manejo de contraseñas_pb
DESCRIPTION
Sugerencia para definir y manejar claves de buena calidad. Suggest to define and manage good passwordTRANSCRIPT
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Recomendaciones para el
manejo de contraseñas
UN APORTE A LA SEGURIDAD DE LA INFORMACIÓN
EN LOS TIEMPOS DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
¿Por qué debemos usar contraseñas?
La idea principal es proteger el acceso a la información para
solo quién es su dueño o está autorizado a utilizarla.
Un ejemplo de identificador es el RUT, sin embargo, esta
información por si sola no permite asegurar que quién se
identifica con un RUT es el dueño de éste, luego se hace
necesario agregar un segundo factor que solo maneje el dueño
del ID o cuenta y que nos permite validar que es la persona
debida ya que nadie más debe manejar ese dato.
Esta información es la contraseña, clave o password.
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
¿Qué tipo de contraseña?
El grado de dificultad de la contraseña debe ser proporcional a
la importancia de la información que deseo proteger.
La dificultad se refiere al esfuerzo necesario para adivinar la
contraseña.
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Atributos de la contraseña
Cantidad de caracteres
Tipo de caracteres
Modificación en el tiempo
Tipos de contraseña Débiles:
Menor a 3 caracteres
Solo números o solo letras
No se cambia en el tiempo
Fuertes:
Superior a 8 caracteres
Combinación números, letras y símbolos
Se cambia regularmente
No son palabras de diccionario
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Complicaciones
Generar claves fuertes
Recordar claves fuertes
Almacenar claves fuertes
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Sugerencia práctica para generar claves fuertes
Definir reglas de sustitución que me sea fácil recordar, por ejemplo
las vocales las remplazo por números (67890, 98765, 24680, nunca
12345), el espacio lo remplazaré por el signo igual, alterno letras
mayúsculas con letras minúsculas, cualquier sustitución que recuerde
siempre.
Por ejemplo:
La clave es el nombre Juan Pablo
Aplico alternancia jUaN pAbLo
Aplico remplazo jU6N=p6bL9
Quedando una contraseña fuerte donde la complejidad de
recordarla está asociado a la definición de las reglas de
sustitución.
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Sugerencia práctica para recordar claves fuertes
Al definir reglas de sustitución tenemos resuelto el poder recordar la
contraseña fuerte, pero no el que manejemos muchas contraseñas.
Una recomendación es incorporar en la contraseña una asociación
con la información a la cual accedo.
Por ejemplo:
Juan Banco jU6N=b6nC9
Juan gmail jU6N=gM68l
Juan Oficina jU6N=8F6C6N6
Juan faceb jU6N=f6c7b
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Sugerencia práctica para almacenar claves
Dado el nivel de claves que manejamos, siempre es necesario
mantener un registro de éstas, suele suceder que al no usarlas por un
tiempo podremos olvidarla.
Por lo tanto el almacenarlas resulta necesario, sin embargo, la
seguridad de este contenedor de claves debe ser de nivel superior, es
decir, si una clave fuerte tiene mínimo 8 caracteres, la clave que
asegura el contenedor debe ser mínimo de 14 caracteres. Más
adelante se detallará una sugerencia para la definición de ésta.
El contenedor de claves puede ser desde una planilla Excell (versión
2007 o superior) con clave hasta un software administrador de claves
como por ejemplo Password Safe.
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Sugerencia práctica para almacenar claves –continuación-
Independientemente si es una planilla con clave o la base asociado a
un programa para administrar contraseñas siempre debemos tomar las
siguientes precauciones con el archivo que contiene las claves:
• Mantenerlo en un directorio especial que su identificación no
de información del contenido
• Mantenerlo en un equipo que tenga control de acceso, esto es,
usuario y clave que solo usted maneja
• Mantener un respaldo actualizado en otro lugar que le permita
acceder a la información en caso que se dañe o pierda el
equipo donde está el archivo
• Si es un software, mantener el archivo de respaldo junto al
software que permite leerlo
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Sugerencia práctica para almacenar claves –continuación-
Dado que la clave que protege el archivo contenedor de todas las
claves es muy importante, la semilla o secuencia de caracteres a
partir de la cual generamos la contraseña que la protege debe ser de
un largo superior a 14 caracteres.
En este caso se debe utilizar un trozo de una canción, de un poema,
un refrán, un texto de un libro, una cita, es decir, un texto largo que
siempre recordemos.
Luego a esta semilla le aplicamos las definiciones de sustitución que
habíamos generado, obteniendo una contraseña clasificada como
muy fuerte.
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Sugerencia práctica para cambiar claves
Una manera de darle mayor seguridad a la clave es teniendo que
cambiarla regularmente, la idea es que a mayor tiempo mayor
posibilidad que la conozca otra persona.
La recomendación e este caso es definir una parte fija que
mantenemos y luego un contador numérico que incrementamos y
cambiamos de posición.
Por ejemplo:
La clave Juan Pablo jU6N=p6bL9
Le agregamos contador jU6N=p6bL9010
próximo cambio 011jU6N=p6bL9
luego jU6N=p6bL9012
así sucesivamente . . .
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Claves que NO se deben utilizar
Password
Passw0rd
Qwerty
Abc123
123456
654321
123456789
987654321
111111
123123
Iloveyou
shadow
letmein
Rockyou
Princess
America
Monkey
Superman
Qazwsx
La regla es NO USAR palabras que se
encuentran en un diccionario, ni nombres
propios, fechas de nacimiento, direcciones,
números de teléfono por si solos, la idea es
combinarlos y luego aplicar sustitución.
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información
Conclusiones
Al igual que cuando compramos un candado o una
chapa, la elegimos en función de lo que deseamos
proteger, lo mismo sucede al definir una contraseña,
por lo tanto, la calidad de esta debe estar en directa
relación con la información que necesitamos cuidar.
El esfuerzo que significa manejar claves siempre será
menor que el daño en caso que la información que
protegemos se mal usada.
Ricardo Urbina Miranda Un aporte a la Seguridad de la Información