La seguridad ha tomado un papel muy importante hoy en día, proteger nuestra información personal y la información que almacenan nuestros sistemas es de vital importancia.Normalmente los usuarios tienden a usar contraseñas que sean fáciles de recordar. Como el nombre de su pareja, de su perro, el nombre de su equipo favorito o su ciudad de nacimiento. Para un atacante no sería difícil observar cuales son las obsesiones del usuario para intentar averiguar su contraseña.
Un atacante que quiera entrar de forma manual en la cuenta de un usuario, lo primero que probará serán palabras que sean importantes para él. Si no consigue resultados de forma rápida, lo siguiente será un ataque por diccionario y si esto tampoco funciona intentará un ataque por fuerza bruta usando múltiples combinaciones de caracteres aunque actualmente la tecnología pone límites a este tipo de ataques... aunque no siempre bien implementadas
Cuando se crea una contraseña, debemos usar una que no se encuentre en un diccionario. Y todo lo larga y compleja para que un ataque de fuerza bruta no pueda resolverla porque requiera mucho tiempo y procesamiento, ya que una contraseña se hace exponencialmente más compleja por cada carácter que añades incrementando su longitud.
¿Se preocupan las redes sociales, webmails de que usemos contraseñas robustas?
Por desgracia, la mayoría de ellos no nos exigen una contraseña robusta, aunque tienen indicadores de la fortaleza de la contraseña.
Guía para la generación de contraseñas¿Se preocupan las redes sociales, webmails de que usemos contraseñas robustas?
Por desgracia, la mayoría de ellos no nos exigen una contraseña robusta, aunque tienen indicadores de la fortaleza de la contraseña.
Las contraseñas débiles tienen las siguientes características. Se pueden encontrar en un diccionario. Son de uso común como: nombres de familiares, mascotas, amigos, personajes fantásticos, términos de ordenador, comandos, ciudades, compañías, hardware, software, fechas de cumpleaños y otra información personal como direcciones o números de teléfono. O patrones como aaabbb, qwerty o palabras seguidas o precedidas de dígitos.
Las contraseñas fuertes tienen las siguientes características: contienen caracteres minúsculas y mayúsculas, dígitos y caracteres especiales. 0-9, !@#$%^&*()_+|-=\`{}[]:";'<>?,./ Tienen al menos 8 caracteres de longitud. No están en ningún diccionario. No están basados en información personal. Se debe intentar crear una contraseña fácil de recordar. Una forma de hacerlo es crear una contraseña basada en una canción, afirmación o frase. Por ejemplo "Stairway To Heaven" podría quedar St41rW4y2H34v3n@!.
Además contamos con herramientas para la generación de contraseñas automáticas, como por ejemplo nuestro bot que dispone de un servicio para ello.
Además contamos con herramientas para la generación de contraseñas automáticas, como por ejemplo nuestro bot que dispone de un servicio para ello.
Estándar de protección de contraseñas
- Cambiar las contraseñas cada 30 días.
- No escribir las contraseñas y dejarlas al alcance de los demás.
- No guardar las contraseñas sin cifrarlas.
- No usar la misma contraseña para las cuentas de la organización que para las cuentas personales (email, banco...).
- No compartir las contraseñas en la empresa con nadie, incluidos el personal administrativo, secretarias.
- Todas las contraseñas deben ser tratadas como información sensible, confidencial.
- No dar la contraseña por teléfono a nadie.
- No dar la contraseña por email.
- No darle la contraseña al jefe.
- No decir la contraseña delante de personas.
- No revelar la contraseña en cuestionarios.
- No compartir la contraseña con familiares o compañeros de trabajo durante las vacaciones.
- No usar la opción "remember password" en las aplicaciones (IE, MSN, Mozilla,...)
- Si sospechamos que una clave ha podido ser usurpada, reportar el incidente al personal de seguridad de TI y cambiar todas las contraseñas.
- Se deberán hacer auditorias de crackeo de contraseña por el personal de seguridad. Si alguna contraseña se obtiene durante estos escaneos deberá ser documentado al usuario para que proceda a cambiarla.
- Además habría que ver qué usuarios existentes en los sistemas no necesitan contraseña ni shell, de manera que no haya forma de que entren en los sistemas.
La robustez de las contraseñas es un punto fundamental que está en primera línea para la protección de las cuentas de usuario. Elegir una contraseña débil comprometerá de forma crítica los recursos.
Fuente: SecurityByDefault.
Fuente: SecurityByDefault.
No comments:
Post a Comment