OVI SEGURIDAD INFORMATICA

Lecturas

SEGURIDAD INFORMATICA



CONTRASEÑAS

Las contraseñas son las herramientas más utilizadas para restringir el acceso a los sistemas informáticos. Sin embargo, sólo son efectivas si se escogen con cuidado, la mayor parte de los usuarios de computadoras escogen contraseñas que son fáciles de adivinar: El nombre de la pareja, el de un hijo o el de una mascota, palabras relacionadas con trabajos o aficiones o caracteres consecutivos del teclado. Un estudio descubrió que las contraseñas favoritas en el Reino Unido son Fred-God, mientras que en América eran, Love- sexy, . Los hackers conocen y explotan estos clichés, por lo que un usuario precavido no debe utilizarlos. Muchos sistemas de seguridad no permiten que los usuarios utilicen palabras reales o nombres como contraseñas, evitando así que los hackers puedan usar diccionarios para adivinarlas. Incluso la mejor contraseña sebe cambiarse periódicamente.

Combine letras, números y símbolos. Cuanto más diversos sean los tipos de caracteres de la contraseña, más difícil será adivinarla.

En sistemas informáticos, mantener una buena política de seguridad de creación, mantenimiento y recambio de claves es un punto crítico para resguardar la seguridad y privacidad.

Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves, en tiempos muy breves, hasta encontrar la password correcta.

Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se este

Normas de Elección de Claves

Se debe tener en cuenta los siguientes consejos:

S
  • No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
  • No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).
  • No utilizar terminología técnica conocida.
  • Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
  • Deben ser largas, de 8 caracteres o más.
  • Tener contraseñas diferentes en máquinas diferentes y sistemas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una password de un sistema cae no caigan todos los demás sistemas por utilizar la misma password.

    • Deben ser fáciles de recordar para no verse obligado a escribirlas. Algunos ejemplos son:

  • Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
  • Usar un acrónimo de alguna frase fácil de recordar: A río Revuelto Ganancia de Pescadores: ArRGdP
  • Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
  • Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña: aHoelIo
  • Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
  • Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Cura


    • Algunos consejos a seguir:

  • No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente (auditoría).
  • No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Administrador, Root, System, Test, Demo, Guest, InetUser, etc.
  • Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
  • No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
  • No teclear la contraseña si hay alguien observando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
  • No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es...".
  • No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).