14 jul 2012

¿Son seguras tus contraseñas? Compruébalo

Con todo lo que han evolucionado las tecnologías en seguridad lo cierto es que este mecanismo de identificación y autenticación no ha encontrado todavía un relevo generacional que haya sido asimilado por los usuarios finales. Recuerdo en los años 2001 y 2002 como empezaba a hablarse mucho de las PKIs, certificados digitales y la autenticación fuerte como un sistema robusto y eficaz que acabaría con las contraseñas. También en aquel momento y para los entornos más criticos se empezaban a implantar los sistemas basados en tokens y en paswords de un solo uso (OTP).

Sin embargo y pese a ser un mecanismo de autenticación que no ofrece la mejor de las garantías, es el más barato y extendido. El problema principal no es tanto que las contraseñas sean malas sino que son tantos los entornos que nos obligan a usarlas que finalmente el número de contraseñas supera nuestra capacidad de memorización. En este sentido, han proliferado diferentes herramientas que ayudan a la gestión y custodia de contraseñas como Keepass. Con los últimos incidentes de Linkedin tan recientes, me ha parecido interesante recomendar un par de enlaces que sirven para medir la calidad de nuestras contraseñas. Estos sitios puntúan o valoran la complejidad y nos indican si dichas palabras son buenas o malas como contraseña. La fortaleza de una contraseña viene definida según la complejidad y el número de combinaciones posibles que habría que intentar para poderla reventar empleando técnicas de fuerza bruta (es decir, probando todas las posibles combinaciones de caracteres que se pueden formar) aunque normalmente los ataques contra las password emplean técnicas menos complicadas como diccionarios o variaciones heurísticas sobre palabras comunes.

En cualquier caso, es didáctico comprobar cómo de robusta es una contraseña antes de seleccionarla para ser empleada. Hay dos buenos medidores que ilustran qué puntuación recibe una palabra que quiere ser empleada como password atendiendo a los criterios de complejidad que se identifican en su contenido.
Estos enlaces pueden ser muy pedagógicos en cursos de concienciación y formación de seguridad. Te indican qué tiempo sería necesario para adivinarla y de esta forma sencilla podemos comprobar si realmente usamos contraseñas que superan unos mínimos niveles de calidad. También son interesantes conocer qué esfuerzos son necesarios para poder adivinar las contraseñas según la longitud de la misma y el juego de caracteres empleados.
Y por acabar con unas recomendaciones básicas que siempre se incluyen en cualquier curso de concienciación sobre seguridad, en un artículo allá por 2002 y hace ya la friolera de 10 años, establecí precisamente una serie de recomendaciones sobre password que hoy todavía están completamente en vigor.

Fuente: Javier Cao Avellaneda

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!