¿Son buenas tus contraseñas?

Hola a todos,
En la edición impresa del último "El país Semanal" publicado el
domingo aparecía una artículo de Mercè Molist al respecto de la
seguridad en nuestras contraseñas. El artículo se titulaba "¿Son
seguras sus contraseñas?"

 Buscandolo por la web, he encontrado este grupo de artículos de de la
misma autora y que seguro que les hace reflexionar en ¿quien puede
averiguar mi contraseña? ¿cuanto tardarían en averiguarla?

 Hasta pronto,

  
  - Jose Mari -

 -------------------------
04/05/06 17:13:22

 ¿SON BUENAS TUS CONTRASEÑAS?

 Cómo evitar el "Acceso denegado"

 Mercè Molist
El nombre de su mascota o de su amante son las contraseñas que más
utiliza la gente en los servicios de Internet. Olvidar esta palabra o
que alguien la descubra y la cambie por otra dará lugar al temible
"Acceso Denegado. No ha dado la contraseña correcta y no podrá acceder a
ese servicio". Es posible que un día vivas esta situación, si tu
contraseña no es segura o no está bien construida para acordarte de ella.

 Es como si nos hubiesen regalado un Jaguar, sin las instrucciones para
manejarlo. Cada día nacen nuevos servicios en Internet donde se nos pide
que inventemos una palabra de paso, si queremos volver a acceder a
ellos. Para una población no acostumbrada a la seguridad informática,
este momento provoca sudores fríos y estrujamientos de seso: ¿Cuál
escoger? Mañana, cuando nos demos de alta de un nuevo servicio, otra vez
el maldito ritual. ¡Y no vale olvidar ninguna!

 ¿Para qué sirve una contraseña? Es una forma de autenticación basada "en
que lo que la persona sabe". Cualquier servicio personalizado -el cajero
automático del banco, nuestro acceso a Internet, al correo electrónico,
una web de radio a la carta- requiere nuestra "autenticación". Tenemos
que demostrar de alguna forma que somos nosotros y no el vecino de al
lado. Esta es la función de la contraseña, decir: "Soy yo y lo demuestro
porque sé esta palabra".

 Quien tiene la contraseña, tiene el poder, desde el principio de los
tiempos. Recuérdese el "Ábrete Sésamo" que abría la puerta de la cueva
de Ali Babá. Los intrusos informáticos saben el valor de estos conjuros,
que les permiten entrar en ordenadores y redes grandes y pequeñas. Hoy
en día, con una simple palabra de paso se puede robar dinero de un
banco, leer correspondencia privada o cambiar las noticias de un
periódico. No es moco de pavo.

 La gente suele pensar que a nadie le interesan sus contraseñas. Gran
error: si alguien descubre la palabra que da entrada a nuestro ordenador
puede usarlo para atacar otros mayores, lanzar publicidad basura o
enviar cartas en nuestro nombre. Si guardamos en el ordenador la
contraseña para entrar en nuestro banco, es el juego de la Oca: de
contraseña a contraseña y gano porque me toca.

 Por eso es importante saber escoger nuestras palabras de paso. Según los
psicólogos, una persona sólo puede retener entre 5 y 9 bits de
información en su memoria a corto plazo. Eso significa que es difícil
recordar las contraseñas para los cada vez más servicios de qué
disfrutamos. Por eso, solemos usar palabras que nos sean comunes, como
nombres de familiares, mascotas, cumpleaños, etc. De esta forma, si
alguien quiere descubrir nuestra contraseña sólo tendrá que investigar
un poco nuestra vida, a través de los datos que hayamos desperdigado en
foros y webs donde explicamos, tan felices, que nuestro gato se llama Sam.

 Pero los delincuentes no necesitan ni tan solo investigarnos. Sólo
precisan entrar en el ordenador de nuestro proveedor de acceso a
Internet o comercio favorito, coger el fichero cifrado con las
contraseñas de todos sus usuarios y someterlo a lo que se llama un
"ataque de fuerza bruta": se pasa el fichero por un programa
"crackeador", que coteja las palabras cifradas con múltiples
diccionarios, nombres de famosos, números y símbolos, todo mezclado,
hasta descubrir que una secuencia de caracteres cifrados coincide con
una palabra.

 Los deportistas, actores, personajes de películas famosas, como las
sagas de "La Guerra de las Galaxias" o "El Señor de los Anillos" son
también palabras que frecuentemente se usan como contraseñas. Así, en
una corporación donde trabajen 10.000 personas, no será raro que alguno
sea fanático de "Gollum". Esta supuesta tontería puede ser una puerta
abierta a un intruso quien, a partir de aquí, podrá entrar en toda la
organizaicón. Las estadísticas demuestran que menos del 1% de empleados
se preocupan por que sus contraseñas sean difíciles de romper.

 Muchas corporaciones están preocupadas por este tema: obligan a cambiar
las contraseñas cada mes y ellas mismas las crean, para que sus
empleados no caigan en el error de usar contraseñas débiles. Lo que pasa
a continuación es que son tan difíciles que la gente las olvida o las
escribe en "post-its" y las deja a la vista, en su mesa de trabajo. Así,
cualquiera que pase por allí verá sin problemas la palabra de paso.

 "Contraseña" o "Password" también suelen usarse como palabras de paso.
Otro "pecadillo" común es poner el nombre de nuestra novia o la persona
que nos gusta. Cuenta el consultor Wellie Chao que, cuando estudiaba en
Harvard, un día encontró un archivo con cientos de contraseñas de sus
compañeros de clase: "Podías ver quién le gustaba quién sólo con los
nombres de sus contraseñas". La gran paradoja es que, según los
estudios, la mayoría de gente es consciente de las condiciones de
seguridad que deben tener sus contraseñas pero, simplemente, no las aplican.

  
¿CÓMO CREAR UNA CONTRASEÑA?

  
1. No uses información personal. No valen el nombre de tu mascota, de tu
madre, de tu novio, tu fecha de nacimiento, tu dirección, etc. Utiliza
información que sea fácil de recordar para tí, pero que los demás no
puedan imaginar.

 2. No uses palabras que estén en un diccionario.

 3. No uses secuencias fáciles como "123456" o repeticiones como "2222222".

 4. No pongas como contraseña tu nombre de usuario.

 5. Es mejor no poner ningúna contraseña que poner una insegura.

 6. Mezcla diferentes tipos de caracteres: números, letras mayúsculas y
minúsculas y símbolos como ( / & ? .

 7. Haz la contraseña tan larga como sea posible, 8 o más caracteres.

 8. Usa frases en vez de palabras: son más largas y difíciles de
encontrar en el diccionario: un verso, la primera frase de un libro, con
o sin espacios entre palabras. Si no se te permite una contraseña tan
larga, puedes usar la letra inicial de cada palabra. Por ejemplo, "En un
lugar de la Mancha, de cuyo nombre no quiero acordarme", daría la
contraseña: "EuldlM,dcnnqa". Añádele complejidad con números y más
símbolos o números: "ElldlM,dc8nqa%".

 9. Un truco mnemotécnico, en caso de tener muchas contraseñas, es usar
la misma raíz en todas, cambiando su uso. Por ejemplo, para el banco:
"4rtm5&banco". Para el acceso a Internet: "4rtm5&internet". También
puedes poner faltas de ortografía adrede: "4rtm&vanco".

 10. No uses la misma contraseña para todos los servicios.

 11. Cambia regularmente las contraseñas.

 12. No escribas tus contraseñas en un "post-it" y menos lo dejes en tu
mesa de trabajo. Tampoco las guardes en un documento dentro del
ordenador. Si quieres guardarlas, ponlas en una carpeta, lejos de la vista.

 13. No des tu contraseña a nadie. Ni a tu pareja.

 14. No teclees la contraseña en ordenadores de los que no controlas la
seguridad, por ejemplo en convenciones o cibercafés, cuyas redes pueden
ser monitorizadas por intrusos.

  
Fuentes: "Creating secure passwords".
http://netsecurity.about.com/cs/generalsecurity/a/aa112103b.htm
"Strong passwords: How to create and use them"
http://www.microsoft.com/athome/security/privacy/password.mspx

 ¿EN CUÁNTO TIEMPO ROMPE UN PROGRAMA "CRACKEADOR" TU CONTRASEÑA DE 6
CARACTERES?

  
* Usando un ordenador sencillo (Pentium 100)

  
6 caracteres numéricos - En un instante

 6 caracteres sólo letras - 5 minutos

 6 caracteres con letras en mayúscula y minúscula - 5 horas y media

 6 caracteres con números y letras en M y m - 16 horas

 6 caracteres con números, letras en M y m y símbolos - 9 días

  

 * Usando un ordenador rápido (un Dual PC)

  
6 caracteres numéricos - En un instante

 6 caracteres sólo letras - 30 segundos

 6 caracteres con letras en mayúscula y minúscula - 33 minutos

 6 caracteres con números y letras en M y m - 1 hora y media

 6 caracteres con números, letras en M y m y símbolos - 22 horas

  
* Usando una estación de trabajo o diversos PCs trabajando juntos

  
6 caracteres numéricos - En un instante

 6 caracteres sólo letras - 3 segundos

 6 caracteres con letras en mayúscula y minúscula - 3 minutos y cuarto

 6 caracteres con números y letras en M y m - 9 minutos y medio

 6 caracteres con números, letras en M y m y símbolos - 2 horas

 Fuente: Password Recovery Speeds.
http://www.thecrypt.co.uk/lockdown/recovery_speeds.html

  

  
MÉTODOS DE LOS CHICOS MALOS PARA ADIVINAR CONTRASEÑAS

  
DESCUBRIRLA. La propia persona se la dice a alguien, o bien el
delincuente entra en el ordenador de esa persona o de un servicio
comercial y encuentra allí su contraseña del banco.

 INFERIRLA. El intruso sabe que aquella persona siempre usa el mismo tipo
de contraseña y, cuando la cambia, cambia sólo un número: Martinez01,
Martinez02, etc. O que usa la misma contraseña para diferentes servicios.

 POR EXPOSICIÓN. Por un accidente o descuido, mostramos la contraseña a
alguien. Por ejemplo, el intruso nos está observando por la espalda
mientras tecleamos nuestra contraseña. O el profesor escribe su
contraseña en el ordenador sin darse cuenta de que todo lo que escribe
se está proyectando en la pantalla de la clase.

 ADIVINARLA. Primero se intenta adivinarla, después se pasa al "ataque de
fuerza bruta".

 ROMPERLA. Se captura la contraseña cifrada y se ataca con un programa
"crackeador".

 ESPIARLA. El intruso intercepta la comunicación por donde se está
mandando la contraseña. Los programas "sniffers" y "keyloggers" sirven
para esto. El "sniffer" espía las comunicaciones a través de la red y el
"keylogger" se instala en el ordenador y almacena lo que se teclea en el
teclado.

  
Fuente: Security Myths and Passwords
http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/

  
¿CONTRASEÑA? LEE MI MENTE

  
La función de una palabra de paso es la "autenticación": confirmar que
la persona es quien dice ser. La contraseña lo hace a partir de "algo
que sabemos". La llave de nuestra casa, a partir de "algo que tenemos" y
la huella dactilar a partir de "algo que somos". Este último tipo de
autenticación es la Biometría y consiste en el reconocimiento del iris
del ojo, la cara, la mano, la voz, etc.

 Lo último en este campo es leer la mente. Investigadores de la
Universidad Carleton, de Otawa (Canadá), están trabajando en la creación
de un aparato que lea los pensamientos de la persona para autenticar su
identidad. En concreto, usará las ondas cerebrales porque, aunque dos
personas piensen en lo mismo, los impulsos eléctricos que generan son
diferentes.

  
Fuente: "Your Thoughts are your password".
http://www.wired.com/news/technology/0,70726-0.html

  

  

 COMPRUEBA QUE TU CONTRASEÑA ES BUENA

  
Hay diversos servicios en línea que nos permiten comprobar si estamos
usando una buena palabra de paso:

 "Password Checker".
http://www.microsoft.com/athome/security/privacy/password_checker.mspx

 "Password Security".
http://www.securitystats.com/tools/password.php

  

  
¿Y SI LA OLVIDAS?

 Múltiples herramientas permiten a un usuario o usuaria que ha olvidado
su contraseña volver a recuperarla, desde la contraseña general de
Windows hasta la del programa Messenger o el acceso telefónico a redes.

 http://nirsoft.net/utils/index.html#password_utils

  

  
ESTADÍSTICAS

  
Un 35% de personas tienen contraseñas de 6,84 caracteres de media.

 Un 75% usan 3 contraseñas para todos sus servicios y cuentas

 El 60% no modifica la complejidad de su contraseña según el servicio.
Usa palabras igual de fáciles para el banco que para un chat.

 El 52% no cambian nunca sus contraseñas.

 El 85,7% utiliza letras minúsculas para sus contraseñas

 El 55% usa palabras de su entorno (nombres de hijos, mascotas, ídolos, etc)

  
Fuentes: Departamento de Psicología de la Universidad de Wichita.
"Password Security: What Users Know and What They Actually Do"
http://psychology.wichita.edu/surl/usabilitynews/81/Passwords.htm

  

  
¿Y EL PIN?

  
El 65% de personas no cambian nunca el PIN, por miedo a no recordarlo

 El 90% de mujeres olvidan su número secreto más de 4 veces al año

 El 41% de mujeres y el 27% de hombres comparten su número secreto con
sus parejas

 El 48% de hombres escogen números al azar para crear su PIN

 El 33% de mujeres usan fechas específicas para crear su PIN

 El 38% de hombres y el 28% de mujeres utilizan el mismo número para
todas sus tarjetas

  
Fuente: CPP Protección y Servicios de Asistencia.

  

  

  

 Más info:
Las contraseñas
http://maty.galeon.com/Enlaces_de_Seguridad/contrasenyas-1.htm

  

  
Copyright 2006 Mercè Molist.
-------------------------------