guia per gestionar les contrasenyes

8/3/2019 Guia Per Gestionar Les Contrasenyes

1/19

GUIA DE GESTI DE CONTRASENYES


2/19

ndex

3 Qui fem aquesta guia

5 I aquesta guia, per a qui s?

5 I aquesta guia, qu busca?

6 Aspectes legals i normatius

7 Introduint les idees bsiques

7 Qui no ha fet servir mai una contrasenya?

8 Perills que podem crrer amb

contrasenyes dbils

8 Per qu les contrasenyes ja existents en

equips que provenen de fbrica sn vulnerables?

8 Estrenant ordinador

8 Qu pot passar si no canviem les

contrasenyes que provenen de fbrica?

8 Accs no autoritzat

8 Denegaci de servei

9 Reencaminament de les comunicacions

9 Prdua dinformaci condencial

9 Per qu cal denir una contrasenya

robusta personalitzada?

9 En quins escenaris desagradables

ens podem trobar?


9 Suplantaci didentitat

9 Idonetat en la utilitzaci del

desaament pregunta/resposta

9 Com es diu la teva via?


ens podem trobar?


10 Suplantaci didentitat

10 Utilitzaci de comptes daccs

genrics corporatius

10 Contrasenyes sabudes per uns quants


ens podem trobar?



11 Utilitzaci de mecanismes de

rotaci de contrasenyes

11 Exercitar la ment per a la seguretat de

la nostra informaci


ens podem trobar?

12 Recomanacions

12 Recomanacions per construir

contrasenyes robustes

12 Recomanacions per preservar la privacitat

de les contrasenyes

13 Recomanacions per preservar la vigncia

de les contrasenyes

16 Conclusions

17 Glossari

17 Referncies i enllaos web

18 Eines

18 Recursos de suport en lnia


3/19

El Centre de Seguretat de la Informaci de Catalunya,

CESICAT, s lorganisme executor del Pla nacional

dimpuls de la seguretat TIC aprovat pel govern de la

Generalitat de Catalunya el 17 de mar de 2009. La

missi daquest pla s la de garantir una Societat de

la Informaci Segura Catalana per a tots. Amb aques-

ta nalitat, es crea el CESICAT com a eina per a la

generaci dun teixit empresarial catal daplicacions i

serveis de seguretat TIC que sigui referent nacional i

internacional.

El Pla nacional dimpuls de la seguretat TIC a Catalu-

nya sestructura al voltant de quatre objectius estrat-

gics principals que seran desenvolupats pel CESICAT:

Executar lestratgia nacional de seguretat TIC es-

tablerta pel Govern de la Generalitat de Catalunya

Donar suport a la protecci de les infraestructures

crtiques TIC nacionals

Promocionar un teixit empresarial catal slid en

seguretat TIC

Incrementar la conana i protecci de la ciutada-

nia catalana en la societat de la informaci.

La forma jurdica del CESICAT s la de fundaci del

sector pblic de ladministraci de la Generalitat.

Amb lobjectiu de proporcionar unes bones prctiques

i uns coneixements mnims en seguretat de la infor-

maci, el CESICAT ofereix com a servei preventiu un

conjunt de guies de seguretat adreades a ciutadans,

empreses, administracions pbliques i universitats.

www.cesicat.cat

Qui fem aquesta guia


4/19

El contingut de la present guia s titularitat de la Funda-

ci Centre de Seguretat de la Informaci de Catalunya

i resta subjecta a la llicncia de Creative Commons BY-

NC-ND. Lautoria de lobra es reconeixer mitjanant la

inclusi de la segent menci:

Obra titularitat de la Fundaci Centre de Seguretat de la

Informaci de Catalunya.Llicenciada sota la llicncia CC BY-NC-ND.

La present guia es publica sense cap garantia espec-

ca sobre el contingut.

Lesmentada llicncia t les segents particularitats:

Vost s lliure de:

Copiar, distribuir i comunicar pblicament la obra.

Sota les condicions segents:

Reconeixement: Sha de reconixer lautoria de la

obra de la manera especicada per lautor o el llicencia-

dor (en tot cas no de manera que suggereixi que gaudeix

del seu suport o que dona suport a la seva obra).

No comercial: No es pot emprar aquesta obra per a

nalitats comercials o promocionals.

Sense obres derivades: No es pot alterar, transformar

o generar una obra derivada a partir daquesta obra.

Respecte daquesta llicncia caldr tenir en comp-

te el segent:

Modicaci: Qualsevol de les condicions de la present

llicncia podr ser modicada si vost disposa de per-

misos del titular dels drets.

Altres drets: En cap cas els segents drets restaran

afectats per la present llicncia:.

Els drets del titular sobre els logos, marques o qual-

sevol altre element de propietat intellectual o in-

dustrial incls a les guies. Es permet tan sols ls

daquests elements per a exercir els drets recone-

guts a la llicncia.

Els drets morals de lautor.

Els drets que altres persones poden tenir sobre el

contingut o respecte de com sempra la obra, tals

com drets de publicitat o de privacitat.

Avs: En reutilitzar o distribuir la obra, cal que sesmen-

tin clarament els termes de la llicncia daquesta obra.

El text complert de la llicncia pot ser consultat a

http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.ca.


5/19

5

I aquesta guia, per a qui s?

Aquesta guia est dirigida a usuaris duniversitats i centres de re-

cerca, administracions pbliques catalanes i pimes que utilitzen

uns serveis telemtics dins lentorn professional que requereixen

ls de contrasenyes daccs.

Aquesta guia tamb est pensada per als administradors de sis-

temes, ja que ells sn els encarregats de congurar els perls

daccs i les poltiques de seguretat en els sistemes dinformaci.

Els responsables de seguretat dempreses i organitzacions la po-

den fer servir per conscienciar els treballadors i les persones de

lentitat en general sobre la importncia de gestionar les contrase-

nyes de manera correcta.

Les organitzacions que en un futur prxim vulguin implantar un

Sistema de Gesti per a la Seguretat de la Informaci (SGSI), po-

den tenir en compte les recomanacions daquesta guia durant la

implantaci prvia a la superaci del procs de certicaci.

I aquesta guia, qu busca?

Aquest document pretn proporcionar recomanacions genriques

a lhora de crear i gestionar les paraules de pas per tal que aques-

tes impedeixin, en cas necessari, que una persona no autoritzada

faci un s illegtim dels serveis dun altre usuari.

Introducci


6/19

Aspectes legals i normatius

La guia sha elaborat tenint en compte les recomanaci-

ons provinents de lestndard internacional ISO 27002,

que queden recollides en els segents controls:

11.2.3 Gesti de les contrasenyes dusuari

11.3.1 s de les contrasenyes

11.5.3 Sistema de gesti de les contrasenyes

El seguiment daquesta guia tamb afavoreix el com-

pliment dalguns aspectes del Reial Decret 1720/2007,

associat a la Llei Orgnica de Protecci de Dades de

Carcter Personal.


7/19

7

Qui no ha fet servir maiuna contrasenya?Avui dia necessitem contrasenyes per a moltes accions

gaireb diries. Tots sabem que les paraules de pas o

contrasenyes sn un mecanisme de control destinat a

evitar que una persona accedeixi de manera illegtima

a uns recursos o a una rea als quals no t accs ni

autoritzaci.

Normalment, quan volem accedir a un servei dInternet

hem domplir dos camps dinformaci (traduint en llen-

guatge visual, dues caselles en blanc):

- Lidenticador dusuari, que permet saber qui est

intentant accedir al recurs privat

- La contrasenya

Si la combinaci identicador dusuari contrasenya

introduda coincideix amb lexistent als sistemes dinfor-

maci, es considera que lusuari s legtim i se li conce-

deix accs al recurs o rea.

Si volem assegurar-nos que la nostra contrasenya s

segura, s important que aquesta compleixi amb un

conjunt de recomanacions que evitin que pugui ser fcil-

ment endevinada i, per tant, comprometre els recursos

als quals dna accs.

Introduint lesidees bsiques


8/19

Perills que podem crrer ambcontrasenyes dbils

Per qu les contrasenyes ja existentsen equips que provenen de fbricasn vulnerables?

Estrenant ordinador

Quan comprem un ordinador, el programari que ja hi ha

installat inclou identicadors dusuari i contrasenyes f-

cils dendevinar que ha introdut el mateix fabricant. Com

que el fabricant necessita crear aquesta informaci per

installar cadascun dels programes que hi haur a lor-

dinador, acostuma a fer servir paraules que no costin

dimaginar. De fet, moltes daquestes contrasenyes es

poden trobar sense gaire esfor a travs de la xarxa.

Aix, per exemple, se sap que les bases de dades SQL

Server inclouen de fbrica lidenticador dusuari sa i la

contrasenya en blanc.

Si ladministrador de sistemes duna organitzaci no

modica, com a mnim, la contrasenya per accedir amb

lidenticador dusuari vigent, correm el risc que qualse -

vol persona connectada a Internet pugui accedir sense

cap tipus dautoritzaci prvia al recurs informtic en

qesti i que lexploti o lalteri en beneci propi.

El mateix passa amb els equips congurats in situ pels

provedors. Posem un exemple: la installaci dun en-

caminador (en angls, router) sense ls. Aquests dispo-

sitius utilitzen una conguraci bsica, un identicador

dusuari i una contrasenya comuns associats al model

del dispositiu. Aquestes dades sn de lliure distribuci a

Internet i permeten al propietari de lencaminador dispo-

sar de la informaci pertinent per accedir i modicar els

parmetres de conguraci del dispositiu. Si no modi-

quem aquesta informaci, correm el risc que qualsevol

persona pugui utilitzar lliurement el dispositiu per nave-

gar a Internet o per accedir a la xarxa privada on es trobi

el dispositiu.

Si voleu un exemple real, us podem parlar dels encami-

nadors sense ls de la marca Zyxel. Aquests aparells

sn installats pels tcnics de les operadores amb iden-

ticador dusuari 1234 o admin i la contrasenya 1234.

Qu pot passar si no canviem lescontrasenyes que provenen

de fbrica?

Accs no autoritzat

Si un equip sinstalla en un entorn de producci corpo-

ratiu sense que se nhagin modicat les contrasenyes

que provenen de fbrica o sense haver inhabilitat els

comptes daccs associats a aquestes contrasenyes,

qualsevol internauta o treballador de lorganitzaci que

aconsegueixi contactar amb aquest dispositiu hi podr

accedir sense dicultat i explotar aquesta circumstncia

en beneci propi.

Denegaci de servei

Si un equip ha resultat comproms perqu una persona

no autoritzada hi ha pogut accedir, lintrs podria apagar

el dispositiu remotament o descongurar-lo i, en conse-

qncia, deixar-lo fora de servei.


9/19

9

Reencaminament de les comunicacions

Si lequip que ha resultat comproms s un dispositiu

de xarxa (encaminadors sense ls, encaminadors Ether-

net...), lintrs pot congurar el dispositiu per tal que les

comunicacions que traspassin aquest dispositiu siguin re-

dirigides o duplicades cap una mquina controlada per lin-

trs, amb la consegent prdua dinformaci corporativa.

Prdua dinformaci condencial

Quan un dispositiu sha vist comproms per un atacant,aquest pot aconseguir accs a la informaci emmagat-

zemada en el dispositiu afectat, o b pot interceptar les

comunicacions que traspassen aquest dispositiu.

Per qu cal denir una contrasenya

robusta personalitzada?Ja fa molt de temps que sentim a dir que no haurem de

fer servir mai la data del nostre naixement o algun altre

tipus dinformaci del nostre entorn com a contrasenya.

Per, qui de nosaltres no ho ha fet mai?

s important saber que, amb les eines actuals, resulta

relativament fcil descobrir contrasenyes formades per

paraules que apareixen en diccionaris lingstics o mots

colloquials. Ni tan sols serveix canviar la llengua del

nostre voltant per una destrangera.

En quins escenaris desagradables

ens podem trobar?


Quan un dispositiu sha vist comproms per un atacant,

aquest pot:

- Aconseguir accs a la informaci emmagatzemada

en el dispositiu afectat

- Interceptar les comunicacions que traspassen

aquest dispositiu

Suplantaci didentitat

Si una tercera persona no autoritzada s capa dacce-

dir a un servei corporatiu fent servir el nostre compte

daccs, podr utilitzar el servei en el nostre nom, s a

dir, fent-se passar per nosaltres.

Idonetat en la utilitzaci deldesaament pregunta/resposta

Com es diu la teva via?

Una gran quantitat de sistemes dinformaci fan servir

un mtode de recuperaci de contrasenya basat en un

desaament de pregunta/resposta. Aquest mecanisme

ens permet modicar la nostra contrasenya de manera

autnoma en cas que lhaguem oblidada.

A vegades, aquests tipus de mecanismes utilitzen pre-

guntes ja denides i nosaltres noms nhem descollir

una. Aquestes qestions poden demanar-nos des del

nom de la nostra via ns el color que preferim passant

per la ciutat on vam passar les millors vacances.

Aix doncs, si oblidem la contrasenya podem arribar a

canviar-la si contestem de manera correcta la pregunta

que vam triar el dia que ens vam donar dalta del servei.


10/19

0

En quins escenaris desagradablesens podem trobar?

Accs no autoritzat

Si la nostra resposta a la pregunta escollida resulta evi-

dent (perqu t a veure amb la nostra realitat ms prxi-

ma i coneguda), correm el risc que alg proper a nosal-

tres pugui aconseguir accedir al servei i, un cop a dins,

modiqui la contrasenya per una que no coneixem. Fent

aix, aconseguir que no puguem accedir al servei en

un futur. Per evitar mals de cap, doncs, s recomanable

que les respostes siguin complexes i no tinguin relaci

amb la nostra vida ms pblica.

Suplantaci didentitat

Es produeix quan una tercera persona no autoritzada

s capa daccedir a un servei corporatiu en el nostre

nom. A travs de la suplantaci didentitat poden dir o fer

coses contrries a la nostra voluntat.

Utilitzaci de comptes daccs

genrics corporatius

Contrasenyes sabudes per uns quants

Moltes vegades, en entorns de treball, cal congurar un

compte daccs per a un grup de persones enlloc dun ac-

cs personalitzat per a cada usuari. En aquesta casos ens

trobem davant duna situaci on ms duna persona utilitza

un mateix identicador dusuari i contrasenya per a un sol

servei. Si b no es pot tenir la certesa de qui est fent qu

amb aquell compte daccs, s que es pot controlar la gent

que coneix la contrasenya per poder accedir al compte.

Hem de tenir en compte que les contrasenyes de grup

poden estar emmagatzemades per a la seva consulta

en algun tipus de suport en paper o electrnic.

A causa de la manca de privacitat estricta (les coneixen

ms duna persona, poden arribar a estar escrites) te-

nim entre mans contrasenyes altament vulnerables. Per

aquest motiu, lorganitzaci haur de tenir-ne especial

cura, sobretot si es permeten tasques a nivell dadminis-

traci de sistemes informtics.

En quins escenaris desagradablesens podem trobar?

Accs no autoritzat

Les contrasenyes que semmagatzemen per poder ser

consultades sn ms vulnerables, ja que poden ser des-

cobertes per persones no autoritzades.

Hem de tenir present que cal canviar contrasenyes quan

una persona abandona el grup o lorganitzaci. Si no ho

fem, correm el risc que lusuari sortint pugui accedir al

compte genric en un futur.


Un usuari capa daccedir a un sistema dinformaci pot

tenir accs a la informaci condencial que shi emma-

gatzemi. Aquest aspecte s especialment crtic si qui hi

accedeix no hauria de tenir els permisos per fer-ho.


11/19

11

Utilitzaci de mecanismesde rotaci de contrasenyes

Exercitar la ment per a la seguretat

de la nostra informaci

Encara que haguem creat una contrasenya robusta, s

molt recomanable emprendre algun tipus de mesures de

seguretat complementries com ara el canvi peridic de

contrasenyes.

Tot i que resulta molest haver de canviar la clau daccs

contnuament, es tracta duna acci necessria per tal

de protegir la informaci corporativa que semmagatze-

ma als sistemes dinformaci.

s important que aquests mecanismes siguin coherents

amb el tipus dinformaci corporativa que sintenta protegir.

En quins escenaris desagradablesens podem trobar?Les amenaces associades a aquest escenari sn equi-

valents a les amenaces on una contrasenya sha vist

compromesa, ja que nalment el que compta s que

alg que no s lusuari legtim t accs a uns recursos

que no li corresponen.


12/19

Cadascun dels escenaris plantejats en aquesta guia ex-

posa un seguit damenaces que, si es materialitzen al

llarg del temps, en major o menor mesura tindran efec-

tes perjudicials per a lusuari, ladministrador de siste-

mes o ns i tot lorganitzaci a la qual pertanyen.

Per evitar que aix succeeixi, o per minimitzar-ne lefec-

te si s que lamenaa no es pot eliminar del tot, a con-

tinuaci us proporcionem un conjunt de recomanacions

dirigides a usuaris i administradors que gestionen con-trasenyes dins de lmbit professional.

Recomanacions per construir

contrasenyes robustes

- La longitud de la contrasenya s important. Com

ms llarga sigui la contrasenya, ms difcil dende-

vinar ser. Es recomana construir contrasenyes de,

com a mnim, vuit carcters.

- No deixar contrasenyes en blanc ni basades noms

en espais.

- Si la contrasenya s prou llarga per repeteix un

mateix carcter diverses vegades, perdr fora per-

qu resultar ms fcil dendevinar. Per tant, hem

devitar dutilitzar contrasenyes de lestil 111abcde.

- Per millorar la fortalesa de la contrasenya, aquesta

hauria de tenir una mica de tot:

o Nmeros

o Lletres majscules i minscules

o Carcters especials (*, +, $, %, &, @, !...)

Recomanacions


13/19

13

- Les contrasenyes robustes es poden millorar si in-

clouen espais en blanc i carcters que es generin

fent servir la tecla ALT Gr.

- Si b combinar carcters de diferents grups (vegeu

el punt immediatament superior) dna una fortalesa

considerable a la contrasenya, si els nmeros es col-

loquen al principi o al nal del conjunt, seran ms fcils

dendevinar que si apareixen en daltres posicions.

- Sempre s millor no utilitzar paraules que puguin

trobar-se en un diccionari, amb independncia de

lidioma emprat, ni tampoc informaci personal que

pugui ser deduda fcilment (data de naixement, DNI,

nom de les mascotes, noms de familiars, etc.), ja que

es poden endevinar amb facilitat. Tampoc no es re-

comana dutilitzar paraules de la cultura popular, en-

cara que no es trobin en diccionaris lingstics.

- Si tenim una contrasenya complexa, per cmode

que sigui, hem devitar reciclar-la afegint un nou dgit

a la contrasenya actual.

Recomanacions per preservar la privacitat de les

contrasenyes

- Mantenir les contrasenyes en secret. La contrase-

nya s ds exclusiu de lusuari o grup al qual per-

tany. Ning, a banda de nosaltres mateixos (o de les

persones que pertanyen al grup en concret), ha de

saber-la.

- Si s necessari emmagatzemar les contrasenyes

en un registre, aquest ha destar xifrat, amb laccs

controlat i accessible noms per a les persones au-

toritzades.

- Les contrasenyes no shan denviar ni escriure per

correu electrnic o mitjanant daltres serveis tele-

mtics sense xifrar.

- Mai no hem de donar la contrasenya a un usuariadministrador. Aquest disposa de les eines necess-

ries per canviar-la, sense necessitat de conixer la

contrasenya vigent.

- Hem de fer servir contrasenyes diferents per a cada

mbit. Si tenim una contrasenya per al correu per-

sonal i una altra per al de la feina i una de les dues

contrasenyes es veu compromesa, laltra continuar

sent segura.

Recomanacions per preservar la

vigncia de les contrasenyes

- Si ens trobem en un entorn crtic, les contrasenyes

han de tenir una vigncia mxima de 90 dies. Si es-

tem en un entorn amb informaci poc delicada, es

podr especicar un perode de temps ms ampli se-

gons les necessitats.

- En sistemes que estiguin exposats a xarxes pbliques,

la vigncia de les contrasenyes ha de ser proporcional

al risc i condencialitat de les dades que protegeixen.


14/19

4

- Sempre que sigui tcnicament possible, savisar a

lusuari que la contrasenya est a punt de caducar i

que ha de canviar-la amb alguns dies dantelaci (per

exemple: 5 dies abans).

- Hem devitar reutilitzar les 10 darreres contrasenyes.

- Si s tcnicament possible, el sistema validar la

qualitat de la contrasenya abans dacceptar-la.

- s aconsellable canviar la contrasenya amb la

primera connexi que realitzem al sistema, i tamb

quan ladministrador reinicialitzi la contrasenya.

- Les contrasenyes shauran dentregar de manera

segura als usuaris. Aqu teniu alguns mtodes v-

lids dentrega:

o Entrega personal

o Per correu electrnic xifrat

o Correu postal

o Missatgeria amb canal xifrat

o Correu intern precintat

- Hem de canviar la contrasenya si sospitem que dal-

tres persones en puguin tenir coneixement. Quedaran

exempts del compliment ISO 27002:2005 dels reque-

riments indicats en aquest apartat (vigncia i canvi de

contrasenya) els usuaris utilitzats per a tasques auto-

mtiques (execuci dscripts, transferncia de txers,

etc.), aix com entorns on lusuari no pugui realitzar el

canvi de contrasenya de forma automtica. En aquests

casos caldr aplicar controls addicionals com:

o Inhabilitar laccs a la consola del sistema

o Denir els mnims privilegis necessaris tant dac-

cs com dexecuci

o Mantenir un registre dels usuaris, indicant la per-

sona o grup responsable dels mateixos

o Per als entorns on lusuari no pugui realitzar

el canvi de forma automtica, el responsable

daquests haur de sollicitar un canvi de contra-

senya de forma peridica mitjanant els canals

establerts.

- La utilitzaci de llavors facilita la creaci i memorit-

zaci de les contrasenyes. Aqu teniu alguns exem-

ples orientatius:

o Llavor basada en frmules matemtiques:

5per%=0,05U

o Llavor basada en la memoritzaci duna frase:

Frase: Clau de la meva web per aquest any 2010

Clau de 14 carcters: CdLmWpAa2010

Hi ha un seguit de circumstncies, prpies de lmbit

de sistemes, que podrien condicionar la vigncia de les

contrasenyes i que, per tant, els administradors i respon-

sables de seguretat hauran dobservar particularment:

- Quan sintrodueixi la contrasenya en els sistemes,

mai no ha daparixer de manera visible o llegible a

la pantalla

- No s recomanable incloure contrasenyes sense

xifrar dins del codi daplicacions o scripts. Com a


15/19

15

alternativa, es poden emmagatzemar aquestes con-

trasenyes en txers amb accs restringit noms als

usuaris amb privilegis dexecuci

- Saconsella habilitar un sistema de protecci de

pantalla amb contrasenya que sactivar desprs de

ms de 15 minuts dinactivitat

- Els comptes dusuari es bloquejaran desprs dun

nmero nit dintents infructuosos daccs.


16/19

6

Actualment, tenim contrasenyes per a gaireb tot: per

accedir al mbil, per desactivar lalarma, ns i tot per en-

gegar el cotxe. Si ens traslladem del mn real al virtual,

ens trobem amb una multitud de serveis que requerei-

xen aquest tipus de validaci inicial.

Necessitem tantes contrasenyes que de vegades fem

servir sempre les mateixes per evitar loblit momentani.

Tot i aix, haurem danar amb ms cura i deixar la man-

dra aparcada en un rac, perqu algunes comoditatsacostumen a ser les causants de la manca de seguretat.

La contrasenya pertany a qui la fa servir. Noms nosal-

tres lhem de saber. Per aix, sempre hem de desconar

de correus electrnics o trucades que ens demanin vali-

daci o comprovaci de clau.

Hem de tenir present que una contrasenya t la nalitat

de protegir alguna cosa que s important per a nosal-

tres, per aquesta contrasenya no t sentit si no lutilit-

zem de manera correcta.

Aix que...

Una contrasenya per a cada cosa.Totes les contrasenyes al nostre cap.

NOMS al nostre.

Conclusions


17/19

17

Glossari

Contrasenya. Tipus dautenticaci que utilitza informa-

ci secreta per controlar laccs a un determinat servei,

recurs o sistema que requereixi una validaci prvia.

Desaaments pregunta - resposta. Conjunt de pre-

guntes que lusuari ha de respondre en un primer mo-

ment dinicialitzaci. En cas doblidar la contrasenya, si

lusuari contesta correctament les preguntes (introduint

les mateixes respostes que va donar en el moment de la

inicialitzaci), el sistema li permetr canviar la contrase-

nya sense haver dintroduir la contrasenya vigent.

Script. Conjunt dinstruccions tcniques a executar en

un sistema de manera automtica.

Referncies i enllaos web

Per elaborar la guia actual sha utilitzat com a referncia

la Guia de contrasenyes, del Centre de Telecomunicaci-

ons i Tecnologies de la Informaci de la Generalitat de

Catalunya (GE-GUI19-02).

A la xarxa es pot trobar informaci rellevant relacionada

amb la matria desenvolupada en aquesta guia:

- La importancia de una clave segura, Associaci dinter-

nautes, Octubre de 2009

http://www.internautas.org/html/1869.html

- Sacando el mximo provecho de TI: diez consejos fun-

damentales para la seguridad de su empresa, Cisco,

Juny de 2009

http://www.cisco.com/web/ES/solutions/smb/innovators/

how_to/articles/secure_my_business/essential_secu-

rity_tips.pdf

- Como cambiar la contrasea de la cuenta de servicios

omticos en red (Dominio Windows), Universidad Car-

los III de Madrid, Juny de 2009

http://www.uc3m.es/portal/page/portal/informatica/Nos-

Dedicamos/ServiciosCorporativos/DominioWindows/

ComoCambiar_la_Contra_Cuenta_Dominio

- Recomendaciones para la creacin y uso de contra-

seas seguras, INTECO, Novembre de 2007

ht tp : / /www.in teco.es /Segur idad/Observator io /

Estudios_e_Informes/Notas_y_Articulos/recomendaci-

ones_creacion_uso_contrasenas


18/19

8

- Ayude a proteger su informacin personal con contra-

seas seguras, Microsoft, Mar de 2006

http://www.microsoft.com/latam/athome/security/pri-

vacy/password.mspx

- Common Attacks and Possible Solutions, WindowSe-

curity.com, Gener de 2005

http://www.windowsecurity.com/articles/Passwords-At-

tacks-Solutions.html

- Gua detallada de aplicacin de directivas de contra-

seas seguras, Microsoft TechNet, Setembre de 2004

http://www.microsoft.com/spain/technet/recursos/arti-

culos/strngpw.mspx

Eines

Associaci dinternautes

Aplicaci per generar contrasenyes segures.

http://www.internautas.org/archivos/claves.zip

Cryptix


http://www.rbcafe.com

Lame-industries software


http://lame-industries.net

Password Manager

Eina de pagament que permet guardar i gestionar con-

trasenyes de manera segura.

http://www.cp-lab.com

Password Safe

Eina lliure que permet guardar i generar contrasenyes

de manera segura.

http://passwordsafe.sourceforge.net/

Recursos de suport en lnia

Clave Segura

Generador de contrasenyes segures en lnia.http://www.clavesegura.org/

Password

Generador de contrasenyes segures en lnia.

http://www.password.es/

Simple Password

Generador de contrasenyes segures en lnia.

http://www.simplepassword.com/


19/19

www.cesicat.cat

guia per gestionar les contrasenyes

Documents