Es fundamental el controlar que cualquier persona que acceda al sistema esté autorizado y que solo pueda acceder a los recursos para los que tiene autorización.
Una de las formas más usuales de autorizar los accesos es mediante un usuario y contraseña ( o password) y asociando a dicho usuario una serie de permisos (qué acciones podrá realizar y cuáles no y sobre qué recursos).
Recomendaciones para elegir Contraseña
No es recomendable elegir contraseñas que por ser fáciles de recordar, sean también fáciles de averiguar, no se recomienda nuestra fecha de nacimiento, NIF, nombre, nombre de nuestra mascota, nombre de algún familiar, etc.
Existen además ataques por diccionario o fuerza bruta que que se dificultan si se siguen algunas normas como longitud mínima o caracteres especiales.
Algunas normas básicas a la hora de elegir nuestra contraseña son:
- No elegir palabras relacionadas con nuestro entorno (NIF, nombre de nuestra mascota, fecha de nacimiento, nombre de tu hijo, etc.)
- Usar combinaciones de letras, mayúsculas, minúsculas, números y caracteres especiales (no usar palabras con significado).
- Longitud mínima de 8 caracteres.
- Intentar usar contraseñas distintas para servicios distintos.
- No usar nunca la contraseña por defecto, cambiarla en el primer acceso.
Para recordar una contraseña segura (mínimo 8 caracteres que incluyan números, letras y caracteres especiales) podemos recurrir al truco de usar una frase, por ejemplo: ¿Yo nací en febrero de 1980?, y quedarnos con los dos últimos caracteres de cada palabra: Yocíenrode80?
Obviamente, ninguna de estas precauciones será de utilidad si después anotamos la contraseña en un postit y la pegamos en la pantalla de nuestro ordenador. Las contraseñas deben almacenarse de forma segura (existen programas gestores de contraseñas) y tener cuidado en su distribución, cómo y a quién se facilita, como norma general una contraseña es de uso privado, por lo que no se debe facilitar a nadie. En caso necesario, debemos ser cuidadosos con el medio que usamos y si es necesario cifrar la información , de forma que solo la persona que posea la clave de cifrado pueda recuperar esa contraseña.
Soy administrador de un sistema, ¿Que puedo hacer?
A la hora de configurar nuestros sistemas debemos forzar a los usuarios a tomar ciertas medidas de seguridad con respecto a sus contraseñas:
- Obligar al usuario a cambiar la contraseña inicial en su primer acceso.
- Numero máximo de intentos permitidos, tras el cual el sistema se bloquea.
- Que no se admitan contraseñas de menos de 8 caracteres y que estos obligatoriamente incluyan mayúsculas, minúsculas, números y caracteres especiales.
- Que las contraseñas expiren cada cierto tiempo y haya que cambiarlas, tampoco se permitirá repetir ninguna de las tres últimas.
Tipos de ataques
Existen diversos sistemas para averiguar contraseñas. Algunos de los más conocidos son:
- Sniffers: programas que interceptan las comunicaciones de los equipos en una red pudiendo extraer contraseñas de las comunicaciones "escuchadas".
- Keyloggers: Programas que capturan las teclas pulsadas.
- Fuerza bruta: Programas que prueban todas las combinaciones (cuanto más larga sea la contraseña, más tiempo requieren).
- Ataque por diccionario: Programas que usan palabras del idioma del usuario.
- Suplantación de identidad: Se trata de engañar al usuario haciéndole creer que es su banco, o alguien conocido, o algún organismo público, para que se le faciliten las claves.