La importancia de las contraseñas

.

En esta entrada hablaremos sobre la importancia de una de nuestras principales defensas de seguridad de cara a accesos no deseados se refiere y estoy hablando de las contraseñas. Una barrera tan simple pero tan descuidada en muchas ocasiones y que no se le presta la atención que se merece.

Muchas de las intrusiones que se producen diariamente a sistemas de organizaciones o inclusos particulares, se debe a la debilidad de las contraseñas usadas para proteger dichos sistemas. Los atacantes se aprovechan de nombres de usuarios conocidos y de contraseñas que no son lo suficientemente fuertes como para proteger debidamente nuestra información.

En el caso de los nombres de usuario, se siguen utilizando nombres que vienen por defecto en los sistemas, como puede ser el caso de "admin", "administrador", "administrator"... Esto no es sólo responsabilidad nuestra, por desgracia hay muchos fabricantes, por ejemplo de routers, que no permiten cambiar el nombre de usuario, y tenemos que conformarnos con el que viene de fábrica, admin, conocidos por nosotros y por los miles de atacantes que hay ahí fuera esperando su oportunidad.

Si a este inconveniente le unimos que todavía muchos usuarios siguen usando contraseñas débiles, se presenta un escenario idóneo para cualquier atacante: nombre de usuario conocido y contraseña débil.

A partir de aquí el atacante puede hacer pruebas manuales hasta dar con la contraseña, o lo que es más habitual, utilizar algunas de las muchas herramientas que automatizan esta tarea, y que son capaces, en función de la complejidad de la contraseña, descubrirla en cuestión de minutos o incluso segundos.

Veamos un ejemplo, supongamos que me llamo "Antonio García Sánchez" que soy un gran aficionado al fútbol y siento nostalgia por el Mundial de Fútbol de España'82 y su Naranjito. Se me ocurre, para que pueda recordarla fácilmente, utilizar mis iniciales "ags" y "1982" que es el año en el que se celebró el mundial. Ojo, también podría ser el año de nacimiento, lo digo porque soy consciente que muchos usuarios utilizan ese dato como parte de su contraseña. Pues bien, volviendo a mi "súper" contraseña, quedaría de la siguiente forma:

ags1982 - Genial, ¿no? ¿Quién va a caer en que mi contraseña contiene el año en el que España celebró el mundial si ya nadie se acuerda de eso?

Comprobemos su fortaleza, para ello podemos usar una de las muchas páginas Web que nos permiten crear contraseñas o probar la fortaleza de las que nosotros indicamos, y lo que es más curioso, nos indica también el tiempo que se tardaría en descubrirla utilizando herramientas automatizadas como hemos nombrado antes. Yo voy a utilizar www.howsecureismypassword.net y vamos a introducir en el cuadro de texto la contraseña "ags1982".

Pues bien, el tiempo que necesitaría un atacante con una herramienta de ataque a contraseñas para descubrir la nuestra sería de 19 segundos en descubrir esa contraseña. Queda demostrado que es una contraseña muy débil.

¿Por qué se empeñan ahora en que nuestra contraseña contenga una mayúscula o algún carácter especial, o ambas cosas? La respuesta es que de esa forma estamos utilizando más códigos de caracteres (minúsculas, mayúsculas, dígitos y caracteres especiales) lo que dificulta enormemente la labor al atacante.

Veamos un pequeño ejemplo, y vamos a mejor nuestra contraseña, que seguirá siendo fácil de recordar pero modificando dos cosas conseguiremos que sea más complicado de descubrir. Utilizaremos 1 mayúscula y un carácter especial, de forma que nuestra nueva contraseña será: Ags@1982

Perfecto, con ese simple cambio hemos conseguido que se tarden 3 días en descubrir nuestra contraseña. Sigue siendo una contraseña fácil de descubrir, pero daros cuenta que con tan sólo unos pequeños cambios hemos aumentado considerablemente la fortaleza de la contraseña. A partir de aquí ya es probar con nuevas combinaciones y si es posible usar una contraseña con más longitud, mínimo 8, aunque yo personalmente usaría una de más de 8 caracteres, mejor.

Como siempre espero que sea de vuestro interés y os ayude a crear contraseñas más fuertes para evitar accesos no deseados a vuestros sistemas e información.

Saludos!

Etiquetas
Publicado el
14 de marzo de 2014 - 08:52 h