Contraseñas fuertes, pero fáciles de recordar

21, mayo, 2007

Como si fuera una segunda parte del post anterior, Ariel Torres en LA NACIÓN, en otro buen artículo nos da algunas opciones sobre la dificultad de recordar contraseñas seguras.

En general creemos que la única alternativa para claves como 123456 o qwerty (ambas son débiles y no hay que usarlas), pero algo más robusto pero imposible de memorizar, es Hk7%&nM0. Lo que nos conduce a menudo a la práctica –disparatada pero comprensible– de anotarlas para no estancarnos en las sinapsis neuronales tratando de recordarlas.

La verdad es que hay soluciones más humanas. Las contraseñas aceptables como la que se ve en el párrafo anterior funcionan porque combinan una gran variedad de elementos (mayúsculas, minúsculas, símbolos, dígitos). Por ejemplo, con dos caracteres (A y B) sólo se pueden crear dos combinaciones: AB y BA. Basta añadir un tercero (C) para elevar este número a seis (ABC, ACB, BAC, BCA, CAB, CBA). Como para las computadoras la “A” es diferente de la “a”, al usar mayúsculas y minúsculas aumentamos el número de combinaciones posibles a una friolera de 71 ceros.

Sin embargo, la extensión de la contraseña es vital. Por ejemplo, ¿cuántas claves de cuatro caracteres se pueden armar con minúsculas y mayúsculas? Algo menos de medio millón. Por eso, un software para averiguar contraseñas la sacará en un pestañeo.

¿Por qué no aprovechar la extensión de la contraseña? Al aumentar la cantidad de elementos variables en una contraseña, aumentamos su entropía . Con cinco minúsculas, uno de los programas que probé descubrió la clave en un segundo. Con una clave de 10 minúsculas, el programa estimó que tardaría 28 años. En el primer caso, sólo tendría que calcular 11 millones de combinaciones; en el segundo, 141 billones.

Recordar una clave de 60 caracteres parece imposible. Sin embargo, lo hacemos constantemente. Observe: En un lugar de la Mancha, de cuyo nombre no quiero acordarme , tiene 61 caracteres (minúsculas, mayúsculas, espacios y comas), pero como es el principio de El Quijote resulta fácil de recordar. Es, a la vez, lo suficientemente robusta para resistir los ataques de fuerza bruta, es decir los que van probando todas las combinaciones hasta dar con la correcta.

Es verdad que una clave de 256 caracteres al azar sería mejor, pero las frases de libros (por favor, no use su frase de cabecera o la que tiene en el Messenger ) sirven mucho mejor que el 123456 que, dicho sea de paso, se puede quebrar en 2,1 segundos. Acá hay un buen sitio donde verificar la fortaleza de las contraseñas, aunque yo evitaría probar con las claves reales: http://rumkin.com/tools/password/passchk.php

Luego nos da a conocer un método “de la época de Julio César”, pero muy interesante. Práctico, sobre todo.

En lugar de usar frases, podéis tomar la primera letra de cada palabra de un párrafo en un libro. El libro, de hecho, puede estar sobre tu escritorio o lo podéis llevar encima. Como nadie sabe qué párrafo elegiste para crear tu contraseña, es como llevar la clave anotada en un papel y al mismo tiempo se encuentra totalmente a salvo,” dice Suárez.

Allí donde las passphrases no sean aceptadas, puede usarse la primera letra de cada palabra de una oración. La de Cervantes se convertiría en Euldlmdcnnqa . esto es mejor que 123456 o qwerty . “No son lo más seguro del mundo, pero son preferibles a las claves débiles. Eso sí, yo evitaría los símbolos. Puede haber problemas con algunos teclados.” Buen dato.


Contraseñas que complican la existencia

21, mayo, 2007

En este blog se ha insistido mucho con la seguridad de las contraseñas… y es que para todo hay una clave. En LA NACIÓN Evangelina Himitian, comenta el problema de las contraseñas en un buen artículo.

Cuando nos advierte un aviso en el ordenador que la clave para entrar en un determinado servicio ha caducado. Nos piden el cambiarla y nos demandan “originalidad”. Que incluyera mayúsculas, signos y números y que tuviera ocho caracteres. Que no respondiera a ninguna lógica deducible por un hacker y que, por supuesto, no la anotara junto al monitor.

Hoy, una persona que trabaja con una computadora, maneja cuentas bancarias y tiene un correo electrónico debe recordar unas seis contraseñas, según la consultora Prince & Cooke.

caricatura

Caricatura de Huadi, publicada en LA NACION

El hombre clave Un hombre de negocios o un gerente acumula en su cabeza entre 14 y 15 claves para acceder a los distintos sistemas que tiene a cargo“, afirma Pablo Tedesco, director asociado de la consultora, que se especializa en consumo tecnológico. Y detalla: “La clave para acceder al sistema operativo de su oficina; otra para loguearse en el mail y para el sistema de mensajes instantáneos. Además, algunos teléfonos demandan claves para hacer llamadas externas o para acceder a los mensajes. Otra, para operar las cuentas bancarias por Internet, que es distinta para los cajeros automáticos e incluso para realizar transacciones bancarias. A esto hay que sumarle, por ejemplo el web mail o las páginas de Internet de las que se sea usuario, además de la clave de la alarma“.

Vivimos en la era de la informatización, en que los sistemas no reconocen personas, sino claves. Y cada individuo ya no es “sólo un número“, sino varios “códigos alfanuméricos“. Uno de los grandes temores es olvidarse de una de las contraseñas y quedar bloqueado.

Es normal que a la vuelta de unas vacaciones por haber desconectado del trabajo, uno ya no se acuerda ni de la clave para acceder al sistema. Por una parte es bueno, por que indica que nos hemos relajado, pero por otra se produce un problema a la vuelta de dichas vacaciones.

Es muy típico que la gente olvide sus contraseñas cuando vuelve de vacaciones o cuando está con muchas cosas en la cabeza. En el verano, nos pasa todo el tiempo“, dice Sebastián Díaz, que trabaja en el área de sistemas de una empresa de telecomunicaciones en Palermo.

El problema que se está dando ahora con la proliferación de contraseñas es que la tecnología complica el quehacer de las personas. Esto ocurre porque no hay una política de administración de seguridad en operaciones informáticas, más allá de la política de password “, explica Javier Isasa, presidente de la Asociación de Seguridad de la Información (Asira), una ONG miembro de la Sociedad de la Información de la Unión Europea.

Isasa relata que un estudio que se está realizando sobre el tema en la Sociedad de la Información da cuenta de que, pese a las recomendaciones que se hacen acerca de cómo debe ser una contraseña segura, más del 50% de la gente elige passwords “tontos”, es decir, que se conjeturan fácilmente: esto es, 12345678, su nombre completo, la fecha de su nacimiento o la patente del auto, o cualquier otro dato personal.

La gente es muy descuidada en la validación de sus cuentas. En los sistemas de las empresas aparecen fallas con mucha frecuencia porque casi la mitad de las personas anotan las contraseñas junto al monitor o en el escritorio“, dice Isasa.

Lo que ocurre es que cuando la tecnología complica la labor diaria, la persona elige claves tontas porque no quiere ser presa del sistema o quedarse bloqueada“, agrega.

Para que una clave sea segura, debe ser compleja“, dicen los especialistas. “Algunos recomiendan elegir una frase clave, mucho más difícil de adivinar o espiar por encima del hombro“, apunta Gustavo Tanus, abogado especialista en protección de datos personales.

Pero, lamentablemente, la mejor clave, la más compleja y arbitraria, es también la más fácil de olvidar.

En el futuro, pasaremos a otro tipo de validación que no sea la acumulación de claves. En el mercado ya existen computadoras con lector de huellas digitales, pero de todas maneras siguen usando un sistema combinado de contraseñas. Es probable que en el futuro pasemos a métodos binómicos, como el escáner de iris. Pero por el momento, seguiremos acumulando contraseñas“, dice Tedesco.

Información útil

  • ¿Cuánto tarda un hacker? Los expertos en seguridad informática señalan que un hacker con un software especial tarda menos de un minuto y medio para descifrar una contraseña de cuatro caracteres alfanuméricos y 46 segundos si son sólo letras minúsculas.
  • Claves de ocho dígitos. En cambio, demorará más de 200 años para descifrarla si tiene ocho caracteres alfanuméricos. Y dos días y medio si la clave tiene sólo ocho letras minúsculas.
  • El 50% anota sus claves Una de las mayores amenazas para la seguridad informática constituye el hecho de que el 50% de las personas anota sus contraseñas para poder recordarlas.
  • El sueño del hacker. Si se coloca “contraseña” en el buscador Google, casi la mitad de los sitios remiten a estrategias para violar claves de correo. Otros tantos, preguntan, ¿olvidó su contraseña?

Las claves más elegidas

  • Las contraseñas más elegidas son las más tontas, según publicó en mayo la revista PC Magazine . Las 10 claves más elegidas por usuarios de Internet en el Reino Unido son éstas: “password” (contraseña , en inglés). Seguida por “123456” y después, “qwerty”, la primera línea de seis letras que aparece en el teclado, de izquierda a derecha. Cuarta fue “abc123”. La quinta, “letmein”. Let me in (déjame entrar). Le siguen “monkey” (mono), “myspace1” (mi espacio 1 ), “password1” (contraseña1), “blink182” (nombre de una popular banda pop norteamericana) y, finalmente, el nombre del usuario.

La mejor contraseña para evitar intrusos

16, mayo, 2007

password1.jpgEnrique Gallud Jardiel escribe en 20MINUTOS, sobre la conveniencia de utiliza todas tus armas defensivas en la Red para proteger tu intimidad virtual. Tus claves deben ser solamente tuyas.

Las contraseñas que se emplean para autentificar un usuario sólo proporcionan un nivel muy básico de protección. Es un mecanismo débil, debido a que los usuarios que no dominamos los secretos de la informática no siempre elegimos las contraseñas adecuadas.

Hay programas muy sofisticados, rápidos y efectivos para romper contraseñas, llamados password crackers, basados en distintos sistemas combinatorios; pero nosotros no debemos morir sin presentar batalla.

Pónselo difícil

  • Fuera del diccionario: Hay sistemas de desciframiento basados en los diccionarios, por ello elegir como contraseña una palabra que esté en el diccionario no es una buena idea, aunque el término sea muy raro o esté en otro idioma. Por la misma razón, una palabra que empiece por las letras x ó z tiene menos posibilidades de descubrirse, porque esos programas funcionan alfabéticamente. Evita combinaciones que empiecen por las primeras letras.
  • Datos desconocidos: Es posible que la persona que quiere entrar en nuestros archivos nos conozca, por lo que el nombre de nuestra pareja o padre es una mala opción. Lo mismo pasa con las fechas de cumpleaños o nombres de mascotas. Si el atacante sabe que nos gusta Harry Potter, probará cualquier palabra asociada a él.
  • Pregunta relacionada: Si olvidas tu contraseña, en algunos lugares te la envían tras responder a una pregunta relacionada que tú mismo has elegido previamente. Es mejor no usar nunca esta opción. Si tienes una pregunta muy fácil (¿cuál es mi libro preferido? ¿En qué lugar veraneo?), la cadena de seguridad se rompe por ahí, porque quizá en algún lugar de tu página web hayas incluido esa información.
  • Tamaño: Una buena contraseña debe tener al menos seis caracteres. Lo ideal es usar el número máximo de caracteres que se nos permita en cada caso. El tamaño sí importa, porque cuantos más caracteres haya, más difícil es reventar la contraseña.
  • Complejidad: Lo mismo puede decirse de su grado de dificultad. Muchos ataques sólo combinan letras y números y no son eficaces contra combinaciones raras de signos. Es muy eficaz utilizar @, $, &, #, !, etc., en medio de nuestra contraseña.

Crea una difícil de descubrir

Elige una frase que te guste (UN TRISTE TIGRE, por ejemplo); elimina los espacios (UNTRISTETIGRE); sustituye letras por números o signos que recuerdes, por ejemplo: la E por un 3, la I por un 1, la T por # (UN#R1S#3#1GR3). Usa los primeros ocho o diez caracteres –todos los que puedas– y tendrás una contraseña excelente y muy segura.

No olvides cambiarla con regularidad.


Las diez contraseñas más usadas en la red

28, abril, 2007

En 20MINUTOS, Borja Ventura nos comenta sobre el problema de las contraseñas y nos da una lista con las diez contraseñas más usadas en la red

Los internautas no tenemos demasiado cuidado en la eleccion de nuestras contraseñas; es lo que se extrae de lo que publica Steve Johnson en Chicago Tribune, un listado de las diez claves de acceso más comunes en la red que deja mucho que desear en cuanto a seguridad se refiere.

Con contraseñas como “password“, “123456“, “qwerty” o “abc123“, muchos “piratas” informáticos deben estar encantados de poder acceder a cuentas de correo, páginas privadas y contenidos poco protegidos; y esta lista es sólo un extracto de lo que publicará en mayo la revista PC Magazine.

El “top ten” de la imprudencia

  1. password
  2. 123456
  3. qwerty
  4. abc123
  5. letmein
  6. monkey
  7. myspace1
  8. password1
  9. blink182
  10. (tu nombre)

Ese artículo continuará los datos ofrecidos por la publicación germana Heise en 2006 sobre las contraseñas más utilizadas que, además de las mencionadas anteriormente y variables igualmente poco imaginativas, incluía otros recursos comunes en la red.

Desde One Man’s Blog lanzan una advertencia en este sentido: averiguar la contraseña de alguien es muy sencillo: contraseñas poco imaginativas o fechas de cumpleaños, nombres de hijos, mascotas o padres y demás no suponen un freno para quienes se dedican a romper la seguridad de los usuarios.¿Cuánto cuesta descifrar su clave?

Hasta ponen ejemplo: por una contraseña aleatoria de seis carácteres se tardan unos cinco minutos en dar con la clave; si se combinan las mayúsculas y las minúsculas se amplía el tiempo a más de ocho días.

Si además suele utilizar las contraseñas para varios sitios, puede tener un serio problema; pero no se apure, en la propia red se pueden obtener gestores de contraseñas mucho más seguros, y otros consejos que le ayudarán a mantener a buen recaudo su privacidad.


En busca de una acertada gestión de contraseñas

28, febrero, 2007

Ante la confusión de tantos nombres de usuario y claves de acceso, la industria empieza a trabajar para buscar soluciones seguras de gestión de contraseñas. ¿Cuántas contraseñas utiliza en un día normal? En el trabajo una o dos, seguramente. Para el correo electrónico, al menos otra. La alarma de casa, el código de la tarjeta de crédito (más las claves para operar por Internet con su cuenta corriente), el PIN del móvil…

Sin olvidar las claves para servicios como Technorati, Del.icio.us o la cuenta en Flickr. Y por supuesto, no son sólo las contraseñas, porque cada uno de esos formularios requiere un nombre de usuario. Es más de lo que una sola persona puede recordar.

Son muchas las organizaciones que empiezan a desarrollar lo que se conoce como sistemas de gestión de identidad: agregadores de contraseñas que permitan a los usuarios utilizar un solo nombre y clave para todas sus actividades en la Red.

Entre estos proyectos destacan Cardspace, desarrollado por Microsoft, y OpenID, el formato adoptado por AOL. Aunque funcionan de forma distinta, ambos tienen el mismo objetivo: reducir la complejidad para el usuario y asegurar la seguridad de las transacciones.

Según Ben Laurie, un experto independiente en criptografía, Cardspace es por ahora más seguro que OpenID, ya que solicita más información sobre el usuario y además usa criptografía. Los desarrolladores de OpenID responden que su objetivo era más bien crear los estándares para la autentificación de webs.

En cualquier caso, y al margen del sistema que termine por triunfar, “la ventaja para los usuarios está clara“, explica Laurie. “Te registras una sola vez y no tienes que dar una y otra vez información como la dirección o el código postal en diferentes sitios, lo que, asumiendo que la seguridad de los sistemas es buena, evita el phishing“, concluye.

Visto en: BAQUÍA


Usuario y contraseña en la Web

6, febrero, 2007

En ocasiones, cuando en una web vamos a escribir el nombre de usuario en la casilla de turno y empleamos la opción de autocompletar, vemos que también se pone la contraseña sola en el campo correspondiente.

cuadro de dialogo

Pues bien, si queremos que no vuelva a quedar constancia de estos datos, debemos seleccionar el nombre (ya completo) que se ofrece justo bajo la casilla en la que se está escribiendo y presionar la tecla Supr, con lo cual se borrará ese registro.

No parece haber otra forma sencilla de borrar contraseñas selectivamente.No obstante, en la ruta Herramientas/Opciones de Internet/Contenido, se pueden borrar todas de golpe.

Otra forma de eliminar esta información es acudir al Registro del sistema y borrar el contenido de la carpeta SPW ubicada en HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/IntelliForms.

Visto en: PCActual


Cuidado con las contraseñas

31, enero, 2007

Hoy en día empleamos contraseñas para cientos de cosas en Internet o en el ordenador. Parece que no tienen importancia pero en la mayoría de las ocasiones tiene mucha más de la que te imaginas. Con la contraseña de tu cuenta de correo electrónico se podrían hacer muchísimas cosas, por ejemplo… pueden “hacerse pasar” por tí al tener tu cuenta de correo.Por ejemplo, si has comprado alguna vez alguna producto en Amazon, eBay o cualquier tienda y has pagado con tarjeta, con algo de labia (o incluso sin ella en muchos comercios) podrían preguntar amablemente por la tarjeta de crédito usada, obteniendo respuesta de ello en tu cuenta de correo, la cual, si saben la clave… pues…

En fin, que es lógico y claro, que las claves son muy importantes. Así que dentro de esta premisa voy a aconsejar desde aquí en base a un artículo que he leído que no pongáis claves fáciles. Una clave fácil es “árbol”, “casa”, “benjamín”, “auriculares”… es decir, cualquier palabra sencilla contenida en un diccionario. También son fáciles cosas como “mario82?, “1975maria”, o “245531542?.

Expliquemos el por qué

Usando un juego de 10 caracteres numéricos (0123456789), una clave de 9 dígitos, con un ordenador normalito (siempre pondremos ejemplos con ordenadores “de casa”) se puede sacar en base a programas que generan combinaciones y prueban la clave, en unos 15 minutos.

Si usamos un juego de 26 caracteres para nuestra clave de texto (abcdefghijklmnopqrstuvwxyz), y creando una clave 7 caracteres que es la media usada, la clave la obtendríamos en poco más de 2 horas. Si en lugar de eso usamos 52 (mayúsculas y minúsculas unidas), la misma clave podría darse en unos 12 días.

Si además de 52 caracteres de letras metemos los numéricos de antes, la misma clave tardaría 42 días, y si ademas metemos símbolos de por medio, podría tardar hasta 2 años y medio.

Todos estos ejemplos con un ordenador de casa, normalito. Tomando el último ejemplo, es decir, creando una clave de 7 caracteres con un juego de 96 caracteres (letras mayúsculas, minúsculas, números y símbolos del teclado), incluso un superordenador de esos que ocupan una pared entera, tardaría hasta medio año en descifrarla sacando combinaciones.

Conclusión

Por favor, no pongais claves que sólo contengan números o letras, para programas descargables por Internet al alcance de cualquier persona, son apenas minutos lo que hacen falta para descifrarlas. Usad claves complejas con números, letras y símbolos, por ejemplo, si quieres usar la palabra árbol (porque te gustan mucho los árboles o por cualquier motivo), puedes usar claves como ArB0l (en lugar de una “o” es un cero), o también ar(BOL)… en fin, muchas más que un simple arbolillo.