Saltar la navegación

4. Seguridad de contraseñas

contraseñas
Imagen generada con IA (Bing). Contraseñas (CC BY-SA)

Es fundamental el controlar que cualquier persona que acceda al sistema esté autorizado y que solo pueda acceder a los recursos para los que tiene autorización.

Una de las formas más usuales de autorizar los accesos es mediante un usuario y contraseña ( o password) y asociando a dicho usuario una serie de permisos (qué acciones podrá realizar y cuáles no y sobre qué recursos).



Recomendaciones para elegir Contraseña

No es recomendable elegir contraseñas que por ser fáciles de recordar, sean también fáciles de averiguar, no se recomienda nuestra fecha de nacimiento, NIF, nombre, nombre de nuestra mascota, nombre de algún familiar, etc.

Existen además ataques por diccionario o fuerza bruta que que se dificultan si se siguen algunas normas como longitud mínima o caracteres especiales.

Algunas normas básicas a la hora de elegir nuestra contraseña son:

  • No elegir palabras relacionadas con nuestro entorno (NIF, nombre de nuestra mascota, fecha de nacimiento, nombre de tu hijo, etc.)
  • Usar combinaciones de letras, mayúsculas, minúsculas, números y caracteres especiales (no usar palabras con significado).
  • Longitud mínima de 8 caracteres.
  • Intentar usar contraseñas distintas para servicios distintos.
  • No usar nunca la contraseña por defecto, cambiarla en el primer acceso.

Para recordar una contraseña segura (mínimo 8 caracteres que incluyan números, letras y caracteres especiales) podemos recurrir al truco de usar una frase, por ejemplo: ¿Yo nací en febrero de 1980?, y quedarnos con los dos últimos caracteres de cada palabra: Yocíenrode80?

Obviamente, ninguna de estas precauciones será de utilidad si después anotamos la contraseña en un postit y la pegamos en la pantalla de nuestro ordenador. Las contraseñas deben almacenarse de forma segura (existen programas gestores de contraseñas) y tener cuidado en su distribución, cómo y a quién se facilita, como norma general una contraseña es de uso privado, por lo que no se debe facilitar a nadie. En caso necesario, debemos ser cuidadosos con el medio que usamos y si es necesario cifrar la información , de forma que solo la persona que posea la clave de cifrado pueda recuperar esa contraseña.

Soy administrador de un sistema, ¿Que puedo hacer?

A la hora de configurar nuestros sistemas debemos forzar a los usuarios a tomar ciertas medidas de seguridad con respecto a sus contraseñas:

  • Obligar al usuario a cambiar la contraseña inicial en su primer acceso.
  • Numero máximo de intentos permitidos, tras el cual el sistema se bloquea.
  • Que no se admitan contraseñas de menos de 8 caracteres y que estos obligatoriamente incluyan mayúsculas, minúsculas, números y caracteres especiales.
  • Que las contraseñas expiren cada cierto tiempo y haya que cambiarlas, tampoco se permitirá repetir ninguna de las tres últimas.

Tipos de ataques

Existen diversos sistemas para averiguar contraseñas. Algunos de los más conocidos son:

  • Sniffers: programas que interceptan las comunicaciones de los equipos en una red pudiendo extraer contraseñas de las comunicaciones "escuchadas".
  • Keyloggers: Programas que capturan las teclas pulsadas.
  • Fuerza bruta: Programas que prueban todas las combinaciones (cuanto más larga sea la contraseña, más tiempo requieren).
  • Ataque por diccionario: Programas que usan palabras del idioma del usuario.
  • Suplantación de identidad: Se trata de engañar al usuario haciéndole creer que es su banco, o alguien conocido, o algún organismo público, para que se le faciliten las claves.

Actividad 2.1 Navegamos seguros

Mi contraseña no la sabe nadie. ¿Seguro?

La percepción de seguridad falsa en torno a las contraseñas es una ilusión peligrosa. A menudo, las personas optan por combinaciones predecibles o reutilizan contraseñas, creyendo que están a salvo. Sin embargo, este sentido de seguridad es engañoso, ya que las tácticas de hacking evolucionan constantemente. Contraseñas débiles o comunes son vulnerabilidades evidentes. La realidad es que la seguridad reside en la complejidad y la singularidad de las contraseñas. Ignorar esta realidad crea una falsa sensación de protección, exponiendo a los individuos a riesgos innecesarios de violación de datos y comprometiendo la integridad de la información personal.

Decenas de empresas son comprometidas cada año, algunas de ellas empresas muy grandes con millones de datos de sus usuarios, puede que entre esos datos filtrados este ¿nuestra contraseña?, ¿Cómo saberlo? Tenemos una web que nos lo va a decir. Introduce tus contraseñas en esta página https://haveibeenpwned.com/Passwords 

Si nuestra contraseña ha sido filtrada en alguna ocasión nos aparecerá el siguiente mensaje indicando que esta comprometida, y la cantidad de veces que ha sido filtrada, en este ejemplo escribí como contraseña "contraseña":

filtrada

Si nuestra contraseña no ha sido filtrada nunca, nos aparecerá el siguiente mensaje.

no filtrada

Introduce tus contraseñas en esta página y haz una captura de pantalla con el resultado de alguna de ellas. Ahora guarda esta captura en un documento de texto, te servirá más adelante.

Creado con eXeLearning (Ventana nueva)