Un viejo "chiste" dentro del ámbito de la
seguridad informática…
¿Cuál es el eslabón más débil de la cadena de
seguridad en sistemas informáticos?.
El usuario final!!!
Si usted se sintió
afectado alguna vez, por favor preguntase si la clave para acceder a su sistema tiene algo
que lo relacione con usted mismo.
Por ejemplo: si usted se
llama Alberto y tiene 42 años de edad, esta casado con Alicia y su hija se
llama Rosana..
....¿Su password es algo como "alber_42" o "AAR" o
"alalro"?
En sistemas informáticos,
mantener una buena política de seguridad de creación, mantenimiento y recambio de claves es un punto crítico
para resguardar la seguridad y privacidad.
Comencemos por ver la forma
en que nuestras claves pueden caer en manos inapropiadas, mediante un antiguo
método denominado "Fuerza Bruta"
donde el atacante simplemente prueba distintas combinaciones de palabras hasta
dar con la clave del usuario.
Muchas passwords de acceso
son obtenidas fácilmente porque involucran el nombre u otro dato familiar del
usuario y, además, esta nunca (o rara
vez) se cambia. En esta caso el ataque se simplifica e involucra algún tiempo
de prueba y error.
Otras veces se realizan
ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves, en tiempos
muy breves, hasta encontrar la password correcta.
Los diccionarios son
archivos con millones de palabras, las cuales pueden ser posibles passwords de
los usuarios. Este archivo es utilizado para descubrir dicha password en
pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran
tamaño orientados, incluso, a un área
específica de acuerdo al tipo de organización que se este atacando.
A continuación podemos
observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados.
La velocidad de búsqueda se supone en
100.000 passwords por segundo, aunque este número suele ser mucho mayor
dependiendo del programa utilizado.
|
Cantidad de Caracteres del
Password |
-26- |
-36- |
-52- |
-96- |
|
6 |
51 minutos |
6 horas |
2,3 días |
3 meses |
|
7 |
22,3 horas |
9 días |
4 meses |
24 años |
|
8 |
24 días |
10,5 meses |
17 años |
2.288 años |
|
9 |
21 meses |
32,6 años |
890 años |
219.601 años |
|
10 |
54 años |
1.160 años |
45.840 años |
21.081.705 años |
Aquí puede observarse que si se utilizara una clave de 8 caracteres
de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en
descifrarla. Esto se obtiene a partir de las 968 (7.213.895.789.838.340)
claves posibles de generar con esos caracteres.
Partiendo de la premisa en
que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves
más posibles, comúnmente llamadas Claves Débiles.
Según demuestra un análisis
realizado sobre 2.134 cuentas y probando 227.000 palabras por segundo:
Otro estudio muestra el
resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727
palabras, a 13.794 cuentas:
Esto alarmantes datos fueron
posibles porque existían claves nulas:
Que corresponde al nombre del usuario; a secuencias
alfabéticas tipo 'abcd'; a secuencias numéricas tipo '1234' a palabras que
existen en un diccionario del lenguaje del usuario; a que el usuario se llama Alberto y su clave es 'Alber'.
Este simple estudio confirma nuestra mala elección de
contraseñas, y el riesgo se incrementa si el atacante conoce algo sobre la
víctima, ya que podrá probar palabras relacionadas a su persona o diccionarios
orientados.
Se debe tener en cuenta los
siguientes consejos:
1.
No
utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el
del usuario, personajes de ficción, miembros de la familia, mascotas, marcas,
ciudades, lugares, u otro relacionado).
2.
No
usar contraseñas completamente numéricas con algún significado (teléfono,
D.N.I., fecha de nacimiento, patente del automóvil, etc.).
3.
No
utilizar terminología técnica conocida.
4.
Elegir
una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y
numéricos.
5.
Deben
ser largas, de 8 caracteres o más.
La protección de la
contraseña recae tanto sobre el administrador del sistema como sobre el
usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el
sistema.
"Un password debe ser como un cepillo de
dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus
amigos".
Algunos consejos a seguir:
1. No
permitir ninguna cuenta sin contraseña. Si se es administrador del sistema,
repasar este hecho periódicamente (auditoria).
2.
No
mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las
cuentas de Administrador, Root, System, Test, Demo, Guest, InetUser, etc.
3.
Nunca
compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
4.
No
escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse
como tal y no debe identificarse al propietario en el mismo lugar.
5.
No
teclear la contraseña si hay alguien observando. Es una norma tácita de buen
usuario no mirar el teclado mientras alguien teclea su contraseña.
6.
No
enviar la contraseña por correo electrónico ni mencionarla en una conversación.
Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave
es...".
7.
No
mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de
una lista de contraseñas que puedan usarse cíclicamente.
Una parte fundamental de
nosotros mismos y de nuestro trabajo depende de las passwords elegidas y de su
complejidad.
Esta implementación depende
de la educación que cada usuario recibe, de las políticas de seguridad
aplicadas y de auditorias permanentes.