Guía para crear buenas contraseñas.

Por ello. cada vez es más frecuente tener que utilizar contraseñas y cuentas de usuario para acceder a los diversos sistemas que utilizamos. Consecuentemente tendemos a utilizar patrones de contraseñas, claves comunes, passwords sencillas para facilitarnos el trasiego de tener que recordarlas todas.

Esta guía pretende aportar consejos sobre el establecimiento de contraseñas seguras, gestores de contraseñas que ayuden al usuario a recordar cada una de ellas y "rompedores" de contraseñas para verificar si la password que estamos utilizando es realmente segura.

Como apunte debemos tener en cuenta que existen una serie de software y webs capaces de determinar si la contraseña elegida es lo suficientemente segura o no. La proliferación de diversos tipos en el mercado permite que podemos encontrar en Internet bastantes comprobadores de contraseñas, aunque estos podrían guardar tu contraseña en una base de datos así que mejor no utilizarlos.

ALCANCE DE LA GUÍA PARA CREAR BUENAS CONTRASEÑAS.

Esta guía identifica las competencias básicas necesarias para el manejo y el establecimiento de contraseñas (passwords) robustas y seguras. Se aplica a dos niveles:

• Nivel uno: para administrador de sistemas(sistema de verificación de contraseñas).
• Nivel dos: para usuarios

Las diferentes opciones que se proponen no diferencian entre las habilidades de los usuarios, es decir que cualquiera de ellos podría utilizarlas.

La guía que se propone a continuación intenta abordar una de las principales cuestiones de Ciberseguridad. De este modo no garantiza la seguridad del usuario de modo inequívoco, por lo que dependerá de él adoptar prácticas de seguridad complementarias al establecimiento de buenas passwords.

Puedes descargarla en el siguiente enlace:

SIGNIFICADO Y USO.

Las contraseñas son el medio de acceso a cualquier sistema, se utilizan como mecanismo de autentificación tanto personal como laboral. Por lo que una contraseña insegura podría traducirse como una puerta abierta al compromiso de datos sensibles y personales.

Esta guía proporciona un resumen de las competencias y habilidades necesarias para poder determinar el uso de una contraseña segura.

Las competencias básicas que se requieren para el desarrollo de la misma no son técnicas o elaboradas para los usuarios pero sí requieren de cierto compromiso de los administradores de sistemas ( sistema de verificación de contraseñas), gestores de contraseñas y "rompedores" de estas.

RESUMEN DE LAS COMPETENCIAS BÁSICAS REQUERIDAS.

El primer requerimiento que necesitamos es que sean contraseñas difícilmente vulnerables.

El segundo requerimiento es conocer ciertas cuestiones previas:

• Contraseñas fáciles de recordar e introducir, aunque a su vez deben ser difíciles de adivinar.
• La contraseña no debe guardar relación el usuario, por ejemplo: fecha de nacimiento, lugar favorito, etc.
• Utilización de contraseñas con una cantidad de caracteres aceptables.
• Los caracteres deben ser una mezcla de diversos tipos: alfanuméricos, mayúsculas-minúsculas, números y símbolos de puntuación.
• La dificultad de esto es la dificultad en su recordatorio, pero existen gestores de contraseñas para facilitar este proceso.
• Apuntar las contraseñas en un bloc o en un documento informático no es una buena opción, puesto que si el archivo es robado se podrá tener acceso directo a diferentes cuentas.
• Utilizar gestores de contraseñas como sustito podría ser una solución fiable.
• Comprobar mediante passwords cracker la seguridad de la contraseña elegida.

COMPETENCIAS PARA EL ADMINISTRADOR DEL SISTEMA (SISTEMA DE VERIFICACIÓN DE CONTRASEÑAS).

El sistema de verificación de contraseñas consiste en la autenticación de la contraseña a la hora de escribirla en un sistema o de autentificarla.

A continuación se pretende resumir las características de un buen sistema de verificación de contraseñas.

• Debe permitir el reconocimiento de contraseñas de cualquier longitud.
• No debe ofrecer al usuario mecanismos para recordar la contraseña como: el nombre de tu mascota es...., tu comida favorita es...., el lugar de preferencia de tu padre es...
• El sistema de verificación de contraseñas debe filtrar y rechazar la contraseña elegida en base a una serie de requerimientos.
  Si está muy o muy poco usada.
  Los caracteres son secuenciales.
  Si contiene palabras relacionadas con el contexto. Por ejemplo, en este caso, la palabra Guía.
• Limitar el número de intentos sin éxito a la hora de introducir la contraseña en el sistema.
• Facilitar la coordinación con gestores de contraseña.
• Ocultar la contraseña por defecto.
• El sistema no debería memorizar la contraseña, pero en el caso en el que lo haga (que es la práctica más común) debe hacerlo de forma segura.
• Anular las contraseñas con demasiada antigüedad.

COMPETENCIAS PARA USUARIOS.

En el caso de que el usuario genere la contraseña debe cumplir con una serie de requisitos mínimos:

• Utilización de contraseñas con una cantidad de caracteres mínimos de 8, pero a mayor número de caracteres más seguras serán.
• Utilizar una serie de palabras encadenas entre sí, de este modo la contraseña será más larga y la deducción de esta no será sencilla. Ejemplo: borrador_sartén.Pantallade183**
• Las contraseñas no deben estar compuestas por datos propios, de este modo una persona conocida o con cierto conocimiento del usuario no pueda adivinarla.
• Tampoco deben componerse por canciones, refranes, frases conocidas, chascarrillos, etc. Ya que la adivinación de estas de forma automática puede ser sencilla.
• No se deben repetir contraseñas para diferentes cuentas o servicios.
• Tampoco deben apuntarse las contraseñas en ningún medio.
• No deben comunicarse a terceros.
• Cambiar con periodicidad las contraseñas. Lo más recomendable es una vez al mes.

PASSWORD CRACKER.

Estos programas se utilizan para descifrar contraseñas en determinadas aplicaciones. Se utilizan con el permiso del usuario en las aplicaciones que él requiera.

De este modo el objetivo es poder pasar el programa de password cracker así si lo pasan la contraseña se puede determinar como segura y sino no debería utilizarse.

• Debe pasarse el programa en un corto plazo de tiempo.
• Debería pasarse el programa una vez al mes, eliminando (con consentimiento del usuario) las contraseñas que no superen la prueba.
• Avisar al usuario que la contraseña no pasa la prueba para que este pueda modificarla o eliminarla.

GESTORES DE CONTRASEÑAS.

Los gestores de contraseñas son una serie de software o aplicaciones que te permiten recordar todas tus contraseñas. Estos gestores permiten tanto gestionar como generar la contraseña. Consisten en grabar o generar la contraseña para el programa o sistema determinado, de este modo se evita que el usuario apunte manualmente la contraseña.

De este modo solo necesitamos recordar la contraseña maestra del gestor, es decir, "la llave maestra" que guarda las demás contraseñas.

Estos gestores pueden parecer inseguros pero la realidad es que mantienen las contraseñas cifradas para que el acceso a ellas sea dificultoso. De este modo podemos utilizar contraseñas seguras, buenas y robustas sin preocuparnos de si nos olvidamos de ellas o no.

DOCUMENTOS DE REFERENCIA.

ASTM E3046-15, Standard Guide for Core Competencies for Mobile Phone Forensics, ASTM International, West Conshohocken, PA, 2015, www.astm.org.

Normas de creación y uso de contraseñas NP40. Guía de Seguridad de las TIC CCN-STIC 821. Febrero 2018.

Documentación propia sobre gestores de contraseñas.

Password crackers ECUDRED

DESCARGA LA GUÍA

Puedes descargar la guía en el siguiente enlace: