04/05/06 17:13:22


¿SON BUENAS TUS CONTRASEÑAS?

Cómo evitar el "Acceso denegado"


Mercè Molist
El nombre de su mascota o de su amante son las contraseñas que más utiliza la gente en los servicios de Internet. Olvidar esta palabra o que alguien la descubra y la cambie por otra dará lugar al temible "Acceso Denegado. No ha dado la contraseña correcta y no podrá acceder a ese servicio". Es posible que un día vivas esta situación, si tu contraseña no es segura o no está bien construida para acordarte de ella.

Es como si nos hubiesen regalado un Jaguar, sin las instrucciones para manejarlo. Cada día nacen nuevos servicios en Internet donde se nos pide que inventemos una palabra de paso, si queremos volver a acceder a ellos. Para una población no acostumbrada a la seguridad informática, este momento provoca sudores fríos y estrujamientos de seso: ¿Cuál escoger? Mañana, cuando nos demos de alta de un nuevo servicio, otra vez el maldito ritual. ¡Y no vale olvidar ninguna!

¿Para qué sirve una contraseña? Es una forma de autenticación basada "en que lo que la persona sabe". Cualquier servicio personalizado -el cajero automático del banco, nuestro acceso a Internet, al correo electrónico, una web de radio a la carta- requiere nuestra "autenticación". Tenemos que demostrar de alguna forma que somos nosotros y no el vecino de al lado. Esta es la función de la contraseña, decir: "Soy yo y lo demuestro porque sé esta palabra".

Quien tiene la contraseña, tiene el poder, desde el principio de los tiempos. Recuérdese el "Ábrete Sésamo" que abría la puerta de la cueva de Ali Babá. Los intrusos informáticos saben el valor de estos conjuros, que les permiten entrar en ordenadores y redes grandes y pequeñas. Hoy en día, con una simple palabra de paso se puede robar dinero de un banco, leer correspondencia privada o cambiar las noticias de un periódico. No es moco de pavo.

La gente suele pensar que a nadie le interesan sus contraseñas. Gran error: si alguien descubre la palabra que da entrada a nuestro ordenador puede usarlo para atacar otros mayores, lanzar publicidad basura o enviar cartas en nuestro nombre. Si guardamos en el ordenador la contraseña para entrar en nuestro banco, es el juego de la Oca: de contraseña a contraseña y gano porque me toca.

Por eso es importante saber escoger nuestras palabras de paso. Según los psicólogos, una persona sólo puede retener entre 5 y 9 bits de información en su memoria a corto plazo. Eso significa que es difícil recordar las contraseñas para los cada vez más servicios de qué disfrutamos. Por eso, solemos usar palabras que nos sean comunes, como nombres de familiares, mascotas, cumpleaños, etc. De esta forma, si alguien quiere descubrir nuestra contraseña sólo tendrá que investigar un poco nuestra vida, a través de los datos que hayamos desperdigado en foros y webs donde explicamos, tan felices, que nuestro gato se llama Sam.

Pero los delincuentes no necesitan ni tan solo investigarnos. Sólo precisan entrar en el ordenador de nuestro proveedor de acceso a Internet o comercio favorito, coger el fichero cifrado con las contraseñas de todos sus usuarios y someterlo a lo que se llama un "ataque de fuerza bruta": se pasa el fichero por un programa "crackeador", que coteja las palabras cifradas con múltiples diccionarios, nombres de famosos, números y símbolos, todo mezclado, hasta descubrir que una secuencia de caracteres cifrados coincide con una palabra.

Los deportistas, actores, personajes de películas famosas, como las sagas de "La Guerra de las Galaxias" o "El Señor de los Anillos" son también palabras que frecuentemente se usan como contraseñas. Así, en una corporación donde trabajen 10.000 personas, no será raro que alguno sea fanático de "Gollum". Esta supuesta tontería puede ser una puerta abierta a un intruso quien, a partir de aquí, podrá entrar en toda la organizaicón. Las estadísticas demuestran que menos del 1% de empleados se preocupan por que sus contraseñas sean difíciles de romper.

Muchas corporaciones están preocupadas por este tema: obligan a cambiar las contraseñas cada mes y ellas mismas las crean, para que sus empleados no caigan en el error de usar contraseñas débiles. Lo que pasa a continuación es que son tan difíciles que la gente las olvida o las escribe en "post-its" y las deja a la vista, en su mesa de trabajo. Así, cualquiera que pase por allí verá sin problemas la palabra de paso.

"Contraseña" o "Password" también suelen usarse como palabras de paso. Otro "pecadillo" común es poner el nombre de nuestra novia o la persona que nos gusta. Cuenta el consultor Wellie Chao que, cuando estudiaba en Harvard, un día encontró un archivo con cientos de contraseñas de sus compañeros de clase: "Podías ver quién le gustaba quién sólo con los nombres de sus contraseñas". La gran paradoja es que, según los estudios, la mayoría de gente es consciente de las condiciones de seguridad que deben tener sus contraseñas pero, simplemente, no las aplican.





¿CÓMO CREAR UNA CONTRASEÑA?


1. No uses información personal. No valen el nombre de tu mascota, de tu madre, de tu novio, tu fecha de nacimiento, tu dirección, etc. Utiliza información que sea fácil de recordar para tí, pero que los demás no puedan imaginar.

2. No uses palabras que estén en un diccionario.

3. No uses secuencias fáciles como "123456" o repeticiones como "2222222".

4. No pongas como contraseña tu nombre de usuario.

5. Es mejor no poner ningúna contraseña que poner una insegura.

6. Mezcla diferentes tipos de caracteres: números, letras mayúsculas y minúsculas y símbolos como ( / & ? .

7. Haz la contraseña tan larga como sea posible, 8 o más caracteres.

8. Usa frases en vez de palabras: son más largas y difíciles de encontrar en el diccionario: un verso, la primera frase de un libro, con o sin espacios entre palabras. Si no se te permite una contraseña tan larga, puedes usar la letra inicial de cada palabra. Por ejemplo, "En un lugar de la Mancha, de cuyo nombre no quiero acordarme", daría la contraseña: "EuldlM,dcnnqa". Añádele complejidad con números y más símbolos o números: "ElldlM,dc8nqa%".

9. Un truco mnemotécnico, en caso de tener muchas contraseñas, es usar la misma raíz en todas, cambiando su uso. Por ejemplo, para el banco: "4rtm5&banco". Para el acceso a Internet: "4rtm5&internet". También puedes poner faltas de ortografía adrede: "4rtm&vanco".

10. No uses la misma contraseña para todos los servicios.

11. Cambia regularmente las contraseñas.

12. No escribas tus contraseñas en un "post-it" y menos lo dejes en tu mesa de trabajo. Tampoco las guardes en un documento dentro del ordenador. Si quieres guardarlas, ponlas en una carpeta, lejos de la vista.

13. No des tu contraseña a nadie. Ni a tu pareja.

14. No teclees la contraseña en ordenadores de los que no controlas la seguridad, por ejemplo en convenciones o cibercafés, cuyas redes pueden ser monitorizadas por intrusos.



Fuentes: "Creating secure passwords".
http://netsecurity.about.com/cs/generalsecurity/a/aa112103b.htm
"Strong passwords: How to create and use them"
http://www.microsoft.com/athome/security/privacy/password.mspx





¿EN CUÁNTO TIEMPO ROMPE UN PROGRAMA "CRACKEADOR" TU CONTRASEÑA DE 6 CARACTERES?


* Usando un ordenador sencillo (Pentium 100)


6 caracteres numéricos - En un instante

6 caracteres sólo letras - 5 minutos

6 caracteres con letras en mayúscula y minúscula - 5 horas y media

6 caracteres con números y letras en M y m - 16 horas

6 caracteres con números, letras en M y m y símbolos - 9 días



* Usando un ordenador rápido (un Dual PC)


6 caracteres numéricos - En un instante

6 caracteres sólo letras - 30 segundos

6 caracteres con letras en mayúscula y minúscula - 33 minutos

6 caracteres con números y letras en M y m - 1 hora y media

6 caracteres con números, letras en M y m y símbolos - 22 horas


* Usando una estación de trabajo o diversos PCs trabajando juntos


6 caracteres numéricos - En un instante

6 caracteres sólo letras - 3 segundos

6 caracteres con letras en mayúscula y minúscula - 3 minutos y cuarto

6 caracteres con números y letras en M y m - 9 minutos y medio

6 caracteres con números, letras en M y m y símbolos - 2 horas



Fuente: Password Recovery Speeds.
http://www.thecrypt.co.uk/lockdown/recovery_speeds.html






MÉTODOS DE LOS CHICOS MALOS PARA ADIVINAR CONTRASEÑAS


DESCUBRIRLA. La propia persona se la dice a alguien, o bien el delincuente entra en el ordenador de esa persona o de un servicio comercial y encuentra allí su contraseña del banco.

INFERIRLA. El intruso sabe que aquella persona siempre usa el mismo tipo de contraseña y, cuando la cambia, cambia sólo un número: Martinez01, Martinez02, etc. O que usa la misma contraseña para diferentes servicios.

POR EXPOSICIÓN. Por un accidente o descuido, mostramos la contraseña a alguien. Por ejemplo, el intruso nos está observando por la espalda mientras tecleamos nuestra contraseña. O el profesor escribe su contraseña en el ordenador sin darse cuenta de que todo lo que escribe se está proyectando en la pantalla de la clase.

ADIVINARLA. Primero se intenta adivinarla, después se pasa al "ataque de fuerza bruta".

ROMPERLA. Se captura la contraseña cifrada y se ataca con un programa "crackeador".

ESPIARLA. El intruso intercepta la comunicación por donde se está mandando la contraseña. Los programas "sniffers" y "keyloggers" sirven para esto. El "sniffer" espía las comunicaciones a través de la red y el "keylogger" se instala en el ordenador y almacena lo que se teclea en el teclado.


Fuente: Security Myths and Passwords
http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/





¿CONTRASEÑA? LEE MI MENTE


La función de una palabra de paso es la "autenticación": confirmar que la persona es quien dice ser. La contraseña lo hace a partir de "algo que sabemos". La llave de nuestra casa, a partir de "algo que tenemos" y la huella dactilar a partir de "algo que somos". Este último tipo de autenticación es la Biometría y consiste en el reconocimiento del iris del ojo, la cara, la mano, la voz, etc.

Lo último en este campo es leer la mente. Investigadores de la Universidad Carleton, de Otawa (Canadá), están trabajando en la creación de un aparato que lea los pensamientos de la persona para autenticar su identidad. En concreto, usará las ondas cerebrales porque, aunque dos personas piensen en lo mismo, los impulsos eléctricos que generan son diferentes.


Fuente: "Your Thoughts are your password".
http://www.wired.com/news/technology/0,70726-0.html





COMPRUEBA QUE TU CONTRASEÑA ES BUENA


Hay diversos servicios en línea que nos permiten comprobar si estamos usando una buena palabra de paso:

"Password Checker".
http://www.microsoft.com/athome/security/privacy/password_checker.mspx

"Password Security".
http://www.securitystats.com/tools/password.php




¿Y SI LA OLVIDAS?

Múltiples herramientas permiten a un usuario o usuaria que ha olvidado su contraseña volver a recuperarla, desde la contraseña general de Windows hasta la del programa Messenger o el acceso telefónico a redes.

http://nirsoft.net/utils/index.html#password_utils




ESTADÍSTICAS


Un 35% de personas tienen contraseñas de 6,84 caracteres de media.

Un 75% usan 3 contraseñas para todos sus servicios y cuentas

El 60% no modifica la complejidad de su contraseña según el servicio. Usa palabras igual de fáciles para el banco que para un chat.

El 52% no cambian nunca sus contraseñas.

El 85,7% utiliza letras minúsculas para sus contraseñas

El 55% usa palabras de su entorno (nombres de hijos, mascotas, ídolos, etc)


Fuentes: Departamento de Psicología de la Universidad de Wichita.
"Password Security: What Users Know and What They Actually Do"
http://psychology.wichita.edu/surl/usabilitynews/81/Passwords.htm




¿Y EL PIN?


El 65% de personas no cambian nunca el PIN, por miedo a no recordarlo

El 90% de mujeres olvidan su número secreto más de 4 veces al año

El 41% de mujeres y el 27% de hombres comparten su número secreto con sus parejas

El 48% de hombres escogen números al azar para crear su PIN

El 33% de mujeres usan fechas específicas para crear su PIN

El 38% de hombres y el 28% de mujeres utilizan el mismo número para todas sus tarjetas


Fuente: CPP Protección y Servicios de Asistencia.







Más info:
Las contraseñas
http://maty.galeon.com/Enlaces_de_Seguridad/contrasenyas-1.htm



 
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
 


<<