2.7. Políticas de contraseñas

Ocultar

La contraseña es el método más usado para controlar el acceso a un proceso, fichero, dato o recurso en general. Se deben tener en cuenta dos consideraciones para controlar la seguridad mediante contraseñas:

El secreto de la contraseña.
La complejidad de la contraseña.

El secreto de la contraseña depende del usuario, es prácticamente imposible que un sistema de seguridad impida que una persona revele una contraseña a otra. En cuanto a la complejidad de una contraseña, realmente habría que referirse a la fortaleza de esa contraseña frente a la posibilidad de ser descubierta.

Ocultar

Una contraseña será más fuerte cuanto más difícil sea poder descubrirla. ¿Lógico? Echa un vistazo al siguiente enlace con la lista de las contraseñas más usadas:

https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

Ocultar

Una buena forma de demostrar la necesidad de utilizar contraseñas fuertes es demostrar lo fácil que es descubrir una contraseña débil con las herramientas que existen en la actualidad, en muchos casos gratuitas.

Existen múltiples sitios web donde poder medir la fortaleza de las contraseñas utilizadas.

En el siguiente enlace se puede hacer un análisis de la fortaleza de las contraseñas usadas. La aplicación analiza el tipo de caracteres utilizados y muestra en porcentaje la seguridad de la misma. Un 100% indica la máxima seguridad. ¿Qué tan segura son tus contraseñas?

Password Meter

Kaspersky Check Password

Y el siguiente enlace nos indica si nuestro correo electrónico está incluido en alguna de las listas de bases de datos hackeadas y reveladas:

Have i been pwned?

Ocultar

Es difícil de asegurar como debe ser una contraseña segura porque siempre hay un porcentaje que depende de la probabilidad, es decir, siempre existe la posibilidad de que alguien la acierte por casualidad, por muy remota que sea. Aun considerando el margen reservado a la fortuna, se puede decir que hoy en día una contraseña es más segura si tiene el siguiente formato:

Al menos está compuesta por 8 caracteres.
Tiene números y letras mezclados.
Utiliza mayúsculas y minúsculas.
Los números se incluyen en medio de la contraseña.
No debe ser una fecha, nombre propio o cualquier palabra conocida.
No debe tener relación con el usuario.
Debe ser fácil de recordar.

El método más utilizado para descubrir contraseñas es el denominado de fuerza bruta, para emplear este método se han diseñado múltiples aplicaciones de software que prueban todo tipo de combinaciones. La estructura de una contraseña puede hacer que un ataque de este tipo pueda tener éxito en segundos o por el contrario durar cientos de años.

En la imagen se puede ver una tabla comparativa del tiempo que se tardaría en descubrir una contraseña si estuviera formada solamente por minúsculas o por el contrario se utilizasen todos los caracteres.

Se puede deducir que, una contraseña con 8 caracteres (mayúsculas, minúsculas, números) se tardaría en descubrir cientos de años, mientras que si solamente se utilizan minúsculas, se conseguiría en días.

Algo que sabes, algo que tienes y algo que eres

Ocultar

En seguridad informática debemos tener un buen sistema de verificación de nuestra identidad. Para ello conocemos tres formas de acceso:

Algo que sabemos, por ejemplo una contraseña o un código PIN.
Algo que poseemos, por ejemplo una tarjeta de crédito o un token RSA.
Algo que somos (autenticación biométrica), como la forma de la mano o la huella dactilar.

Combinando al menos dos de ellas, se obtiene una autenticación fuerte o robusta.

https://www.incibe.es/protege-tu-empresa/blog/algo-sabes-tienes-eres-contrasenas-identidad-online

Obra publicada con Licencia Creative Commons Reconocimiento Compartir igual 4.0