fbpx

CIBERSEGURIDAD

La necesidad de gestionar convenientemente las contraseñas como consejo de ciberseguridad

Tribuna
Carlos-Nunez_EDEIMA20160513_0015_1.jpg

En poco tiempo hemos pasado a utilizar ligeras evoluciones del “Santo y Seña” a lectura de huellas dactilares o identificación biométrica. En cualquier caso, el uso de contraseñas se ha integrado completamente en nuestro modo de vida. 

Habitualmente solemos salir del paso con evoluciones de “Santiago y Cierra España”, como “pepelu98”, o “123456”. 

En este artículo quiero compartir algunos trucos y herramientas para lidiar en el día a día con esta cuestión. Algunas ideas: 

1.- Usar contraseñas suficientemente complicadas.

Con solo ver esta herramienta funcionando ya podemos quedar en estado de pedir bombona de oxígeno, y de pedirle perdón al técnico que nos exige poner en Windows claves de al menos ocho caracteres, alguna mayúscula y algún símbolo. En realidad, para ponérselo difícil a sistemas basados en Rainbow Tables necesitaremos claves de al menos 8 caracteres, con algún signo de puntuación, alguna mayúscula y algún espacio. Frase a recordar: “Los espacios evitan los arcoiris”. Nota: No recordar esto en alto, ni en público, porque en el mejor de los casos nos llaman al SAMUR 🙂 

Una buena política de contraseñas necesita un buen sistema de generación de contraseñas, y un sistema igual de bueno de almacenamiento y recuperación de las mismas. Lo ideal es que ambas cosas nos las proporcione la misma solución. Podemos crearnos nuestra propia política de contraseñas, o utilizar algún programa que haga la mayoría del trabajo por nosotros. 

Personalmente me gusta especialmente pwdhash, un proyecto de la Universidad de Stanford diseñado para facilitar el uso de una sola clave en diferentes páginas web, generando un hash (cadena de caracteres) distinto para cada sitio a partir de una clave general para todas. El sistema está diseñado para usarlo con direcciones web, pero puede usarse cualquier cosa. Por ejemplo, si en “Site adress” pones “pc1”, y usas como clave “genserico”, te da como resultado este hash, “Ay1cBb3TQ6K”, que es lo que deberás usar como clave. Para usarlo puedes acceder a la web del proyecto, instalarte un plugin para Firefox, Safari o Chrome. También puedes usarlo como aplicación para Windows o Linux o incluso para Android (muy útil disponer de esto en el móvil). 

Una pega que le achacan a este sistema es qué ocurre si en alguna URL que usamos comprometen el sistema y tenemos que cambiar la clave. Tenemos dos opciones: cambiar la palabra maestra para todos nuestros accesos, o incluir alguna marca en la palabra o en el hash original para diferenciarlo (y recordarlo en cada site). En nuestro caso, podríamos usar “gensericoroto1”. 

Otra solución es utilizar un sistema de llave maestra. Un ejemplo, también GPL es KeePass Password Safe. Es una solución de estilo wallet (Billetera, gestor de contraseñas) consistente en una clave maestra que nos facilita una base de datos de contraseñas autogeneradas o especificadas por nosotros mismos. Como en el caso anterior, no hay que insistir en seleccionar una clave maestra lo suficientemente complicada. 

Por supuesto, habrá sistemas que nos exigirán cambiar la clave con una regularidad. Una técnica usual para salir del paso es utilizar estos hashes como raíz, junto con una referencia al año y mes, o al santoral; en nuestro ejemplo nos podríamos quedar con algo parecido a “Ay1cBb3TQ6Kago18”. 

2.- Vigilar el entorno de uso.

Aquí nos referimos a precauciones como nunca usar accesos por contraseña en WIFIs públicas, (a no ser que usemos protecciones estilo OpenVPN, que veremos en otra ocasión), o no poner nunca las claves por escrito en post-it o similares cerca del puesto de trabajo. Esto se amplía a no compartir contraseñas con nadie que sospechemos que puede usar estas técnicas.

¿Qué hacemos cuando tenemos que compartir la clave forzosamente con otra persona? Este dilema es muy fácil que se nos presente cuando, por necesidades de mantenimiento de servicio, o alguna circunstancia similar, tenemos que compartir la clave, para que no vengan a sacarnos de nuestra tumbona en Copacabana en caso de problemas.

Una solución puede ser añadir algún sufijo como temp o comp a la palabra maestra y darle el hash a la persona con la que tenemos que compartir la contraseña. Por supuesto, antes de esto habremos contemplado las circunstancias legales que pudieran derivarse de estas acciones, y estará recogido en los procedimientos de actuación de la entidad-empresa. 

Nos dejamos mucho en el tintero, como por ejemplo cómo podemos hacernos con un sistema de contraseñas propio utilizando sistemas clásicos de cifrado, como el de Tritemio, Vigenère, o el mismísimo Julio César.

También nos dejamos conocer algo sobre técnicas de ruptura de contraseñas, que siempre nos pueden venir bien cuando se nos olvide la contraseña y el mundo se nos vuelva en nuestra contra :-). Volveremos con estas y otras cosas a la vuelta del verano. ¡Feliz  Thermidor!