04/05/06 17:13:22
¿SON BUENAS TUS CONTRASEÑAS?
Cómo evitar el "Acceso denegado"
Mercè Molist
El nombre de su mascota o de su amante son las contraseñas que
más utiliza la gente en los servicios de Internet. Olvidar esta
palabra o que alguien la descubra y la cambie por otra dará
lugar al temible "Acceso Denegado. No ha dado la contraseña
correcta y no podrá acceder a ese servicio". Es posible que un
día vivas esta situación, si tu contraseña no es
segura o no está bien construida para acordarte de ella.
Es como si nos hubiesen regalado un Jaguar, sin las instrucciones para
manejarlo. Cada día nacen nuevos servicios en Internet donde se
nos pide que inventemos una palabra de paso, si queremos volver a
acceder a ellos. Para una población no acostumbrada a la
seguridad informática, este momento provoca sudores fríos
y estrujamientos de seso: ¿Cuál escoger? Mañana,
cuando nos demos de alta de un nuevo servicio, otra vez el maldito
ritual. ¡Y no vale olvidar ninguna!
¿Para qué sirve una contraseña? Es una forma de
autenticación basada "en que lo que la persona sabe". Cualquier
servicio personalizado -el cajero automático del banco, nuestro
acceso a Internet, al correo electrónico, una web de radio a la
carta- requiere nuestra "autenticación". Tenemos que demostrar
de alguna forma que somos nosotros y no el vecino de al lado. Esta es
la función de la contraseña, decir: "Soy yo y lo
demuestro porque sé esta palabra".
Quien tiene la contraseña, tiene el poder, desde el principio de
los tiempos. Recuérdese el "Ábrete Sésamo" que
abría la puerta de la cueva de Ali Babá. Los intrusos
informáticos saben el valor de estos conjuros, que les permiten
entrar en ordenadores y redes grandes y pequeñas. Hoy en
día, con una simple palabra de paso se puede robar dinero de un
banco, leer correspondencia privada o cambiar las noticias de un
periódico. No es moco de pavo.
La gente suele pensar que a nadie le interesan sus contraseñas.
Gran error: si alguien descubre la palabra que da entrada a nuestro
ordenador puede usarlo para atacar otros mayores, lanzar publicidad
basura o enviar cartas en nuestro nombre. Si guardamos en el ordenador
la contraseña para entrar en nuestro banco, es el juego de la
Oca: de contraseña a contraseña y gano porque me toca.
Por eso es importante saber escoger nuestras palabras de paso.
Según los psicólogos, una persona sólo puede
retener entre 5 y 9 bits de información en su memoria a corto
plazo. Eso significa que es difícil recordar las
contraseñas para los cada vez más servicios de qué
disfrutamos. Por eso, solemos usar palabras que nos sean comunes, como
nombres de familiares, mascotas, cumpleaños, etc. De esta forma,
si alguien quiere descubrir nuestra contraseña sólo
tendrá que investigar un poco nuestra vida, a través de
los datos que hayamos desperdigado en foros y webs donde explicamos,
tan felices, que nuestro gato se llama Sam.
Pero los delincuentes no necesitan ni tan solo investigarnos.
Sólo precisan entrar en el ordenador de nuestro proveedor de
acceso a Internet o comercio favorito, coger el fichero cifrado con las
contraseñas de todos sus usuarios y someterlo a lo que se llama
un "ataque de fuerza bruta": se pasa el fichero por un programa
"crackeador", que coteja las palabras cifradas con múltiples
diccionarios, nombres de famosos, números y símbolos,
todo mezclado, hasta descubrir que una secuencia de caracteres cifrados
coincide con una palabra.
Los deportistas, actores, personajes de películas famosas, como
las sagas de "La Guerra de las Galaxias" o "El Señor de los
Anillos" son también palabras que frecuentemente se usan como
contraseñas. Así, en una corporación donde
trabajen 10.000 personas, no será raro que alguno sea
fanático de "Gollum". Esta supuesta tontería puede ser
una puerta abierta a un intruso quien, a partir de aquí,
podrá entrar en toda la organizaicón. Las
estadísticas demuestran que menos del 1% de empleados se
preocupan por que sus contraseñas sean difíciles de
romper.
Muchas corporaciones están preocupadas por este tema: obligan a
cambiar las contraseñas cada mes y ellas mismas las crean, para
que sus empleados no caigan en el error de usar contraseñas
débiles. Lo que pasa a continuación es que son tan
difíciles que la gente las olvida o las escribe en "post-its" y
las deja a la vista, en su mesa de trabajo. Así, cualquiera que
pase por allí verá sin problemas la palabra de paso.
"Contraseña" o "Password" también suelen usarse como
palabras de paso. Otro "pecadillo" común es poner el nombre de
nuestra novia o la persona que nos gusta. Cuenta el consultor Wellie
Chao que, cuando estudiaba en Harvard, un día encontró un
archivo con cientos de contraseñas de sus compañeros de
clase: "Podías ver quién le gustaba quién
sólo con los nombres de sus contraseñas". La gran
paradoja es que, según los estudios, la mayoría de gente
es consciente de las condiciones de seguridad que deben tener sus
contraseñas pero, simplemente, no las aplican.
¿CÓMO CREAR UNA CONTRASEÑA?
1. No uses información personal. No valen el nombre de tu
mascota, de tu madre, de tu novio, tu fecha de nacimiento, tu
dirección, etc. Utiliza información que sea fácil
de recordar para tí, pero que los demás no puedan
imaginar.
2. No uses palabras que estén en un diccionario.
3. No uses secuencias fáciles como "123456" o repeticiones como "2222222".
4. No pongas como contraseña tu nombre de usuario.
5. Es mejor no poner ningúna contraseña que poner una insegura.
6. Mezcla diferentes tipos de caracteres: números, letras
mayúsculas y minúsculas y símbolos como ( / &
? .
7. Haz la contraseña tan larga como sea posible, 8 o más caracteres.
8. Usa frases en vez de palabras: son más largas y
difíciles de encontrar en el diccionario: un verso, la primera
frase de un libro, con o sin espacios entre palabras. Si no se te
permite una contraseña tan larga, puedes usar la letra inicial
de cada palabra. Por ejemplo, "En un lugar de la Mancha, de cuyo nombre
no quiero acordarme", daría la contraseña:
"EuldlM,dcnnqa". Añádele complejidad con números y
más símbolos o números: "ElldlM,dc8nqa%".
9. Un truco mnemotécnico, en caso de tener muchas
contraseñas, es usar la misma raíz en todas, cambiando su
uso. Por ejemplo, para el banco: "4rtm5&banco". Para el acceso a
Internet: "4rtm5&internet". También puedes poner faltas de
ortografía adrede: "4rtm&vanco".
10. No uses la misma contraseña para todos los servicios.
11. Cambia regularmente las contraseñas.
12. No escribas tus contraseñas en un "post-it" y menos lo dejes
en tu mesa de trabajo. Tampoco las guardes en un documento dentro del
ordenador. Si quieres guardarlas, ponlas en una carpeta, lejos de la
vista.
13. No des tu contraseña a nadie. Ni a tu pareja.
14. No teclees la contraseña en ordenadores de los que no
controlas la seguridad, por ejemplo en convenciones o
cibercafés, cuyas redes pueden ser monitorizadas por intrusos.
Fuentes: "Creating secure passwords".
http://netsecurity.about.com/cs/generalsecurity/a/aa112103b.htm
"Strong passwords: How to create and use them"
http://www.microsoft.com/athome/security/privacy/password.mspx
¿EN CUÁNTO TIEMPO ROMPE UN PROGRAMA "CRACKEADOR" TU CONTRASEÑA DE 6 CARACTERES?
* Usando un ordenador sencillo (Pentium 100)
6 caracteres numéricos - En un instante
6 caracteres sólo letras - 5 minutos
6 caracteres con letras en mayúscula y minúscula - 5 horas y media
6 caracteres con números y letras en M y m - 16 horas
6 caracteres con números, letras en M y m y símbolos - 9 días
* Usando un ordenador rápido (un Dual PC)
6 caracteres numéricos - En un instante
6 caracteres sólo letras - 30 segundos
6 caracteres con letras en mayúscula y minúscula - 33 minutos
6 caracteres con números y letras en M y m - 1 hora y media
6 caracteres con números, letras en M y m y símbolos - 22 horas
* Usando una estación de trabajo o diversos PCs trabajando juntos
6 caracteres numéricos - En un instante
6 caracteres sólo letras - 3 segundos
6 caracteres con letras en mayúscula y minúscula - 3 minutos y cuarto
6 caracteres con números y letras en M y m - 9 minutos y medio
6 caracteres con números, letras en M y m y símbolos - 2 horas
Fuente: Password Recovery Speeds.
http://www.thecrypt.co.uk/lockdown/recovery_speeds.html
MÉTODOS DE LOS CHICOS MALOS PARA ADIVINAR CONTRASEÑAS
DESCUBRIRLA.
La propia persona se la dice a alguien, o bien el delincuente entra en
el ordenador de esa persona o de un servicio comercial y encuentra allí
su contraseña del banco.
INFERIRLA. El intruso sabe que aquella
persona siempre usa el mismo tipo de contraseña y, cuando la cambia,
cambia sólo un número: Martinez01, Martinez02, etc. O que usa la misma
contraseña para diferentes servicios.
POR EXPOSICIÓN. Por un
accidente o descuido, mostramos la contraseña a alguien. Por ejemplo,
el intruso nos está observando por la espalda mientras tecleamos
nuestra contraseña. O el profesor escribe su contraseña en el ordenador
sin darse cuenta de que todo lo que escribe se está proyectando en la
pantalla de la clase.
ADIVINARLA. Primero se intenta adivinarla, después se pasa al "ataque de fuerza bruta".
ROMPERLA. Se captura la contraseña cifrada y se ataca con un programa "crackeador".
ESPIARLA.
El intruso intercepta la comunicación por donde se está mandando la
contraseña. Los programas "sniffers" y "keyloggers" sirven para esto.
El "sniffer" espía las comunicaciones a través de la red y el
"keylogger" se instala en el ordenador y almacena lo que se teclea en
el teclado.
Fuente: Security Myths and Passwords
http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/
¿CONTRASEÑA? LEE MI MENTE
La
función de una palabra de paso es la "autenticación": confirmar que la
persona es quien dice ser. La contraseña lo hace a partir de "algo que
sabemos". La llave de nuestra casa, a partir de "algo que tenemos" y la
huella dactilar a partir de "algo que somos". Este último tipo de
autenticación es la Biometría y consiste en el reconocimiento del iris
del ojo, la cara, la mano, la voz, etc.
Lo último en este campo
es leer la mente. Investigadores de la Universidad Carleton, de Otawa
(Canadá), están trabajando en la creación de un aparato que lea los
pensamientos de la persona para autenticar su identidad. En concreto,
usará las ondas cerebrales porque, aunque dos personas piensen en lo
mismo, los impulsos eléctricos que generan son diferentes.
Fuente: "Your Thoughts are your password".
http://www.wired.com/news/technology/0,70726-0.html
COMPRUEBA QUE TU CONTRASEÑA ES BUENA
Hay diversos servicios en línea que nos permiten comprobar si estamos usando una buena palabra de paso:
"Password Checker".
http://www.microsoft.com/athome/security/privacy/password_checker.mspx
"Password Security".
http://www.securitystats.com/tools/password.php
¿Y SI LA OLVIDAS?
Múltiples
herramientas permiten a un usuario o usuaria que ha olvidado su
contraseña volver a recuperarla, desde la contraseña general de Windows
hasta la del programa Messenger o el acceso telefónico a redes.
http://nirsoft.net/utils/index.html#password_utils
ESTADÍSTICAS
Un 35% de personas tienen contraseñas de 6,84 caracteres de media.
Un 75% usan 3 contraseñas para todos sus servicios y cuentas
El 60% no modifica la complejidad de su contraseña según
el servicio. Usa palabras igual de fáciles para el banco que
para un chat.
El 52% no cambian nunca sus contraseñas.
El 85,7% utiliza letras minúsculas para sus contraseñas
El 55% usa palabras de su entorno (nombres de hijos, mascotas, ídolos, etc)
Fuentes: Departamento de Psicología de la Universidad de Wichita.
"Password Security: What Users Know and What They Actually Do"
http://psychology.wichita.edu/surl/usabilitynews/81/Passwords.htm
¿Y EL PIN?
El 65% de personas no cambian nunca el PIN, por miedo a no recordarlo
El 90% de mujeres olvidan su número secreto más de 4 veces al año
El 41% de mujeres y el 27% de hombres comparten su número secreto con sus parejas
El 48% de hombres escogen números al azar para crear su PIN
El 33% de mujeres usan fechas específicas para crear su PIN
El 38% de hombres y el 28% de mujeres utilizan el mismo número para todas sus tarjetas
Fuente: CPP Protección y Servicios de Asistencia.
Más info:
Las contraseñas
http://maty.galeon.com/Enlaces_de_Seguridad/contrasenyas-1.htm
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital medium, provided this notice is preserved.
<<