Artículos

La importancia de las contraseñas

Le ofrecemos una serie de recomendaciones para que sus contraseñas sean menos vulnerables ante posibles amenazas.

13/10/2004 Bankoi

Las claves o contraseñas, de un tipo u otro, forman parte de nuestra vida cotidiana. Las utilizamos para nuestro móvil, alarma de casa y oficina, sacar dinero de cajeros, y en el tema que nos ocupa: Internet. En la red las usamos para correo electrónico, cuentas FTP, etc. Muchas veces la contraseña es la única vía de acceso a los servicios.

Al referirnos a poner una contraseña 'fuerte' , expresamos cuál es la dificultad que ofrece ésta ante alguien (o algo) que está intentando descubrirla. Una contraseña será más fuerte cuando ofrezca mayores dificultades para que el atacante la identifique. Por el contrario, será más débil cuando sea relativamente simple descubrirla. Será mucho más difícil localizar una clave como : 'jz7iit16' , que una palabra común como 'gato'. Algo análogo sería poner un candado pequeño o grande para nuestra puerta.

Una buena forma de demostrar la necesidad de utilizar contraseñas fuertes es mostrar la facilidad con que las contraseñas débiles pueden ser identificadas. La mayoría de los usuarios no tienen ni idea de la existencia de herramientas para descubrir contraseñas, ni de lo realmente fáciles y eficientes que son (y en muchos casos, incluso totalmente gratuitas). Es realmente un ejercicio muy aleccionador obtener una copia de la SAM de un dominio de Windows, pasarla por una herramienta de análisis y ver cómo, instantáneamente, obtenemos la contraseña de una gran cantidad de usuarios.

Evidentemente el problema de la calidad de las contraseñas no es exclusivo de Windows, sino que puede aplicarse a cualquier entorno en donde se utilice este tipo de autenticación.

Objetivo: Mejorar la calidad de las contraseñas

La política de seguridad existente en cada organización debe fijar los requerimientos para que una contraseña se considere aceptable dentro del ámbito de la misma. No obstante, me permito sugerir una serie de valores que son comúnmente aplicados:

- Todas las cuentas de usuario, sin excepción, deben tener asociada una contraseña.

- El usuario, en su primera conexión a la red, debe ser forzado a cambiar de contraseña.

- La longitud de las contraseñas no debe ser inferior a los siete caracteres.

- Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas) y números.

- La contraseña no debe contener el identificador o el nombre del usuario.

- Las contraseñas deben caducar, como máximo, cada noventa días. El período mínimo de validez de una contraseña debe ser un día.

- Cuando se realice un cambio de contraseña, esta debe ser diferente de las utilizadas anteriormente por el mismo usuario.

- Periódicamente debe realizarse una auditoría para verificar que se cumple con los requerimientos de la política de seguridad.

Como conclusión, en contra de lo que pueda parecer, la seguridad informática está siendo olvidada por la mayoría de empresas, hasta que ocurre algo indeseado. No son las máquinas las que fallan, sino las personas que efectuamos prácticas incorrectas (dejar la contraseña visible en la oficina, dejamos sesiones abiertas, etcétera). Con las recomendaciones anteriores evitamos estos errores humanos. Para reflexionar: ¿se asegura de cerrar la puerta cuando sale de su casa? Lo mismo debe pensar cuando use sistemas y servicios en Internet.

Josep Pocalles
Bankoi
www.bankoi.com

| ir a artículos | recomiende este contenido | acceso a asesoría | versión para imprimir |

Búsquedas en... Documentación de Tecnologías de la Información

Buscar:

¿Quiere buscar en otras áreas de Navactiva?