Todos tenemos más de una contraseña en nuestra cabeza.

Desde el PIN del teléfono móvil hasta la clave para acceder a nuestra cuenta de correo. ¿Sabemos elegirlas bien? Quizás repasando los errores más comunes, podamos intentar no caer en ellos, y evitar así que nuestros secretos sean desvelados.

Los problemas más comunes que presentan las contraseñas son:

Contraseñas débiles
Es la forma clásica y rápida en la que se compromete la seguridad de los sistemas. Todos podemos tener cierta idea de la contraseña que una persona pondría a su correo, bien conociéndola personalmente, obteniendo más información sobre ella (datos fácilmente accesibles como la fecha de nacimiento o el número de teléfono) o investigando la empresa en la que trabaja. Las contraseñas débiles incluyen:

Contraseñas nulas: La comodidad puede a la razón en muchos casos. Resulta cómodo no recordar una contraseña y pulsar “enter” cuando vemos la pantalla de confirmación. No hay que explicar mucho más sobre el peligro que representa estas ganas de ahorrar memoria.

Contraseñas fácilmente adivinables: Para hacerse una idea, de un reciente estudio realizado por CentralNic, se dedujeron los siguientes porcentajes:

- Nombres de familiares: Casi la mitad de las personas estudiadas, elegían como contraseña el nombre de algún familiar o pareja. O en el caso de las parejas, el nombre acompañado de algún número que represente algo especial para ellos.

- Fans: Un tercio del universo estudiado usaba nombres de ídolos del momento (curioso observar cómo en pocas ocasiones eran ídolos de todos los tiempos) como contraseña. Estrellas del deporte, de la canción, de la televisión… etc.

- Combinaciones: Un 10% aproximadamente usaba combinaciones tipo de letras o números. (Ej: 12345, abcde…) o conocidos patrones de teclado (asdf, qwer….).

- Crípticas: Sobre el 9% usaba contraseñas complejas, específicamente elegidas para asegurar los sistemas. En estos casos, al hacer un estudio más profundo, se concluyó que estas personas, usaban la misma clave para todas sus aplicaciones (correo, sistema operativo, VNC… etc.). lo que pone en riesgo todos esos sistemas una vez esté comprometido uno de ellos y debilita la seguridad conseguida con una contraseña compleja.

Otras veces se piensa que poner el mismo login pero al revés resulta lo suficientemente enrevesado para servir de contraseña. Pues bien, esto es la tercera o cuarta posibilidad en la que piensa un hacker a la hora de intentar adivinar una clave. Hay que tener en cuenta que, si ya alguien más ha pensado en esa posibilidad, la técnica queda inmediatamente invalidada. Las contraseñas deben tener la capacidad de haber sido imaginadas exclusivamente por la persona que las va a usar… hay que invalidar la posibilidad de que a alguien se le ocurra lo mismo.

Ataques por diccionario
Casi todos los sistemas basados en claves son susceptibles a los ataques por diccionario. Se pueden llegar a probar miles de contraseñas por segundo, tomándolas de cientos de diccionarios automatizados que existen en la Red (en todos los idiomas o por temas). Las herramientas para realizar este ataque, en teoría, sirven a los administradores para saber si en su red interna alguien está usando claves débiles, pero, como es natural, esto aumenta las posibilidades de usarlas con objetivos no tan lícitos.
 
Contraseñas por defecto
Cientos de paquetes software o dispositivos vienen con alguna contraseña por defecto que el administrador olvida cambiar una vez instalado o configurado. Es especialmente popular el caso de 3Com, con sus routers y sistemas de red. Todos usan la misma contraseña por defecto, por lo que sólo habría que detectar a los que pertenecen a administradores “despistados” que olvidaron cambiarla.

Almacenamiento inadecuado
Tan importante resulta pensar en una buena contraseña usando todos los símbolos extraños que se nos ocurran como almacenarla correctamente. Y el lugar más adecuado para almacenar una clave es la memoria, pero la humana, no la de la máquina. Recordarla, esa es la solución. Escribirla es un error, pues los papeles tienden a volar o a acabar en papeleras. Precisamente cuando se ha elegido una buena contraseña es cuando más se tiende a escribirla en algún lugar, invalidando así el buen trabajo eligiendo la clave.

Pero no sólo los usuarios son los culpables o los despistados. Muchos programas software ofrecen la posibilidad de recordar las contraseñas, ofreciendo así un cómodo servicio al usuario. Claramente, esa palabra queda en algún lugar de la memoria física del ordenador… averiguar dónde y cómo no es tan complicado. A veces se guardan en texto plano (la clave tal cual, legible por un ser humano) o se usa una base de cifrado débil de dominio público.

Las primeras versiones del navegador Netscape, guardaba las claves de correo en los archivos pregs.js encubiertas con un simple cifrado Base64. Aunque estuvieran cifradas, Base64 no es un sistema de cifrado real (irreversible) sino de codificación (reversible y público). Otro ejemplo son las primeras versiones del servidor Caesar FTP, que guardaba las contraseñas directamente en texto plano. Las antiguas versiones del sistema operativo Unix, guardaban las contraseñas cifradas en un archivo visible por todo el mundo, /etc/passwd, que se mejoró con la técnica “password shadowing”, que consiste en guardar la contraseña en otro archivo legible sólo por el administrador “root”.

Contraseñas “esnifables”
Muchos protocolos usados hoy en día no fueron diseñados con la seguridad en mente. Telnet y FTP transmiten las contraseñas a través de la red en texto plano. Otros, como el HTTP emplean un cifrado pobre para mandar claves. Los atacantes pueden fácilmente “escuchar” en algún punto del camino intermedio y robar las claves que viajen sin ser cifradas. Existen herramientas que automáticamente excluyen del caudal de red todo aquél login y contraseña que encuentran. Si se dejara funcionando durante días en cualquier sistema con algunas máquinas, la cantidad de contraseñas encontrada sería importante.

Si la importancia de los datos merece la inversión, sería interesante instalar dispositivos de contraseñas de un solo uso o sistemas biométricos. Las contraseñas son, en cierta manera, algo del pasado.

(1 votos, promedio: 4 de 5)

 Cargando ...

Compártelo

...por Sergio de los Santos

Bulos en Internet: O la magia de la ingenuidad »
Decálogo del navegante: Diez ideas para mantener la seguridad »

Escribe y Enter