12 ago 2009

Consejos de Bruce Schneier para las contraseñas

Leo del blog de Bruce Schneier, un excelente y reconocido profesional en seguridad al que tengo la costumbre de leer, un par de artículos sobre seguridad en contraseñas. Este es un tema que no deja de ser importante, ya que aun a pesar de la existencia de nuevos métodos de autenticación, como la biometría, el usuario y contraseña siguen siendo el acceso a información muy valiosa: redes sociales, correo electrónico, acceso al sistema operativo, sistemas internos, etc. Por este motivo, contar con contraseñas seguras es un consejo básico para utilizar "tranquilos" la PC.
En primer termino, les comparto en español un listado de Do-Don't (lo que sí hay que hacer y lo que no hay que hacer) realizado por Schneier respecto a las contraseñas (fuente):
  • Utilizar un gestor de contraseñas por software

  • Cambiar las contraseñas regularmente. No reutilizar contraseñas viejas. Se pueden utilizar los gestores de contraseñas para poner fechas de expiración a las mismas.
  • Mantener las contraseñas secretas. Guardarlas en un archivo, mandarlas por correo electrónico o escribarlas en un papel en el escritorio, no es recomendable. Si hay que dar acceso a un tercero a un sistema, crear una contraseña temporal para tal fin.
  • No utilizar contraseñas que sean de diccionario (palabras conocidas), fechas de cumpleaños, nombres de la familia o animales, direcciones o cualquier información personal. No usar caracteres repetitivos como "111" o secuencias como "abc", "qwerty", "123".
  • No utilizar la misma contraseña para sitios diferentes. De esta forma, una contraseña que sea obtenida por un tercero tendrá mayor utilidad para el atacante.
  • No permitir que la computadora acceda directamente al arrancar ni utilizar login automático en el correo, el chat o los navegadores. Evitar usar las mismas credenciales de Windows en dos computadoras diferentes.
  • No utilizar la opción de "recordar contraseña" disponible en muchos sitios web.
  • No ingresar contraseñas en una computadora en la que no se tiene control, porque uno no puede saber si hay spyware o keyloggers instalados.
  • No acceder a cuentas protegidas por contraseña en redes Wi-fi (u otra red) no confiables, a menos que el sitio sea seguro bajo https. Utilizar una VPN si se viaja frecuentemente.
  • No ingresar usuario y contraseña en ningún sitio web que haya sido accedido por un enlace en un correo electrónico. Suelen ser ataques de Phishing o Scam.
En otro artículo del mismo Schenier, publicado en Wired.com; se recomiendan cómo seleccionar contraseñas fuertes (se recomienda a los lectores que puedan, leer el artículo completo en ingles):
"Si deseas que tu contraseña sea difícil de adivinar, no elija ninguna que pueda estar en un listado de diccionario o contraseñas frecuentes. Debe mezclar caracteres en minúscula y mayúscula en el medio de la contraseña. Debe agregar números y símbolos en el medio de la contraseña".
Sebastián de la Redacción de Segu-Info
a las

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!