Políticas de contraseñas

En la mayaría de los equipos infarmáticos, la autenticación de los usuarios se realiza introduciendo un nombre y una contraseña. Cada usuario tiene asignado un' identificador y una clave, que permitirán comprobar la identidad del mismo en el momento de la autenticación. 

Como es lógico pensar, la seguridad del sistema va a estar fuertemente relacionada con la buena elección de la contraseña y la confidencialidad de la misma. Par este motivo, las empresas suelen tener definidas políticas de contraseñas donde se establece la longitud mínima de la misma, su formato, el tiempo que será válida, etc. 

A continuación, vamos a estudiar las características que debe cumplir una buena contraseña: 

• No deben estar formadas por palabras que encontremos en diccionarios, ni en español ni en ningún otro idioma, ya que cualquier programa de fuerza bruta lo descubriría con facilidad. 

• No deben usarse sólo letras mayúsculas o minúsculas, porque se reducirían las combinaciones en un alto grado; ejemplos rechazables: ANA, avestruz, abcdef. 

• No deben estar formadas exclusivamente por números, por el mismo motivo que en el caso anterior. Ejemplos: 273456, 373009. 

• No debemos utilizar información personal: nombre de nuestros familiares, fecha de nacimiento, número de teléfono ... ya que cualquier persona cercana a nosotros podría descubrirla. Ejemplos: cp28007, 06/06/1965. Este fallo es muy habitual en las preguntas que te realizan determinadas páginas (correos electrónicos) cuando no recuerdas la contraseña. 

• No debemos invertir palabras reconocibles, como atatap, zurtseva. Cualquier programa creado para este fin lo descubriria en un corto espacio de tiempo. 

• No debemos repetir los mismos caracteres en la misma contraseña. 

o No debemos escribir lo contraseño en ningún sitio, ni en papel ni en documentos electrónicos que no hayan sido encriptodos. 

o No debemos enviarlo en ningún correo electrónico que nos la solicite. 

o No debemos comunicarla a nadie por teléfono. 

o Debemos limitar el número de intentos fallidos. Si excede el número máximo de intentos permitidos, el usuario debe quedar bloqueado, par lo que tendrá que ponerse en contacto con el técnico de seguridad. Es lo que ocurre en los cajeros automáticos, si te equivocas tres veces al introducir la clave, el cajero se queda con la tarjeta. Con ello evitamos que se puedan seguir haciendo intentos indefinidamente y al final se descubra el número secreto. 

o Debemos cambiar las contraseñas de acceso, dadas por defecto por los fabricantes de routers y otros periféricos, que nos permiten el acceso a la red. 

o No debemos utilizar la misma contraseña en las distintas máquinas o sistemas, ya que si nos la descubren, haríamos vulnerables el resto de equipos a los que tenemos acceso. 

o Las contraseñas deben caducar y exigir que se cambien cada cierto tiempo, al menos una vez al año. 

o No debemos permitir que las aplicaciones recuerden las contraseñas. 

Por lo tanto, las contraseñas deben ser cadenas de caracteres que incluyan tanto letras mayúsculas, minúsculas, números y caracteres especiales sin ningún tipo de lógica aparente. La longitud de la misma debe ser superior a ocho caracteres, aunque lo más recomendable es que supere los quince. 

Algunos consejos para poder recordar la contraseña, ya que como hemos comentado anteriormente no podremos escribirla en ningún sitio, sería elegir palabras sin sentido pero que sean pronunciables, o bien elegir la primera letra de una frose que recordemos por ser parte de una canción que nos gusta, o de algún recuerdo, por ejemplo: «Nací el 6 de junio del 65 en Madrid cerca de las 6 de la madrugada», Ne6dJd6eMcdl6dlm; para complicarla, se puede poner algún símbolo especial en una posición que podamos recordar. 

Si cumplimos con todas las recomendaciones expuestas anteriormente, haremos que cualquier intruso que intente descubrir la clave de acceso mediante programas de fuerza bruta, como John the Ripper o similares, tenga que perder mucho tiempo y desista del proceso. 

Recordad, una controseña mal elegida o mal protegida puede suponer un importante agujero en la seguridad del sistema. 

Para aquellos de vosotros que no tengáis mucha imaginación para crear claves, hay multitud de programas que os permiten generar contraseñas con las características que vosotros queráis. Ejemplos de esos programas son Max Password y Password Generator.