Pasar al contenido principal

Complejidad de las contraseñas

Descripción

Las contraseñas nos ayudan a mantener todos nuestros datos personales seguros. Utilizamos contraseñas para acceder a nuestro correo electrónico, usar el servicio de banca online, registrarnos en páginas para compra de productos, etc. Las contraseñas son como las llaves de nuestra casa personal en Internet. Se debe hacer todo lo posible para evitar que nadie tenga acceso a las mismas, por lo que crear y gestionar una contraseña segura es tan importante como cuidar las llaves de nuestra casa. Por todo esto resulta de vital importancia crear contraseñas fuertes y que no sean fácilmente deducibles, ya que usar contraseñas muy evidentes o dejarlas a la vista, exponen nuestra información personal. Utilizar contraseñas débiles o compartirlas con terceros puede conllevar riesgos de diversa índole: fraude financiero, robo de información, acceso no autorizado, etc.

Una contraseña débil (‘123456’, ‘abcdef’,’ aaaaa’) facilita los ataques de fuerza bruta, es decir, ataques de prueba y error que consisten en probar un gran número de combinaciones con el objetivo de dar con unas credenciales válidas. En la actualidad, existen listas de palabras definidas que contienen las contraseñas más comunes establecidas, las cuales pueden ser usadas por los atacantes para adivinar nuestras contraseñas. La automatización mediante procesos automatizados permite la prueba de miles de contraseñas por segundo. El problema se agudiza si no hay definido un límite máximo de intentos de acceso o no se utiliza un segundo factor de autenticación (2FA)

Secured Access Security safety guaranteed

Buenas prácticas en la gestión de contraseñas

1. Utilizar siempre contraseñas robustas, complejas y difíciles de adivinar por otras personas. Estas contraseñas nunca deben compartirse ni dejar a la vista de terceros.

Las recomendaciones que se deberían seguir para el uso de las contraseñas son:

  • Tener una longitud de al menos 12 caracteres; cuanto más cortas, más fáciles de descubrir.
  • Contener, idealmente, una mezcla de letras, números y otros caracteres especiales como por ejemplo * ( # @, combinando mayúsculas y minúsculas.
  • No utilizar contraseñas por defecto. Se debe evitar el uso de las contraseñas que vienen por defecto en los sistemas y aplicaciones ya que pueden ser fácilmente identificables, bien por ser comunes a muchos servicios cotidianos o bien porque muchas se pueden encontrar por Internet.
  • Cambiarlas periódicamente y no repetirlas.
  • No deberían basarse en información personal. No se deben usar nunca contraseñas como el cumpleaños de una persona, el nombre de un familiar o mascota, números de teléfono o DNI, etc.
  • No se debe reutilizar la misma contraseña en diferentes servicios/sistemas/aplicaciones. En cada uno de los servicios se deben usar contraseñas distintas. Si un atacante se hace con la contraseña de un servicio, lo primero que hará es usar esta contraseña para intentar acceder al resto de nuestros servicios.
  • No debe ser reconocida como una palabra de ningún idioma.

Cuando hemos definido una contraseña compleja, puede resultarnos difícil recordarla. Hay una técnica sencilla para recordar contraseñas complejas mientras que resulta muy difícil y complicado adivinarla para un atacante. Esta técnica consiste en pensar una frase y utilizar variaciones no predecibles de la misma. Una variación posible sería sustituir determinadas letras por un carácter especial o utilizar para nuestra contraseña la primera letra de cada palabra. Por ejemplo, la siguiente contraseña:  Ec,nc9psA. cumple con los requisitos de complejidad esperados pero a priori puede resultar difícil recordarla. En cambio, si se sigue la técnica de pensar primero en la frase “Esta contraseña, no creo que pueda ser Adivinada.”, resultará mucho más fácil recordarla.

Otra opción similar consiste en utilizar al menos 3 palabras concatenadas, preferiblemente que no existan en ningún idioma.

Otra opción para generar una contraseña compleja es emplear un generador de contraseñas, que es un programa que genera contraseñas fuertes y complejas aleatoriamente. Como se deben usar diferentes contraseñas para cada servicio, puede resultar complejo y tedioso recordar todas ellas. Existen aplicaciones que lo hacen por nosotros. Estas aplicaciones son los gestores de contraseñas, programas que guardan nuestras contraseñas y nombres de usuario a los diferentes servicios en un archivo cifrado mediante una contraseña “maestra”. De este modo, se pueden gestionar todas las cuentas de usuario desde una misma herramienta, memorizando únicamente una clave maestra. Esta clave debe ser extremadamente fuerte, ya que si un atacante se hace con nuestro archivo y consigue averiguar la contraseña maestra, tendrá acceso a la totalidad de nuestros servicios. Como ejemplo, KeePass es un gestor de contraseñas, que además es de código abierto y se puede usar de forma gratuita.

2. Almacenar contraseñas de forma segura: las contraseñas son privadas y no se deben difundir

  • No deben anotarse en papel, post-it, cuadernos u hojas que estén a la vista y sean accesibles.
  • Cuando las credenciales ya no sean necesarias, se deben dar de baja
  • Cuando nos proporcionan una contraseña es únicamente para nosotros. Si una tercera persona nos pregunta por una contraseña le tenemos que responder que se la proporcione el administrador del servicio al que quiere acceder.
  • No deben almacenarse las credenciales en claro, es decir, sin cifrar
  • Almacenar contraseñas en navegadores no es la opción más segura, ya que en caso de compromiso del sistema pueden verse comprometidas (opción, ‘recordar contraseña’)

3. Comunicar credenciales de forma segura

  • No se deberían de enviar credenciales mediante sistemas de comunicación que no garanticen la autenticidad y confidencialidad de las comunicaciones
  • Si necesita enviar las credenciales por correo electrónico, debe usar un software que permita el cifrado de las mismas antes del envío.
  • Aunque se lo pidan, nunca debe dar sus credenciales por teléfono

4. Renovar periódicamente y emplear diferentes contraseñas

  • Una contraseña puede quedar expuesta en caso de filtraciones o compromisos de sistemas o servicios. Por lo tanto, es recomendable que periódicamente modifiquemos las contraseñas de nuestros servicios y no reutilizar viejas contraseñas.
  • Siempre que haya sospecha de pérdida de credenciales (por ejemplo, por virus u otro malware en el sistema), se deben renovar rápidamente las mismas.
  • Nunca deben compartirse credenciales de acceso.

5. Utilizar doble factor de autenticación

Se trata de una medida de seguridad muy eficaz que añade un nivel adicional de seguridad al proceso de autenticación. Además de solicitar una contraseña para acceder a un servicio (algo que sabemos), pide asímismo un segundo factor de autenticación (algo que tenemos o somos). Este segundo factor es frecuentemente:

  • Un código enviado el teléfono
  • Una tarjeta de coordenadas
  • Un código aleatorio generado por un token, un dispositivo externo o una aplicación (Google Authenticator, Microsoft Authenticator, Authy, etc.).
  • Una huella dactilar
  • Etc.

Los sistemas de doble factor de autenticación, son mucho más seguros que aquellos que solo solicitan una contraseña de acceso ya que, si un atacante logra hacerse con nuestra contraseña, no podrá acceder al servicio ya que no cuenta con el segundo factor de autenticación.

Aunque siempre sería apropiado activarlo, es conveniente adoptarlo al menos para los servicios con los que interactuamos con más frecuencia o que contienen datos más importantes (por ejemplo, gestión de la banca online, de e-commerce, administración de sistemas, servicio de correo eletrónico, etc.) . Muchos de estos servicios (Facebook, Dropbox, Twitter, Gmail, Amazon, etc.) incluyen el doble factor de autenticación de foma gratuita, sólo debemos consultar en sus páginas para saber cómo activarlo. Otros en cambio, ya lo tienen activado. Por ejemplo, hoy en día todos los servicios de banca online solicitarán además de la contraseña, un segundo factor de autenticación.

Enlaces de interés

https://www.ncsc.gov.uk/collection/passwords/updating-your-approach

https://support.microsoft.com/es-es/windows/crear-y-usar-contrase%C3%B1as-seguras-c5cebb49-8c53-4f5e-2bc4-fe357ca048eb

https://www.ncsc.gov.uk/collection/passwords/updating-your-approach

https://www.incibe.es/protege-tu-empresa/blog/dos-mejor-uno-doble-factor-acceder-servicios-criticos

https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/contrasenas.pdf

Compartir

Compartir en Linkedin