Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Verdades y mentiras sobre las contraseñas - ccoo

Anuncio 
Verdades y mentiras sobre las contraseñas
Verdades y mentiras sobre las contraseñas
LAS MAS Y MENOS SEGURAS.-El Navegante
Indiscutible y lamentablemente, las contraseñas estáticas y simétricas juegan hoy en día el papel más importante en el
problema de la seguridad informática en Internet. Aunque podamos usar la tecnología y nuevas políticas para hacer las
contraseñas más fuertes, aún tenemos que luchar contra uno de los puntos más débiles de cualquier sistema: el elemento
humano.
Siempre se advierte de la necesidad de elección de las contraseñas correctas, sin embargo, es complicado explicar cómo
llegar a este punto. Ocurre que, por muy creativos que se intente ser, el comportamiento puede ser analizado y es
predecible, y por tanto, para algo tan delicado como la forma de proteger un sistema, la educación es inevitable. Más
aún, cuando circulan ciertos mitos y creencias incorrectas acerca de algo tan sencillo como la elección de una palabra.
En este artículo intentamos aclarar el mundo de las claves en Windows 2000 y XP.
D+##yU&?23 es una gran contraseña.
Esto no es completamente cierto. La contraseña, en realidad, es muy buena, pero ¿qué ser humano puede recordarla con
facilidad? Ciertamente cabe la posibilidad de que acabe escrita en algún lugar, o que incluso algún generador de claves
sea capaz de adivinarla.
Existen técnicas mejores para elegir claves, por ejemplo [email protected] Esta clave tiene muchas
más letras, lo que se lo pone complicado a una máquina que intente usar la fuerza bruta, mantiene un par de símbolos y
otros tantos números, siendo muchísimo más fácil de recordar.
Lo importante pues, es la estructura de la contraseña, más que la posible complejidad. Combinar una estrucutra fácil de
recordar, la longitud adecuada, con caracteres simbólicos y números puede ser lo más apropiado.
Los Hashes de mi contraseña están seguros mientras use NTLMv2
NTLM hizo los hashes un poco más fuertes usando un hash más largo y permitiendo tanto mayúsculas como
minúsculas. NTLMv2 avanzó más incluso incluyendo llaves de 128 bits y distintas para la integridad y la
confidencialidad. También usa el algoritmo HMAC-MD5 para mejorar la integridad. Pero todo esto queda en el aire
cuando se sabe que son sensibles a dos vulnerabilidades: ataques replay y, al estar estos hashes almacenados en el
registro, corren el riesgo de sufrir ataques por fuerza bruta contra el archivo SAM.
Pasará algún tiempo hasta que estemos seguros, probablemente, cuando Microsoft deje de usar LanManager (NTLM).
14 Caracteres es la longitud óptima para una contraseña
Con el LanManager de Windows, los hashes de las contraseñas se dividen en dos, esto sería en este caso, dos hashes
separados de 7 caracteres cada uno. Esto en realidad hace que las contraseñas sean aún más vulnerables a ataques de
fuerza bruta que podían llevase a cabo a cada uno de los hashes por separado y a la vez. Las contraseñas de 9 caracteres
de longitud serían partidas en dos hashes de 7 y 2 caracteres. Crackear un hash de 2 caracteres no lleva demasiado
tiempo con los programas actuales, y la de 7 no más de unas pocas horas después de conocer el resultado del primer
hash. Por eso, muchos profesionales en la seguridad determinaron que la longitud óptima sería 7 o 14 caracteres.
NTLM avanzó usando los 14 caracteres para almacenar el hash de la contraseña. Aunque esto mejoró el método, el
1/3
Verdades y mentiras sobre las contraseñas
sistema operativo NT limitaba el espacio a 14 caracteres para contener el password, de ahí también la suposición de que
era la longitud óptima.
Pero esto cambió radicalmente con las nuevas versiones de Windows 2000 y XP, que aumentaron los caracteres a 127.
Pero, curiosamente, una pequeña vulnerabilidad descrita en SecurityFriday.com nos hace saber que si la contraseña
tiene más de 15 caracteres, Windows ni siquiera almacena correctamente el hash del LanMan. Ahora bien,
curiosamente, esto protege contra ataques de fuerza bruta. Windows, cuando la contraseña tiene más de 15 caracteres,
almacena la constante AAD3B435B51404EEAAD3B435B51404EE como LanMan hash, que es equivalente a una
contraseña nula. Y como la contraseña obviamente no es nula, los intentos de ataques contra la hash fallaran.
La realidad es que con los sistemas actuales, contraseñas de más de 14 caracteres serían la opción más acertada.
SergiO99 es una buena contraseña
Cuando algunas máquinas crackeadoras pueden realizar millones de intentos por segundo, cambiar la letra ?o? por un
?0? y añadir números al final, son de las primeras combinaciones con las que arremete contra el sistema. Una mejor
inspiración podría ser sustituir la letra ?o? por ?( )? (paréntesis) que resultaría menos predecible. Aún así y como se
comenta en el apartado anterior, lo mejor contra los ataques de fuerza bruta son las contraseñas largas.
A la larga, cualquier contraseña puede ser violada
Aunque en algunos casos la contraseña pueda ser adivinada mediante otros métodos (registrador de pulsaciones de
teclado,ingeniería social...) sí que es posible crear una contraseña que no pueda ser descubierta en una cantidad
razonable de tiempo. Si la contraseña es suficientemente larga, requeriría tanto poder de proceso y tiempo que es
prácticamente igual a ser inviolable. Así que la respuesta es sí, a la larga cualquier contraseña puede ser descubierta,
pero ese ?a la larga? puede que vaya más allá del tiempo de vida de una persona.
Así que a menos que se tenga el equipo de la NASA entero a disposición, la verdad es que se puede sentir seguro. Por
supuesto, a medida que mejoran los equipos informáticos, este mito puede que se haga realidad... aunque con la mejora
en los métodos de crackeo se produce simultáneamente la mejora en los métodos de encriptado, con lo que la lucha
entre ellos suele estar siempre al mismo nivel.
Las contraseñas deberían ser cambiadas cada 30 días
Aunque esto pudiera parecer un buen consejo, habría que pensar en sus desventajas. Obligar a cambios frecuentes de
contraseña, deriva inevitablemente en patrones predecibles en los usuarios a la hora de elegir nueva clave, con lo que
estaremos restando efectividad a nuestra protección. La mejor opción sería elegir mejores claves y mantenerlas más
tiempo (entre 3 y 6 meses).
Nunca se deben apuntar las contraseñas
Esto tiene un 99% de cierto. Resulta una muy mala política el hecho de escribir en cualquier lugar la contraseña, pues
existen altas probabilidades de que acabe en la papelera (... y la basura, créanme, es una fuente inagotable de recursos
gratuitos). Pero el hecho de almacenar este peligro potencial en una caja de seguridad si realmente resulta imposible el
hecho de aprenderla de memoria o si la única persona que la conoce es despedida, no tiene porqué representar ningún
problema.
Lo que nunca aconsejaría sería el uso de programas gestionadores de claves. Mediante una contraseña maestra, permiten
el acceso a todas las demás que posea su empresa. Pensando un poco, los riesgos son muchos. Al ser un software más,
puede volverse el propio blanco principal de ataques, y además ya sólo sería necesario conocer una sola clave que daría
vía libre a todas las demás. Centralizar la seguridad en un solo punto no ayuda más que al pirata.
Las contraseñas no pueden contener espacios
Aunque muchos usuarios no se hayan percatado, tanto Windows 2000 como XP permiten espacios en blanco en sus
contraseñas. Esto permite a los usuarios poder desarrollar claves más complejas y fáciles de recordar que consten de
más de una palabra.
Siempre se usa Passfilt.dll
2/3
Verdades y mentiras sobre las contraseñas
Passfilt.dll es una librería de Windows que nos obliga a utilizar contraseñas que sigan unas características específicas de
seguridad. No aceptará las claves que no las cumplan. Por ejemplo, obliga a combinar mayúsculas y minúsculas,
números, longitud adecuada... Esto puede resultar molesto para muchos usuarios, pues demostrado matemáticamente,
una contraseña de 9 letras todas minúsculas, puede ser más compleja y dura que una de 7 con números y mayúsculas.
El uso de ALT+255 en una contraseña la hace inquebrantable
Existen 255 caracteres ASCII que, evidentemente, no pueden ser incluidos todos en el teclado. Por tanto, para poder
escribirlos hace falta sostener la tecla ALT mientras se escribe el código del carácter. Esto puede tener muchas ventajas,
pues pueden contener caracteres como ?ß? = ALT+0225 o ?µ?=ALT+0230. Pero, ¿cómo recordar cada código? Quizás
sea más conveniente insertar un 255 en donde se pensaba poner un ALT+0255, para poder memorizar mejor la
contraseña. Un ejemplo práctico. Una clave de 5 dígitos escrita con caracteres ASCII supondría 5*5=25 pulsaciones de
teclado y 255^5 combinaciones posibles. Con 25 pulsaciones de teclado y usando sólo letras minúsculas de la a a la z,
tendríamos 25^26 combinaciones. Si se completan estas potencias en la calculadora, se observarán las abrumadoras
diferencias a favor de la clave de 25 caracteres.
Pero.. ¡cuidado! Algunos caracteres especiales como ALT+0010 y ALT+0027, ¡no se pueden escribir en las cajas de
diálogo de Windows! Por lo que no pueden usarse para las contraseñas que no sean escritas en líneas de comando.
Además, si la clave debe ser escrita en público, usar el teclado numérico puede levantar sospechas y hacer más fácil que
otros vean las teclas que son pulsadas.
Por último, aunque no todos los consejos dados en este artículo sean aplicables universalmente, conocer todas las
posibilidades da siempre la libertad de elegir y poder combinar varias opciones entre todas las posibles, personalizando
así la contraseña y haciéndola más segura.
© CCOO SERVICIOS 2015
Logos y marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
3/3
Documentos relacionados
CLAVES DE ACCESO
CLAVES DE ACCESO
Asignación de derechos de acceso (privilegios)
Asignación de derechos de acceso (privilegios)
Descargar
Anuncio
Anuncio