5. Seguridad de contraseñas

llaves
Imagen en flickrcc de GNOME Seahorse

 bajo licenciaAlgunos derechos reservados

Es fundamental el controlar que cualquier persona que acceda al sistema esté autorizado y que solo pueda acceder a los recursos para los que tiene autorización.

Una de las formas más usuales de autorizar los accesos es mediante un usuario y contraseña ( o password) y asociando a dicho usuario una serie de permisos (qué acciones podrá realizar y cuáles no y sobre qué recursos).

RECOMENDACIONES PARA LA ELECCIÓN DE CONTRASEÑA


No es recomendable elegir contraseñas que por ser fáciles de recordar, sean también fáciles de averiguar, no se recomienda nuestra fecha de nacimiento, NIF, nombre, nombre de nuestra mascota, nombre de algún familiar, etc.

Existen además ataques por diccionario o fuerza bruta que que se dificultan si se siguen algunas normas como longitud mínima o caracteres especiales.

Algunas normas básicas a la hora de elegir nuestra contraseña son:

  • No elegir palabras relacionadas con nuestro entorno (NIF, nombre de nuestra mascota, fecha de nacimiento, nombre de tu hijo, etc.)
  • Usar combinaciones de letras, números y caracteres especiales (no usar palabras con significado).
  • Longitud mínima de 8 caracteres.
  • Intentar usar contraseñas distintas para servicios distintos.
  • No usar nunca la contraseña por defecto, cambiarla en el primer acceso.

Para recordar una contraseña segura (mínimo 8 caracteres que incluyan números, letras y caracteres especiales) podemos recurrir al truco de usar una frase, por ejemplo: ¿Yo nací en febrero de 1980?, y quedarnos con los dos últimos caracteres de cada palabra: Yocíenrode80?

Obviamente, ninguna de estas precauciones será de utilidad si después anotamos la contraseña en un postit y la pegamos en la pantalla de nuestro ordenador. Las contraseñas deben almacenarse de forma segura (existen programas gestores de contraseñas) y tener cuidado en su distribución, cómo y a quién se facilita, como norma general una contraseña es de uso privado, por lo que no se debe facilitar a nadie. En caso necesario, debemos ser cuidadosos con el medio que usamos y si es necesario cifrar la información , de forma que solo la persona que posea la clave de cifrado pueda recuperar esa contraseña.

MEDIDAS DE SEGURIDAD A IMPLEMENTAR POR EL ADMINISTRADOR DEL SISTEMA


A la hora de configurar nuestros sistemas debemos forzar a los usuarios a tomar ciertas medidas de seguridad con respecto a sus contraseñas:

  • Obligar al usuario a cambiar la contraseña inicial en su primer acceso.
  • Numero máximo de intentos permitidos, tras el cual el sistema se bloquea.
  • Que no se admitan contraseñas de menos de 8 caracteres y que estos obligatoriamente incluyan mayúsculas, minúsculas, números y caracteres especiales.
  • Que las contraseñas expiren cada cierto tiempo y haya que cambiarlas, tampoco se permitirá repetir ninguna de las tres últimas.

Obra publicada con Licencia Creative Commons Reconocimiento No comercial Compartir igual 4.0