?
La idea principal es proteger el acceso a la información para
solo quién es su dueño o está autorizado a utilizarla.

Un ejemplo de identificador es el RUT, sin embargo, esta
información por si sola no permite asegurar que quién se
identifica con un RUT es el dueño de éste, luego se hace
necesario agregar un segundo factor que solo maneje el dueño
del ID o cuenta y que nos permite validar que es la persona
debida ya que nadie más debe manejar ese dato.

Esta información es la contraseña, clave o password.


¿Qué tipo de contraseña?
El grado de dificultad de la contraseña debe ser proporcional a
la importancia de la información que deseo proteger.

La dificultad se refiere al esfuerzo necesario para adivinar la
contraseña.


Atributos de la contraseña
 Cantidad de caracteres
 Tipo de caracteres
 Modificación en el tiempo

Tipos de contraseña
Débiles:
 Menor a 3 caracteres
 Solo números o solo letras
 No se cambia en el tiempo

Fuertes:
 Superior a 8 caracteres
 Combinación números, letras y símbolos
 Se cambia regularmente
 No son palabras de diccionario

Complicaciones

 Generar claves fuertes
 Recordar claves fuertes
 Almacenar claves fuertes


Sugerencia práctica para generar claves fuertes
Definir reglas de sustitución que me sea fácil recordar, por ejemplo
las vocales las remplazo por números (67890, 98765, 24680, nunca
12345), el espacio lo remplazaré por el signo igual, alterno letras
mayúsculas con letras minúsculas, cualquier sustitución que recuerde
siempre.
Por ejemplo:

La clave es el nombre Juan Pablo

Aplico alternancia jUaN pAbLo

Aplico remplazo jU6N=p6bL9

Quedando una contraseña fuerte donde la complejidad de
recordarla está asociado a la definición de las reglas de
sustitución.

Sugerencia práctica para recordar claves fuertes

Al definir reglas de sustitución tenemos resuelto el poder recordar la
contraseña fuerte, pero no el que manejemos muchas contraseñas.
Una recomendación es incorporar en la contraseña una asociación
con la información a la cual accedo.

Por ejemplo:
Juan Banco jU6N=b6nC9
Juan gmail jU6N=gM68l
Juan Oficina jU6N=8F6C6N6
Juan faceb jU6N=f6c7b


Sugerencia práctica para almacenar claves

Dado el nivel de claves que manejamos, siempre es necesario
mantener un registro de éstas, suele suceder que al no usarlas por un
tiempo podremos olvidarla.

Por lo tanto el almacenarlas resulta necesario, sin embargo, la
seguridad de este contenedor de claves debe ser de nivel superior, es
decir, si una clave fuerte tiene mínimo 8 caracteres, la clave que
asegura el contenedor debe ser mínimo de 14 caracteres. Más
adelante se detallará una sugerencia para la definición de ésta.

El contenedor de claves puede ser desde una planilla Excell (versión
2007 o superior) con clave hasta un software administrador de claves
como por ejemplo Password Safe.


Sugerencia práctica para almacenar claves –continuación-

Independientemente si es una planilla con clave o la base asociado a
un programa para administrar contraseñas siempre debemos tomar las
siguientes precauciones con el archivo que contiene las claves:
• Mantenerlo en un directorio especial que su identificación no
de información del contenido
• Mantenerlo en un equipo que tenga control de acceso, esto es,
usuario y clave que solo usted maneja
• Mantener un respaldo actualizado en otro lugar que le permita
acceder a la información en caso que se dañe o pierda el
equipo donde está el archivo
• Si es un software, mantener el archivo de respaldo junto al
software que permite leerlo


Sugerencia práctica para almacenar claves –continuación-

Dado que la clave que protege el archivo contenedor de todas las
claves es muy importante, la semilla o secuencia de caracteres a
partir de la cual generamos la contraseña que la protege debe ser de
un largo superior a 14 caracteres.

En este caso se debe utilizar un trozo de una canción, de un poema,
un refrán, un texto de un libro, una cita, es decir, un texto largo que
siempre recordemos.

Luego a esta semilla le aplicamos las definiciones de sustitución que
habíamos generado, obteniendo una contraseña clasificada como
muy fuerte.


Sugerencia práctica para cambiar claves

Una manera de darle mayor seguridad a la clave es teniendo que
cambiarla regularmente, la idea es que a mayor tiempo mayor
posibilidad que la conozca otra persona.
La recomendación e este caso es definir una parte fija que
mantenemos y luego un contador numérico que incrementamos y
cambiamos de posición.

Por ejemplo:
La clave Juan Pablo  jU6N=p6bL9
Le agregamos contador  jU6N=p6bL9010
próximo cambio  011jU6N=p6bL9
luego  jU6N=p6bL9012
así sucesivamente . . .


Claves que NO se deben utilizar

Password letmein
Passw0rd Rockyou
Qwerty Princess
Abc123 America
123456 Monkey
654321 Superman
123456789 Qazwsx
987654321
111111 La regla es NO USAR palabras que se
123123 encuentran en un diccionario, ni nombres
Iloveyou propios, fechas de nacimiento, direcciones,
shadow números de teléfono por si solos, la idea es
combinarlos y luego aplicar sustitución.


Conclusiones

Al igual que cuando compramos un candado o una
chapa, la elegimos en función de lo que deseamos
proteger, lo mismo sucede al definir una contraseña,
por lo tanto, la calidad de esta debe estar en directa
relación con la información que necesitamos cuidar.

El esfuerzo que significa manejar claves siempre será
menor que el daño en caso que la información que
protegemos se mal usada.


Manejo de contraseñas_pb

Más contenido relacionado

Similar a Manejo de contraseñas_pb (20)

Más de Ricardo Urbina Miranda (8)

Último (20)

Manejo de contraseñas_pb