Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 22 de noviembre de 2007

COMO ELEGIR NUESTRAS CLAVES ADECUADAMENTE

El tema de las claves es un tema recurrente. Muchos son los que nos recomiendan escoger claves de calidad y robustas, pero ya no son tantos los que nos explican cómo hacer esto. Ante la ausencia de una explicación, el usuario experimentado sabe bien qué es una clave de calidad, y no necesitará muchas más explicaciones, pero el usuario menos experimentado se quedará diciendo ¿y cómo hago yo eso? ¿de qué me está Usted hablando?

No son muy abundantes, pero hay textos que explican muy correctamente cómo se deben elegir las claves. A mi me gusta mucho cómo lo cuenta el School of Computer Science de Carnegie Mellon, porque lo hace fácilmente entendible a cualquier usuario. A mí, si me lo permitís, además de traducir voy a incorporar alguna que otra cosita al texto.

Las cuatro reglas de oro al elegir claves

Hay cuatro reglas que si seguimos, probablemente conducirán a que tengamos claves adecuadas. Son los siguientes:

  1. Nunca bases tu clave en información personal: ni nombre, ni nombre de usuario, ni fecha de compleaños, números de pasaporte o documentos de identidad, ni aniversarios ni nada que sea fácilmente adivinable o intuíble, o que simplemente se peuda averiguar conociendo un poco a la persona.
  2. No elijas claves que sean palabras que puedan aparecer en cualquier diccionario. Los ataques de diccionario se basan precisamente en esto.
  3. No escojas transformaciones simples de palabras. Si me llamo Sergio, emplear la clave Oigres no es una buena idea. Tampoco lo sería s3rg10. Son las dos transformaciones típicas que cualquier programa para crackeo de contraseñas contempla.
  4. Por último, y como norma general, evita escoger claves de menos de 8 caracteres. También hay que evitar seleccionar claves sólo numéricas (1234) o sólo compuestas de letras (abcd). Es recomendable combinar ambos y emplear caracteres no alfanuméricos (;&%$/). Las claves, cuanto más cortas, son más fácilmente resolubles por ataque de fuerza bruta.

Una manera muy sencilla de generar y recordar una clave de calidad

Paso 1: Invéntate una frase que te sea fácil recordar, y que sea real, lo que ayuda a recordar la clave. Por ejemplo Tengo dos hijos: Antonio y Carmen

Paso 2: Selecciona sólo el carácter inicial de las palabras de la frase, y transforma “y” por & (es el símbolo de AND), el símbolo igual por =, “o” por | (símbolo de OR), etc. Alterna mayusculas y mayúsculas para ir tomando la primera letra de cada palabra de nuestra frase inventada. En nuestro caso, nuestra clave sería TdH:A&c, una clave que os garantizo no está definida en ningún diccionario para ataque a claves, y que impedirá ser descubierta haciendo uso de los métodos tradicionales y comunes de descubrimiento de claves.

Otra manera muy sencilla de generar una clave segura

Paso 1: Piensa en dos palabras que no tengan nada que ver, y que te sean fáciles de recordar. Por ejemplo, vacaciones y tomates

Paso 2: Alterna mayúsculas y minúsculas, e introduce un símbolo al principio y otro al final (por ejemplo los símbolos $ y %). La palabra y la cambiaremos por &. Nuestra clave sería $VaCaCiOnEs&ToMaTeS%. Hemos logrado una clave de 20 dígitos, que se puede considerar de alta seguridad.

El método más fácil de todos

Consiste en hacer que nuestra clave sea una frase fácil de recordar. Por ejemplo “Me llamo Sergio y trabajo de lunes a viernes en Madrid”. Este método tiene un inconveniente, y ese no es otro que la limitación de la longitud que algunas aplicaciones y sistemas imponen a las claves.

¿Qué longitud tiene que tener una clave?

El asunto de la longitud de claves es un tema donde hay poco consenso. Suele haber opiniones dispares, ya que lo que para unos es seguro, para otros es menos seguro y viceversa.

Como normal general, tener claves de 8 dígitos, alfanuméricas y con caracteres no alfanuméricos, es un buen punto de partida. Los sitemas Windows 95 y 98, en prácticamente desuso, limitan las claves a 14 caracteres de longitud. En el caso de 2000 y XP, la limitación se subio a 128.

Estas limitaciones iniciales provocaron que se generasen las famosas tablas rainbow. Este tipo de tablas hace que, por ejemplo, en entornos Microsoft, se consideren débiles las claves no complejas de 14 o menos caracteres. En UNIX hay sistemas antiguos que limitan la longitud a 8 caracteres, si bien cada sistema tiene sus propias limitaciones.

A modo de resumen, una clave tiene que tener una longitud suficiente, no excesiva, y debe poderse recordar fácilmente. Una clave del tipo /e$RT%”|2wDfS)f&¬ es excelente por su complejidad, pero no hay manera de aprendérsela.

10 mitos sobre las claves

Como complemento, os recomiendo la lectura de Ten Windows Password Myths, en el que veréis 10 aseveraciones sobre claves que no siempre se cumplen o son ciertas. Merece una lectura.

Fuente: http://www.sahw.com/wp/archivos/2007/11/15/como-elegir-nuestras-claves-adecuadamente/

0 comentarios:

Publicar un comentario en la entrada