FREE SHIPPING ABOVE $500 ACROSS CANADA

Eligiendo una buena clave de acceso

Ir al artículo original

[Nota: Esta es una versión ligeramente modificada de un artículo que apareció originalmente en la edición de febrero de 2005 de la revista Archive.]

Cada programa de cifrado requiere una clave de acceso para proteger los datos cifrados. Dado que los cifrados modernos comúnmente utilizados son extremadamente seguros, al ser resistentes a todos los métodos conocidos de criptoanálisis, la frase de contraseña suele ser la parte más vulnerable de cualquier procedimiento de cifrado. Por lo tanto, es importante elegir una clave de acceso "fuerte".

 

¿Por qué hablamos de una “clave de acceso” en lugar de una “contraseña”?

Cuando a muchas personas se les pide que escojan una contraseña, seleccionan alguna palabra o nombre común. Esto puede ser fácilmente descifrado por un "ataque diccionario", es decir, un programa de computadora que usa un diccionario para probar todas las posibilidades. Existen muchos de estos programas. A veces son utilizados por personas que han olvidado su propia contraseña. Pero una contraseña que se puede recuperar de esta manera es débil. Puede ser recuperado con la misma facilidad por cualquier otra persona, que puede obtener acceso a los datos cifrados del usuario, datos bancarios en línea, etc.

Un tipo de "contraseña" algo más fuerte es aquella que no es una palabra real, y quizás incluso incluye algunos números u otros símbolos especiales, si éstos son permitidos por el software o el sitio web que estes utilizando. Aunque esto está a salvo de un ataque de diccionario clásico, puede ser agrietado por un "ataque de fuerza bruta", es decir, un programa que simplemente intenta todos los juegos posibles de caracteres hasta que encuentra la combinación correcta. Por supuesto, cuanto más larga sea la contraseña, más difícil será el ataque. Supongamos, por ejemplo, que se permiten 50 caracteres diferentes en la contraseña. Luego, si agrega un carácter extra a una contraseña existente, se espera que la búsqueda bruta de la contraseña correcta lleve 50 veces más tiempo.

Algunos sistemas Unix, por ejemplo, aceptan contraseñas de inicio de sesión de hasta ocho caracteres. Las contraseñas de inicio de sesión para algunos ISPs son similares. Desafortunadamente, estas contraseñas son bastante débiles y fácilmente atacables. Sin duda, deberías usar contraseñas más largas si el sistema lo permite.

Los documentos para algunos programas de cifrado, como PGP y GnuPG, siempre hablan de claves de acceso, en lugar de contraseñas, para subrayar que pueden ser de cualquier longitud razonable, consistentes en muchas palabras o grupos de caracteres, separados (opcionalmente) por espacios.

 

¿Qué tan fuerte debe ser una frase de contraseña?

La clave de acceso es, con mucho, la parte más débil de muchos sistemas de cifrado, al menos para muchos usuarios, que utilizan una clave de acceso débil en la práctica. Si un atacante desea obtener acceso a los datos cifrados de un usuario típico, sería mucho más eficaz intentar descifrar la frase de contraseña que intentar un criptoanálisis real. Por eso es muy importante elegir una buena clave de acceso.

Incluso para organizaciones poderosas como las agencias gubernamentales con enormes recursos informáticos, lo más rentable sería intentar descifrar la clave de acceso. A menudo se dice que la técnica más sencilla para acceder a los datos cifrados es el "ataque con manguera de goma" (ganar a la víctima, o utilizar otros métodos de tortura, hasta que se revela la frase de contraseña). Otra de estas técnicas consiste en instalar un bug electrónico o un programa oculto en el ordenador del usuario, para capturar todas las pulsaciones de teclado. Alternativamente, incluso sin ningún tipo de acceso físico a un ordenador o a su usuario, un atacante grave puede controlar, a distancia, las emisiones electrónicas del ordenador y, por lo tanto, grabar la frase de clave de acceso. Esto se conoce como un "ataque de tempestad". No es fácil protegerse contra cualquiera de estos posibles ataques. Pero probablemente no tenga que preocuparse por ellos, a menos que seas un blanco serio de las investigaciones del gobierno, o si vive bajo un régimen opresivo.

Tiene sentido elegir una clave de acceso que sea igual en fuerza al criptosistema utilizado, ya que cualquier sistema es tan fuerte como su eslabón más débil. Este artículo explica algunos trucos simples que pueden ayudar a lograr ese objetivo.

 

Eligiendo una clave de acceso fuerte

En términos generales, el objetivo debería ser crear una clave de acceso que sea fácil de recordar y de escribir cuando sea necesario, pero muy difícil de adivinar para cualquier otra persona, incluso para alguien que te conozca bien. También debe ser lo suficientemente largo como para hacer impracticable cualquier ataque de diccionario o ataque de fuerza bruta.

Un método bien conocido es seleccionar, por algún proceso aleatorio, un conjunto de palabras de un diccionario. Esta técnica se llama a veces "diceware". Este método es implementado por un programa del SO RISC, !RNDpass de Tony Hopstaken, que está disponible en este sitio web.

Con un diccionario tan grande como el incluido en !RNDpass, una clave de acceso que consiste en 8 o más palabras aleatorias es probable que resista cualquier ataque concebible, debido al enorme número de combinaciones posibles, especialmente si la clave de acceso se modifica de alguna manera impredecible para prevenir un ataque de diccionario puro.

A continuación se describen algunos consejos sencillos para "distorsionar" una clave de acceso. Si se aplican con un poco de ingenio, funcionarán bien aunque el usuario empiece con una clave de acceso "normal" en español simple (en lugar de palabras aleatorias, como las que da !RNDpass) y la distorsione de tal manera que se vuelva impredecible.

Algunos métodos especiales de hacer esto pueden ser automatizados en !RNDpass, como una opción. Las distorsiones "aleatorias" (generadas por ordenador) de una clave de acceso que consiste en palabras normales son indudablemente más seguras que las distorsiones añadidas a mano de forma intuitiva, pero puede que se necesite más esfuerzo para recordarlas.

 

Contraseñas para sitios web

Sí, estoy hablando de "contraseñas" aquí, no de "claves de acceso". Muchos sitios web que requieren que el usuario se registre para algún servicio piden una "contraseña", y en algunos casos imponen un límite bastante estricto a su longitud. En tales casos, las contraseñas construidas sobre la base de las ideas discutidas hasta ahora serían bastante débiles, y se requiere un enfoque diferente.

Una solución eficaz en este caso es construir una contraseña con caracteres completamente aleatorios. Una manera de hacer esto sería usar el programa del OS RISC: !PassWd de Paul Vigay.

En su configuración por defecto, !PassWd permite al usuario crear contraseñas aleatorias de 8 caracteres que consisten en caracteres alfabéticos, que pueden aparecer en mayúsculas o minúsculas, así como los números del 0 al 9. En la configuración predeterminada, !PassWd permite al usuario crear contraseñas aleatorias de 8 caracteres. Una contraseña típica de este tipo es "w4JBM6mb".

Sin embargo, el programa permite al usuario configurar muchas opciones diferentes, como la longitud de la contraseña, ya sean otros caracteres especiales como "$" o '!" están permitidas, si se deben utilizar letras mayúsculas y minúsculas, etcétera. De esta manera, el usuario puede generar contraseñas seguras con la máxima seguridad permitida por un sitio web determinado.

Ahora volvamos a las claves de acceso que consisten en muchas "palabras", que son más apropiadas para la mayoría de los programas de cifrado.

 

Distorsionar una clave de acceso "simple" para hacerla más fuerte

  • En primer lugar, puedes comenzar con un conjunto de palabras aleatorias como las generadas por !RNDpass (más seguro, pero más difícil de recordar) o una secuencia significativa de palabras (menos seguro, pero más fácil de recordar). Si eliges este último enfoque, no utilice citas, proverbios o dichos famosos. Todo esto existe en los diccionarios, incluyendo algunos en formato electrónico, que pueden ser utilizados para el agrietamiento. Una posibilidad sería seleccionar una frase de un libro al azar, preferiblemente evitando cualquier frase completa. Trata de evitar frases con una estructura gramatical convencional y predecible. Si es necesario, reemplaza algunas palabras con palabras tontas e inesperadas.
  • Cuando se "distorsiona" una clave de acceso simple, lo mejor es evitar el uso de sólo palabras del diccionario, para frustrar cualquier posible ataque de diccionario.
  • La mayoría de los programas de cifrado te permiten utilizar caracteres no alfabéticos, como números u otros símbolos en el teclado. Se pueden insertar en lugares inesperados. Por ejemplo, puedes cambiar la palabra "computador" por "c0mputador", "98%computadora", o "comput#". El uso de caracteres adicionales puede aumentar enormemente el número de posibles frases de contraseña, sin hacerlas mucho más difíciles de recordar. Es mejor ponerlos en lugares inesperados. Un atacante puede adivinar, por ejemplo, que reemplazaste "o" por "0", que es un truco común.
  • Las claves de acceso en muchos programas de cifrado, incluyendo PGP y GnuPG, son sensibles a mayúsculas y minúsculas. Esto significa que es una buena idea mezclar mayúsculas y minúsculas. Por ejemplo, el término "computador", comPUTador y COMPUTADOR se considerarían todos ellos como distintos.
  • Si conoces alguna palabra de idiomas extranjeros, puedes incluirla en tu clave de acceso.
  • Puedes inventar tus propias palabras sin sentido, como la famosa palabra "jabberwocky" (parloteo) acuñada por Lewis Carroll.
  • Puedes crear "palabras" completamente sin sentido, consistentes en caracteres aparentemente "aleatorios", pero que son fáciles de recordar. Por ejemplo, "a.s.r" podría significar "Amo SO RISC".
  • Ten en cuenta que puede utilizar cualquier carácter ASCII imprimible, no sólo los que aparecen en el teclado. Por ejemplo, el símbolo de copyright © se puede obtener en los ordenadores del SO RISC manteniendo pulsada la tecla ALT, escribiendo 169 en el teclado numérico y luego soltando la tecla ALT. Los detalles de cómo obtener todos estos caracteres se encuentran en la Guía del usuario de tu computadora.
  • Puedes disfrazar palabras del diccionario usando ortografía extraña e inesperada. Por ejemplo, la palabra "computadora" puede cambiarse por "komputtadola".
  • Las palabras del diccionario también se pueden ocultar usando espacios adicionales u omitiendo espacios, como "com putadora" o "Acorncomputadora".
  • Las técnicas sugeridas anteriormente se vuelven aún más efectivas cuando se usan en combinación. Un ejemplo podría ser la palabra "MY2c0mputasdosras@casa".

 

¿Cómo recordar tus claves de acceso?

La mayoría de los expertos en seguridad están de acuerdo en que no es una buena idea usar la misma clave de acceso para todo propósito. Si alguno de estas están comprometidas de alguna manera, podría permitirle a alguien entrar en todas tus cuentas seguras o programas. ¡Puede ser arriesgado poner todos los huevos en una sola cesta!

Esto plantea la pregunta de cómo recordar todas tus contraseñas o claves de acceso. Puedes tener docenas o incluso cientos de ellas, especialmente si tienes cuentas en muchos sitios web.

Una solución es mantener todas las claves de acceso en un único archivo, que a su vez se mantiene cifrado con una única y sólida clave de acceso. Hay una serie de buenos programas de cifrado disponibles en este sitio web, y cualquiera de ellos puede ser utilizado para cifrar tu lista de claves de acceso.

Un consejo final: Hagas lo que hagas, nunca escribas tus claves de acceso o las guardes en un archivo de texto plano. Si lo haces, estárias buscando problemas. tus claves de acceso deben existir sólo en tu cabeza, ¡o sólo de forma cifrada!

 
   

 

 

DMCA.com Protection Status

Welcome!

Thanks for dropping by! Sign up below and get $20 off your first order!