|
Las claves u contraseñas, de un tipo u otro,
forman parte de nuestra vida cotidiana. Las
utilizamos para nuestro móvil, alarma de casa y
oficina, sacar dinero de cajeros, y en el tema que
nos aplica : Internet: correo electrónico, cuentas
FTP, etc . Muchas veces la contraseña es la única
vía de acceso a los servicios.
Al referirnos a poner una contraseña 'fuerte' ,
expresamos cual es la dificultad que ofrece ésta
ante alguien (o algo) que está intentando
descubrirla. Una contraseña será más fuerte cuando
ofrezca mayores dificultades para que el atacante
la identifique. Por el contrario, será más débil
cuando sea relativamente simple descubrirla. Será
mucho más difícil localizar una clave como :
'jz7iit16' , que una palabra común como 'gato'
.
Algo análogo sería poner un candado pequeño o
grande para nuestra puerta.
Una buena forma de demostrar la necesidad de
utilizar contraseñas fuertes es mostrar la
facilidad con que las contraseñas débiles pueden
ser identificadas. La mayoría de los usuarios no
tienen ni idea de la existencia de herramientas
para descubrir contraseñas, ni de lo realmente
fáciles y eficientes que son (y en muchos casos,
incluso totalmente gratuitas). Es realmente un
ejercicio muy aleccionador obtener una copia de la
SAM de un dominio de Windows, pasarla por una
herramienta de análisis y ver como,
instantáneamente, obtenemos la contraseña de una
gran cantidad de usuarios.
Evidentemente el problema de la calidad de las
contraseñas no es exclusivo de Windows, sino que
puede aplicarse a cualquier entorno en donde se
utilice este tipo de autenticación.
Objetivo: Mejorar la calidad de las
contraseñas:
La política de seguridad existente en cada
organización debe fijar los requerimientos para
que una contraseña se considere aceptable dentro
del ámbito de la misma. No obstante, me permito
sugerir una serie de valores que son comúnmente
aplicados:
* Todas las cuentas de usuario, sin excepción,
deben de tener asociada una contraseña.
* El usuario, en su primera conexión a la red,
debe ser forzado a cambiar de contraseña.
* La longitud de las contraseñas no debe ser
inferior a los siete caracteres.
* Las contraseñas deben estar formadas por una
mezcla de caracteres alfabéticos (donde se
combinen las mayúsculas y las minúsculas) y
números.
* La contraseña no debe contener el identificador
o el nombre del usuario.
* Las contraseñas deben caducar, como máximo, cada
noventa días. El período mínimo de validez de una
contraseña debe ser un día.
* Cuando se realice un cambio de contraseña, esta
debe ser diferente de las utilizadas anteriormente
por el mismo usuario.
* Periódicamente debe realizarse una auditoria
para verificar que se cumple con los
requerimientos de la política de seguridad.
Como conclusión, en contra de lo que pueda
parecer, la seguridad informática está siendo
olvidada por la mayoría de empresas, hasta que
ocurre algo indeseado. No son las máquinas las que
fallan, sino las personas que efectuamos prácticas
incorrectas (dejar la contraseña visible en la
oficina, dejamos sesiones abiertas, ...) . Con las
recomendaciones anteriores evitamos estos errores
humanos. Para reflexionar : se asegura de cerrar
la puerta cuando sale de su casa ? Lo mismo debe
pensar cuando use sistemas y servicios en Internet |
