Determinando la fortaleza de una contraseña

Rafael Gamas Gutiérrez

CLAVEESS

 

Una de las primeras herramientas de la seguridad es obviamente una contraseña que sea segura, y es evidente que las recomendaciones para tener una clave segura o que sea fuerte ya son algo muy conocido por la mayoría, pero veamos que mas hay detrás de las típicas recomendaciones.

Antes de comenzar a analizar las recomendaciones, debemos de conocer lo que es un ataque de fuerza bruta, ya que es aunque anticuado lo vemos mucho en las películas, es un ataque muy básico y solamente consiste en ir probando de forma ordenada, combinaciones de caracteres entre determinadas longitudes con el fin de descubrir en el proceso una contraseña, una vez mencionado esto veamos el porque de las recomendaciones de contraseña segura

  • Longitud de mas de 8 caracteres.- ante un ataque de fuerza bruta, la longitud de la contraseña hará que el computo de la misma sea muy tardado.
  • Usar combinación de mayúsculas, minúsculas, numeros y signos: Esta sigue siendo en relación a los ataques de fuerza bruta, el objetivo es aumentar el numero de permutaciones de la clave al aumentar el numero de signos, ya que si solo fueran números o solo letras, el numero de símbolos se reduce y por ende el tiempo y esfuerzo que se invierte en el ataque de fuerza bruta es menor.
  • No usar el nombre del usuario como clave: bueno esto es porque es una situación muy obvia, pero que vulnera la seguridad de muchos sistemas, ya que por ejemplo, algunos routers usan como usuario y contraseña por defecto la palabra «admin» y el administrador de la red se olvida cambiarla.

Como podemos darnos cuenta, estas recomendaciones solo nos protegen de ataques muy básicos y simples, pero el principal problema es que para poner una clave, la principal condición es que podamos recordarla, olvidemos incluso de que sea fácil de recordar, para lo cual generalmente las personas hacemos uso de la mnemotecnia, es decir, nuestras claves están asociadas a imágenes, objetos y eventos .

En el siguiente esquema, mostramos las asociaciones mas comunes con las que formamos las contraseñas.

clave

 

Como podemos ver, la mnemotecnia común de una contraseña esta compuesta por :

  • datos personales: puede ser parte de su nombre, sus iniciales, su nombre al revés, incluir la fecha de cumpleaños y sobrenombres que tenga o le gustaría tener.
  • novio(a) o pareja: Aquí se usa comúnmente las iniciales de la pareja, su nombre, su sobrenombre de cariño y la fecha de aniversario, así como la fecha de cumpleaños de la pareja.
  • hijos(as), para este caso emplean los nombres y las fechas de cumpleaños de los hijos.
  • gustos: la parte de gustos es muy amplia, puede ser el titulo de una película, el nombre de un cantante o grupo, alguna frase de su película o personaje favorito, el nombre del personaje favorito de ficción.

Como podemos ver en el diagrama, todo esto reduce en gran medida las combinaciones posibles de claves que una persona llega a usar.

Aunque esto pareciera no involucrar ningún peligro, debemos anotar que la primera fase de un ataque corresponde al reconocimiento, el cual consiste en adquirir información del blanco del ataque, el reconocimiento puede ser pasivo o activo:

  • reconocimiento pasivo.- se busca información sin interactuar de forma directa con el blanco y se busca información en reportes, papeles y otras fuentes.
  • reconocimiento activo: se interactua directamente con el objetivo del ataque, pudiendo ser con llamadas telefónicas, simulando ser una encuesta pidiendo datos en apariencia inocentes.

Ahora bien, hasta este punto pudiéramos pensar que nada de esto supone un gran peligro, pero si nos damos cuenta, mucha si no es que toda la información que mencionamos en la mnemotecnia de la contraseña esta almacenada en redes sociales, principalmente en facebook, en donde las personas acostumbran poner de entrada, nombre real, sobrenombre, fecha de cumpleaños y agregar paginas de los que les gusta, agregar a su pareja, presumir con fotos el dia en que celebraron un aniversario, publicar las fotos de sus hijos en la fiesta de cumpleaños.

Si en este punto se han dado cuenta de la enorme debilidad de su contraseña, en efecto, pero claro esta, muchos dirán, es que la información solo la comparto con mis conocidos, claro, pero las imágenes pueden ser etiquetadas y compartidas por sus conocidos y en este momento, todo se escapa de sus manos.

Algunas buenas alternativas, pueden ser el uso de generadores de contraseña, pero claro esta el problema es que son tan complejas que sería extremadamente difícil acordarse de ellas, la otra es usar mnemotecnia con datos que no estén en redes sociales y que sean extremadamente personales, como el nombre de su amigo imaginario, la fecha en que murió su mascota mas querida de niño, el nombre del amor platónico de secundaria al que nunca le dijo nada, la primer película que vio en el cine, como ve la infancia esta llena de datos que son muy bastos e increíblemente difíciles de averiguar por cualquiera.

 

 

 

 

Anuncio publicitario

Publicado por Rafael Gamas Gutiérrez

Blog dedicado a la tecnología y a todos los estudiantes de sistemas, informatica, computación y afines

¿Qué estas pensando?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.