Creación de contraseñas seguras

Esta entrada corresponde a una creada en la versión anterior del blog. Recordaremos algunos consejos sobre la creación de contraseñas, ahora que vuelven a estar de actualidad debido al robo de las mismas y a que las más utilizadas siguen siendo 123 y similares.
Tira comica sobre contraseñas

La creación de contraseñas básicamente consiste en generar una serie de letras, números y caracteres especiales con una longitud suficiente. Un artículo muy interesante sobre contraseñas puede encontrarse en la wikipedia.

La creación de la contraseña requiere un poco de tiempo, no excesivo, y muchas veces no le damos la importancia que realmente tiene. Una muestra de esto es que actualmente, como hemos indicado en la introducción, la contraseña más utilizada es 123456 y contraseñas similares. Esto facilita mucho el proceso para adivinar o descifrar las contraseñas de los usuarios.

¿Cómo descifrar una contraseña?

Existen dos métodos principales para conseguir contraseñas de forma mecánica. Estos son por fuerza bruta y utilizando diccionarios. Habitualmente se suelen mezclar y obtienen un resultado similar, que consiste en la prueba y error, es decir, en ir probando hasta encontrar la contraseña correcta.

En el caso de la fuerza bruta se van probando todos los valores posibles. Esto hace que las contraseñas largas ean exponenciamente más difíciles de obtener ya que se han de probar muchas más combinaciones que para detectar una contraseña corta.

En el caso de utilizar diccionarios lo que se hace es utilizar un listado de palabras con contraseñas habituales para realizar las pruebas de acceso. Existen listados públicos y que se pueden descargar de sitios como SkullSecurity.org. Uno de los listados más populares es el de John The Ripper. Se puede comprobar el listado y si vemos en el nuestra contraseña hemos de pensar rápidamente en cambiarla. El archivo lo mostramos accesible para su uso como medida de precaución, evidentemente, no para utilizarlo en detectar contraseñas ajenas.

Existe otra forma para obtener contraseñas que es utilizando la ingeniería social o Password Guessing, que consiste en obtener la contraseña a partir del mismo usuario, normalmente mediante engaño, como hacerse pasar por el administrador del sistema o con técnicas como el phishing, que utiliza la comunicación electrónica haciéndose pasar por un empleado o entidad para solicitar los datos de acceso.

Pasos básicos para crear contraseñas seguras

Los pasos básicos para crear contraseñas seguras son sencillos y los enumero a continuación.

  1. No utilizar la longitud mínima. Esto previenen de los ataques por fuerza bruta, ya que, como he dicho anteriormente, el cálculo necesario para realizar comprobaciones es exponencial al aumentar la longitud de la contraseña. Algunas publicaciones suelen recomendar un mínimo de 14 caracteres.
  2. No utilizar una palabra con un significado especial. Es habitual encontrar contraseñas con una fecha de nacimiento, nombre de la pareja o similares. Esto facilita, sobretodo a conocidos, el acceso a esta contraseña. Esto lo podemos ver también en muchas películas cuando intentan entrar en un ordenador.
  3. No facilitar el acceso a la contraseña. No es recomendable dejar la contraseñas escrita junto al ordenador. Si la escribimos, la deberemos protejer para que no pueda ser visualizada por terceros. He encontrado casos en los que la contraseña se encuentra pegada en un post-it sobre la pantalla. Esto nunca se debe hacer.
  4. Para memorizarlas han de ser sencillas para nosotros. Pueden partir de un significado concreto, pero que en su resultado no tengan ningún significado para los demás.
  5. Utilizar todos los tipos de caracteres posibles. Incluir caracteres especiales como @# o el punto (.) dentro de la contraseña es una práctica muy recomendable. Al mismo tiempo si el sistema permite distinguir entre mayúsculas y minúsculas también deberemos utilizarlo, y a esto añadir números.
  6. Evitar utilizar palabras de diccionarios.Las contraseñas siempre deberían utilizar palabras que no existen para que no puedan utilizar diccionarios de contraseñas contra ellas.

Consejos para crear contraseñas

Finalmente añado algunos consejos a tener en cuenta a la hora de crear y utilizar contraseñas.

  • No utilizar siempre la misma contraseña. Lo recomendable es uitlizar para cada aplicación una contraseña distinta.
  • Insertar en medio de las contreseñas caracteres especiales, por ejemplo pasar de 'clave' a 'cla#ve'. No es muy recomendable cambiar los caracteres por otros de forma similar, por ejemplo de 'clave' por 'cl@ve' ya que estas sustituciones son utilizadas a la hora de intentar descubrir las contraseñas.
  • No utilizar series repetidas de caracteres como 'x111111' o similares.
  • No utilizar el nombre de inicio de la sesión, es decir, no utilizar el nombre de usuario como contraseña.
  • No facilitar nunca las contraseñas por teléfono o por correo electrónico. Esta es la mejor opción para prevenir el phishing. Asegure siempre a quien le indica la contraseña.
  • Cambiar la contraseña con regularidad.
  • No revelar las contraseñas a nadie. Si revelamos la contraseña a un conocido este puede ser víctima al mismo tiempo del robo de la contraseña por ingeniería social o descuidarla en algún sitio.
  • Podemos utilizar un gestor de contraseñas para recordar las contraseñas de los diferentes sitios. Un ejemplo de gestor es KeePass.

 

Comentarios

Thank for sharing this awesome post love to read this  game hacker  tweakbox  mm super patcher

Añadir nuevo comentario

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
CAPTCHA
Esta pregunta se realiza para comprobar que se trata de un humano y prevenir los accesos automatizados para publicar spam.