Nos
permiten verificar a la persona que en ese momento va a utilizar
el ordenador, red, programa o fichero, mediante la utilización de
una palabra o frase que únicamente él conoce, siendo ésta su única
protección. Creo que la primera conocida fue: "ábrete
sésamo".
La
contraseña ideal no existe. Lo más seguro es utilizar, siempre
que se pueda, una frase en lugar de una palabra, siempre que no se
trate de las frases habituales tipo "en un lugar de la mancha
de cuyo nombre no quiero ni acordarme".
Lo más habitual suele ser utilizar palabras fáciles de recordar,
tipo: fecha de nacimiento, nombre de los hijos, el pin del móvil,
o incluso, los más incautos, SU PROPIO NOMBRE. :-))
No debemos olvidar que existen en internet cantidad de utilidades
tipo "John the Ripper", también conocidos como
recuperadores de contraseñas, que someten las mismas bien a
ataques de fuerza bruta, bien a comparación con diccionarios de
contraseñas habituales.
Como
recomendación, debería tener como mínimo dieciséis caracteres,
mezclando mayúsculas, minúsculas, números y signos de puntuación.
Yo, cuando puedo, utilizo caracteres coreanos, y de momento me vá
muy bien.
Claro que una contraseña tan buena, lo más normal es que nadie
consiga recordarla, y acabe pegada al monitor en un post-it de
color amarillo hortera.
Inventar
una buena contraseña debemos tomárnoslo como algo divertido, y
no hacer caso a lo que nos dicen muchos administradores de red:
algo que te sea fácil de recordar.
Siempre
que protejo un sistema suelo correr mis crackeadores de contraseñas
(de diccionario y de fuerza bruta), para posteriormente recomendar
a los empleados que la cambien por una mejor (siempre es así),
pues suelen utilizar las habituales que figuran en cualquier
diccionario.
Reglas para las contraseñas
El fundamento para garantizar la seguridad en línea es una buena contraseña secreta. Utilice las siguientes reglas y sugerencias para crear o cambiar su contraseña.
Debe contener al menos 8 caracteres y no más de 64. Puede contener números (0-9) y letras en mayúscula y minúscula (A-Z, a-z), pero no espacios.
La contraseña distingue mayúsculas y minúsculas, por lo que deberá recordar las letras que escribe en mayúscula.
Utilice una combinación de letras y números, por ejemplo, px3up469.
Sugerencias para las contraseñas
Nunca utilice una contraseña que resulte fácil de averiguar, como su fecha de nacimiento o el nombre de sus hijos.
Su contraseña no debe contener su nombre de correo electrónico, su nombre, sus apellidos o la respuesta a su pregunta secreta.
Nunca escriba su contraseña en papel. Elija una contraseña que pueda recordar.
No utilice palabras de diccionario en ningún idioma.
Nunca envíe su contraseña por correo electrónico o en un mensaje instantáneo.
AVISO:
Recientemente
se ha puesto a la venta un recuperador de contraseñas mediante
hardware. Es un pequeño adaptador que se coloca entre el conector
del teclado y la CPU. Posteriormente se recuperan los datos
mediante software en el ordenador del atacante. Intercepta, al ser
hardware, incluso el password de la BIOS.
Fecha: Tue, 14 Aug 2001 09:22:58 -0300
De: "Dr. Alejandro G. Rodriguez"
< arodriguez61@cponline.org.ar
>
Asunto: LA PSICOLOGÍA DE LA CONTRASEÑA
La contraseña para leer el correo electrónico, consultar la cuenta bancaria o
utilizar el ordenador es mucho más que una clave, es un verdadero libro abierto
de nuestra personalidad. Psicólogos británicos, tras analizar 1.200 empleados de
una empresa, han concluido que el carácter de las personas se refleja en la
contraseña informática que eligen.
Según los psicólogos de la Universidad de Hertfordshire, existen cuatro patrones
al inventar una clave para el ordenador: los familiares, que son los que
utilizan como clave una palabra o cifra muy próxima. Es el grupo más importante,
con un 47% del total. Usan variaciones de su propio nombre (el 55%), o los
nombres de sus hijos (un 20%). Son los menos preocupados por la seguridad de sus
datos.
Un segundo grupo con el 32% del total, es el que denominan "fans", que
acostumbran a poner como contraseña el nombre de su deportista o artista
favorito. El tercer grupo son los "obsesivos" , un 11% del total, que en una
parte importante utilizan palabras relacionadas con -¿sorpresa?- el sexo. Y el
10% restante son los encriptadores, que crean contraseñas complicadas.
Aunque estos últimos son los menos frecuentes, sus esfuerzos no siempre
significan que sus datos estén más seguros. Programas relativamente sencillos
pueden reventar las contraseñas. Los expertos recomiendan utilizar claves con
letras y números para que estos programas tengan más difícil lograr su objetivo;
y no poner la misma contraseña en todas partes.
La contraseña es tal vez la parte más vulnerable de
un sistema informático. Aun el sistema más seguro puede caer en
manos de atacante si éste logra ingresar a causa de una contraseña
mal elegida.
Con el uso cada vez más difundido de operaciones electrónicas
donde el usuario debe primero demostrar que es quien dice ser y
que está autorizado para efectuarlas (autenticación), una mala
contraseña puede llevar no solamente a robo o pérdidas sino a
responsabilidad legal frente a terceros.
Pautas para Elegir la Contraseña:
NO debes emplear tu nombre de usuario o algún derivado (invertido,
en mayúsculas/minúsculas o con otros caracteres.) Un error
demasiado común es elegir como password el nombre de usuario con
unos números, por ejemplo el año: carlos99, alfa00, etc...
NO debes emplear tu nombre y/o apellido o algún derivado de éstos.
NO debes emplear el nombre de tu esposa o de tus hijos.
NO debes emplear datos personales que se puedan obtener
fácilmente, como por ejemplo, número de placa o marca del
vehículo, números telefónicos, números de identificación, la
dirección de tu casa, etc...
NO debes emplear una contraseña que contenga solamente números o
la misma letra repetida.
NO debes emplear una palabra del idioma Español o de otro idioma.
NO debes emplear una contraseña de menos de seis caracteres.
SI debe emplear una mezcla de mayúsculas y minúsculas.
SI debes emplear una contraseña que contenga caracteres no
alfabéticos (números o signos de puntuación, para estos últimos,
es conveniente averiguar cuáles permite su sistema particular.)
SI debes escoger una contraseña fácil de recordar para no tener
que escribirla.
SI debes escoger una contraseña que puedas escribir rápidamente,
sin mirar el teclado.
Tomado de: RFC 1244
Adaptado en español por
Red Segura.
