lunes, 13 de agosto de 2012

#Seguridad - Contraseñas Complejas - #Password Complexity

En este articulo analizaremos:

a) El uso del PIN
b) Porque contraseñas complejas
c) Como elegir una contraseña compleja pero facil de recordar
d) Como medir la fortaleza de mi contraseñas

a) El uso del PIN
Como politicas de seguridad en las empresas, en la web y muchos otros ambitos, el uso de contraseñas complejas se ha convertido en norma.

Solo para dispositivos simples, con no mucha capacidad de procesamiento o accesos muy controlados se permite el uso de pines, osea, secuencias numericas cortas. PIN: 1234

El PIN (Personal Identification Number), es aun muy comun en claves de acceso fisico, como puertas, registro de inicio y fin de labores (ponchar), acceso a algunos telefonos, claves de acceso para tarjetas de cuentas bancarias en cajeros automaticos y asi por el estilo.

La medida de seguridad es que el PIN,
  • si es de 4 digitos en adelante, contenga una complejidad exponenciada en la cantidad de digitos (pero estos digitos solo podran ser del 0 al 9),
  • que el numero de intentos se limite a 3, teniendo que reiniciar el proceso (una vez pase el tiempo de lockeo se inician 3 intentos mas),
  • el tiempo permitido para hacer intentos de descifrado. (Un ejemplo, si alguien lo esta haciendo en tu telefono, debera detenerse si regresas o lo procuras; si alguien lo esta haciendo en una conexion a un servidor, solo podra intentarlo mientras el server este arriba).

En el caso de los codigos para el internet banking, aunque llegan a ser secuencias numericas de 4 a 6 digitos, son controlados por varias variables como, listas de mas de 20 combinaciones y este orden asociado a una unica cuenta de cliente, secuencias controladas por periodos de tiempo cortas en segundos usando algoritmos como RSA y AES.

Estos no se consideran simple codigos PIN, puesto que contienen un nivel de seguridad superior.

Para mas informacion sobre uso de PINes en smartphones referirse a este post:
http://eltecniquito.blogspot.com/2011/02/news-hackear-un-iphone-en-6-minutos.html

Para mas informacion sobre algoritmos de encriptacion en codigos de internet Banking ir a este post:
http://eltecniquito.blogspot.com/2012/07/seguridad-criptografia-autenticacion-y.html

b) Porque Contraseñas Complejas
Pero cuando vamos a hablar de passwords para cuentas de usuario de dominio de red, de administrador de sistema, acceso a una plataforma de negocio, cuenta de usuario local en una PC o incluso correo electronico, las contraseñas deben ser complejas. A Dio, y porque?



Aqui la razon: Los sistemas han mostrado muchisima vulnerabilidad por este lado. Muchos de los ataques a sistemas y sites exitosos, han triunfado por password de fuerza pobre. Tambien muchas de las personalidades que han experimentado hackeo de sus cuentas en las redes sociales han tenido esta debilidad.

Y dependiendo la envergadura que tenga lo que se protege con tales claves, podria ser el daño acontecido y la necesidad de volver compleja una contraseña.

Esto es lectura avanzada...

 Los hackers actualmente utilizan varias formas de determinar una contraseña y una de ellas son los "Generadores", programas que generan automaticamente claves y las depositan en los campos de "password". De esta forma, el hacker no tiene que saberse la clave para poder acceder, solo necesita que se introduzca la secuencia de intentos correcta.


Cuando la contraseña es muy compleja hacen que el software no la pueda ver ya que el parametro mas simple es utilizar letras, numeros o numeros con letras, con longitudes de 3 a 6 caracteres.

En estos casos las configuraciones de los generadores se modifican para que utilizen tambien letras mayusculas y minusculas, ademas de caracteres especiales. En esta situacion existe la posibilidad de que se pueda ver la contrasena pero solo despues de muchos intentos.

Ademas, el tiempo de introducir una clave correcta expira y solo se puede llegar a hacer un numero determinado de intentos. En esos casos, se usa la opcion "Brute Force" el cual hace un mayor uso del procesador logrando mayor numero de intentos en un mismo periodo de tiempo. Y esto ultimo pierde fuerza ya que en las politicas de seguridad en la industria, despues de 3 intentos fallidos la cuenta es lockeada y no admite mas intentos, o la cuenta es liberada automaticamente a los 10 minutos. Asi que romper una de estas contraseñas, cuando son complejas es una odisea para cualquier cracker.

Pueden ver un ejemplo de esto con el iPhone. Lean este articulo: http://eltecniquito.blogspot.com/2011/02/news-hackear-un-iphone-en-6-minutos.html


c) Como elegir una contraseña compleja pero facil de recordar.

 Para la mayoria de los usuarios en una empresa o para los usuarios comunes de una cuenta de correo electronico, elegir una contraseña que sea compleja es muy dificil. Lo complejo de la contraseña dependera de lo que pueda recordar, asi que es muy facil encontrarse con contraseñas pobres. Y si es por politica la complejidad, tambien encontraremos muchos disgustos.

Hay varios niveles de complejidad para una contraseña. Cualquier contraseña con una mayor longitud  y complejidad sera cada vez mas dificil de romper. Debe incluir letras, numeros, caracteres especiales y una longitud aceptable. Muchos eligen entre las politicas vocales y consonantes, pero en realidad no es significativo. Vamos a ilustrarlo:

1234 =  indigente (Solo numeros, longitud 4) Level 0
pass  =  pobre (Solo letras, longitud 4) Level 0
password  =  pobre (longitud 8  pero solo letras) Level 0
PassWord  =  pobre (longitud 8 , MAY y min, pero solo letras) Level 0
P4ssW0rd  =  Menos Pobre (longitud 8, MAY y min, Letras y Numeros) Level 1
MyP4$$W0rd  =  Aceptable (longitud 10, MAY y min, Letras, Numeros y Caracteres Especiales) Level 2
M1C0ntr@$3n@ =  Aceptable (longitud 10, MAY y min, Letras, Numeros y Caracteres Especiales) Level 5

Normalmente podemos hacer sustituciones de letras y caracteres en una forma facil de asociar visualmente. Las formas mas comunes son:

A = 4 o la @
E = 3
I = 1 o !
O = 0 o *
S = $
L = 7
Y = &

¿Pero como hago para crear una contraseña compleja pero que pueda recordar?

La respuesta es simple: eligiendo una palabra o frase que le sea facil recordar y facil de escribir. No elijan nombres propios ni de familiares y mucho menos de artistas. Elijan frases que se repitan hasta involuntariamente en sus cabezas.

Para quien le gusta la musica, una parte del coro de una cancion favorita, o que este sonando en la radio es buena idea. Por ejemplo, una frase de una que canta Prince Royce:

"Stand by me"... 

La convertimos en contraseña eliminando los espacios y cambiando una vocal por numero como la "e" por el 3. Seria asi:

"Standbym3"

 Vemos que tambien tiene por vocal la "a" asi que esta la sustituimos por una @ y ponemos en MAYUSCULA el inicio de cada palabra:

"St@ndByM3"

Y eso fue solo un ejemplo, el cual tiene 8 caracteres desde la S hasta el 3.

Pueden probar con otras canciones o frases que les resulten facil de recordar, como:

"Tu boca a la mia elige" - Victor Manuelle
"Muelle de San Blas" - Mana
"musica ligera" - Soda Stereo
"llora en tus fiestas" - LODVG
"esta fria madrugada" - LODVG
"cometas por el cielo" - LODVG
 "Tal parece que yo" - Wason Brazoban
"I Love Bachata" - Wason Brazoban

Hagan sus tareas y si quieren compartan sus resultados. Recuerden que la forma de volverla compleja y la frase es de cada quien, de forma tal que sea unica. En mi caso:

"TuB0c@L@M!@Elig3" - Victor Manuelle
 "Mu37l3d3S@nBl@s" - Mana
"Mu$1c@L1g3r@" - Soda Stereo

"Ll0r@3nTu$F13$t@$" - LODVG (demasiada compleja para recordarla, mejor intento esto)
"Ll0r@3nTusFiest@s" - LODVG (Creo que esta mucho mas facil de escribir incluso)

"Est@Fr1@M@drug@d@" - LODVG
"C0m3t@sP0r3lC13l0" - LODVG

 "T@lP@r3c3Qu3Y0" - Wason Brazoban
"IL0v3B@ch@t@" - Wason Brazoban

Aun si se encuentran esto aun muy complejo, sean creativos a la hora de elegir una clave y la forma de volverla compleja. Recuerden que debe ser ademas de compleja, facil de recordar, facil de escribir y sobre todo, de su propia autoria.



d) Como medir la fortaleza de mi contraseña

Hay algunos buenos sitios de internet que nos permiten medir la fuerza de resistencia de una contraseña. Les mostrare dos:

Microsoft Security Center. Este es del portal de seguridad de Microsoft y que tiene un criterio bien alto en el manejo de passwords. Es poco explicativo, pero es simple e ilustrativo, para usuarios comunes:

 La contraseña analizada aqui fue Ll0r@3nTu$F13$t@$.

https://www.microsoft.com/en-gb/security/pc-security/password-checker.aspx


Password Meter. Como si fuera Bandwidth Meter. Es un sitio tambien de alto criterio, menor que el de Microsoft pero que a la vez bien descriptivo e ilustrativo. Nos ayuda a volvera mas compleja mostrandonos donde trabajar:


La contraseña analizada aqui fue tambien Ll0r@3nTu$F13$t@$.

http://www.passwordmeter.com/

Espero esto les haya sido de ayuda.

Fuente: ELTECNIQUITO Labs / Microsoft / Password Meter

0 comentarios:

My Tweets

Protegelas.com