24.11.04

Contraseñas seguras

Perdonen si en estos dos ultimos días han visto aparecer y desaparecer algunos posts, pero resulta que tuve algunos inconvenientes con la conexión y eso provocó todo el desorden.
Volviendo al tema de los passwords, y luego de leer los porcentajes de algunos estudios realizados en los Estados Unidos y otros en Reino Unido, voy a listar algunas normas básicas para la construcción de una contraseña segura, en función de los resultados de las investigaciones.

1) En las claves numéricas las secuencias y las repeticiones son las combinaciones más frecuentes. Para el caso de tener información adicional sobre el usuario, las contraseñas tipo fecha suponen casi el 50% de los casos de las cñaves numéricas.
2) Para las claves alfanuméricas, el procedimiento más habitual es añadir uno o dos números al final de la palabra.

Conforme a estos resultados, es sencillo concluir que:
1) Deberíamos elaborarlas con números y letras intercalados;
2) Utilizar mayúsculas y minúsculas;
3) Que las mayúsculas y las minúsculas estén intercaladas y, de preferencia, que no sean los primeros caracteres;
4) Evitar las contraseñas de menos de seis digitos y si se nos permite, que sean de al menos diez caracteres.
5) Las letras utilizadas no deben formar ninguna palabra, o parte de una, legible en nuestro idioma o en inglés, por lo menos.
6) Al utilizar números no colocarlos ni al principio, ni al final.

Una contraseña segura podría ser así: xCP25Yq32PPa donde si observamos los colores utilizados veremos que combinamos: en verde números que están al medio, intercalados con letras; en anaranjado mayúsculas intercaladas; en celeste minúsculas intercaladas. No queda formada una palabra conocida en ningún idioma, y tiene doce digitos. Este password es seguro ante un "ataque de diccionario" por que no se forma palabra alguna, a un "ataque de fuerza bruta" porque tiene doce digitos y no hay secuencias ni de números ni de letras. Por otra parte está totalmente desligada de nuestra psiquis o historia por lo que será imposible romperla sin un software apropiado. Pero ese es otro tema.

En el próximo post les voy a decir como hacer para construir y memorizar un password así.

Adios Adolfo Castelo. Gracias por haberme hecho reir tanto.-

5 comentarios:

  1. No me parece que xCP25Yq32PPa sea una buena password, hoy gracias a Rainbow crack se está agilizando la fuerza bruta con algoritmos y se habla de un nuevo paradigma relacionado con las passphrase de un mínimo de 14 letras.

    ResponderBorrar
  2. Por supuesto que con software es posible romper cualquier password!!. Solamente intento crear la costumbre de utilizar passwords de ese tipo; y tenés razón, 14 letras es mejor que 10 o 12, pero 15 y 16 lo es más aún.
    Convengamos que la gente, en general, usa contraseñas del tipo "raul58" o "150565" (un cumpleaños), o mucho pero aún "123456". Conozco empleados de una empresa que manejan datos muy importantes, de orden administrativo, que usan como password una palabra que es la combinación de los nombres de sus hijos. ¡Realmente un suicidio en seguridad!.
    Esos estudios no son falsos, y sabemos que es así, la gente no usa passwords seguros. Por eso, si lo cambian por, al menos uno de 12 digitos, estaría bien.

    ResponderBorrar
  3. Sin duda que dentro de la evangelización por la seguridad lo importatne es ir paso a paso, pero lo que es contraseña segura, segura creo que ya deberiamos hablar de más de 14 dígitos. :-)

    ResponderBorrar
  4. A medida que pasa el tiempo las contraseñas del tipo alfanumérico se van poniendo cada vez más frágiles. Algunos sitios aceptan contraseñas con caracteres "extraños" como: ")" paréntesis; "%" porcentaje; "+" más; etc. En un comienzo muy pocos sitios aceptaban estos tipos de caracteres, pero de a poco cada vez son más. Los futuros passwords serán de otro tipo, pero ese será tema de otro post. Gracias por comentar mis posts, es signo de que los leés.-

    ResponderBorrar
  5. Anónimo10:08 a.m.

    Me parece que 14 digitos es mucho como password ... digo, decile a un empleado que se memorice un pass de 14 digitos ... te van a mandar al diablo !

    Lo mejor es mejorar en las tecnicas de seguridad del lado del servidor ... como por ejemplo, algun hash (md5, sha1) junto con salt ...

    Rodrigo
    http://www.16-bits.com.ar

    ResponderBorrar