Publicado el Deja un comentario

Gestión de contraseñas

Para todo hay contraseña, tantas contraseñas que a veces se olvidan o solo el hecho de ingresarlas ya supone una pérdida de tiempo, peor aún cuando no se atina y luego de intentos se bloquea saltando el mecanismo de seguridad.

Varios expertos de renombre, por ejemplo, en España Chema Alonso o en Costa Rica Randall Barnet han insistido en que las contraseñas no tienen mucha utilidad y están “obsoletas”.
Desde hace años se ha variado el esquema de ataques a servicios que requieren contraseña, ya no se utilizan tanto los ataques de fuerza bruta (a batear la contraseña o ingresarla hasta hacer coincidir con algún programa) porque son ineficientes y en todo caso son altanamente detectados por los sistemas de seguridad de los mismos servicios en web.

Por otro lado, si la contraseña es corta o larga, si es complicadísima o no, tampoco es relevante, dado que los mecanismos más frecuentes de explotar la vulnerabilidad implícita en las contraseñas (solo el hecho de existir y que un ser humano la tenga que saber, ya es vulnerable) son: que alguien ilegítimamente tenga acceso a la contraseña, por ejemplo encontrando el papel donde está la clave escrita o escuchándola por algún medio sin que el usuario de la contraseña lo sepa, otro caso es mediante man-in-the-middle, sniffers de tráfico de red y similares, donde se captura la contraseña sea larga o no y luego están las capturas por spoof, donde se hace que el usuario ingrese la clave en una imitación de la interfaz real y listo, se le robó la clave.
Consejos puntuales a la hora de crear la contraseña:
Que la contraseña cumpla con los estándares que pide el servicio, si es cierto que un símbolo puede aportarle más fortaleza a la clave, pero no es necesario abusar de estos símbolos.
No difundir la contraseña, ni exponerla.
Que no sea una clave obvia o fácil de adivinar.
No repetir las contraseñas para los diferentes servicios.
No es tan importante cambiarlas de forma periódica, es decir, está bien, siempre y cuando no se olvide la nueva clave, pero más importante que eso: hay que manejar los incidentes y si la contraseña fue comprometida, hay que buscar el origen de ese fallo.
Usar factores de verificación (segundos factores de verificación).
Tener mecanismos de recuperación de contraseñas.
No difundir tokens, matrices como claves dinámicas o similares, códigos QR, ni similares, jamás claves privadas (respecto a las públicas).
Verificar la validez y legitimidad de los dispositivos e interfaces donde se ingresan las contraseñas.
Tener buena configuración de privacidad, para que no se filtre el número de teléfono o el correo, que técnicamente es la parte pública del ingreso, pero no hace falta que alguien más lo sepa.
Usar teclados virtuales puede ser de utilidad.
No copiar / pegar claves, pudiendo quedar estas en el portapapeles lista que alguien la pegue y la descubra.
No compartir la clave.
Ver que se está escribiendo en el espacio correcto y que los caracteres son protegidos (típicos •••).

Los retos en estos temas están en mejorar la verificación en varios factores, implementar la biometría, la educación a usuarios y no olvidar las contraseñas (existen programas gestores y llaves maestras, pero ese sería otro tema).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *