viernes, 10 de junio de 2011

Ideas para crear contraseñas seguras

En este tema voy a intentar dar unos consejos/ideas prácticos que puedan ayudar a crear una contraseña básica y a partir de ella, otras contraseñas para todas las ocasiones en las que las necesitamos: contraseña de root, o contraseña de acceso a un foro, contraseña de cuentas de correo,  de páginas de internet , etc

1)-Como debe de ser una contraseña:

- No debe ser corta, debe tener  un mínimo de 8 caracteres.

-  No debe incluir secuencias de caracteres,  ni caracteres repetidos. Cadenas como “12345678″, “222222″, “abcdefg” o el uso de letras adyacentes en el teclado no ayudan a crear contraseñas seguras.

- Hay que evitar utilizar únicamente sustituciones de letras por números o símbolos similares: sustituir l por 1, o por 0, a por @

- Cualquier parte del nombre, fecha de nacimiento, número de la seguridad social o datos similares propios o de sus familiares constituye una mala elección para definir una contraseña

- No se deben utilizar palabras de diccionario de ningún idioma.

- Hay que evitar el  utilizar sistemas de almacenamiento de contraseñas en línea.

- Una frase codificada resulta más fácil de recordar que una contraseña simple, además de ser más larga y más difícil de adivinar. Utilice palabras y frases que le resulte fácil recordar, pero que a otras personas les sea difícil adivinar.

- Combine letras, números y símbolos: Cuanto más diversos sean los tipos de caracteres de la contraseña, más difícil será adivinarla, Una contraseña ideal combinaría una mayor longitud y distintos tipos de símbolos.

-Su contraseña será mucho más segura si elige entre todos los símbolos del teclado, incluidos los de puntuación que no aparecen en la fila superior del teclado, así como los símbolos exclusivos de su idioma.

-Utilice varias contraseñas para distintos entornos: no use la misma contraseña para todas sus cuentas de correo y ademas para root, o la misma para todos los blogs, foros, etc

- Cambie sus contraseñas con regularidad: la contraseña de root, la del router, la de la conexión por wifi, son contraseñas fáciles de cambiar periódicamente; las contraseñas de cuentas de correo, de páginas web, foros, etc seguramente no será tan fácil que puedan ser cambiadas periódicamente

- No facilite nunca su contraseña por correo electrónico, ni porque se le pida por ese medio.

--------------------------------------------

2)- Crear una contraseña básica, segura y fácil de recordar:

Se puede crear una contraseña segura, siguiendo estos pasos:

1- Piense en una frase que pueda recordar fácilmente: puede ser una frase de su invención , o una frase-hecha, refrán, etc , un titulo de una película,de un libro, etc, incluso mejor una locución en latín que recuerdes, o una fórmula de física, matemáticas o química. Ésta será la base de la contraseña segura o frase codificada.

2- Compruebe si el equipo o el sistema en línea admite directamente la frase codificada. Si puede utilizar una frase codificada (con espacios entre caracteres) en el equipo o en el sistema en línea, hágalo.

3- Si el equipo o el sistema en línea no admite frases codificadas, se puede convertir en una sola palabra/contraseña. Pruebe de nuevo con la frase, pero eliminando los espacios en blanco entre palabras de forma que toda la frase parezca una sola palabra; si el resultado es una palabra demasiado larga, o el sistema sigue sin admitirla, utilice la primera letra/silaba de cada palabra de la frase que ha creado para definir una palabra nueva sin sentido.

4- Resulta de utilidad cambiar letras o cometer errores ortográficos voluntariamente. Por ejemplo, considere la posibilidad de escribir incorrectamente alguna palabra o sustituir una o varias silabas por  algún carácter ( combinando caracteres en mayúsculas, minúsculas, números y signos especiales  ) . Hay muchas posibles sustituciones y, cuanto más larga sea la frase, más compleja será la contraseña. Si el equipo o el sistema en línea no admite frases codificadas, utilice la misma técnica para la contraseña abreviada.

5- Por último, realice sustituciones por ejemplo de las vocales con algunos caracteres especiales (usando para ello la tecla Mayúscula o la tecla AltGr) . Puede utilizar símbolos que parezcan letras, para crear contraseñas más complejas.

6-Asegúrese de que la contraseña que ha creado ha sido realizada siguiendo unas reglas de codificación lógicas y fáciles de recordar, de forma que aunque olvide la contraseña propiamente dicha, la pueda recuperar a partir de la frase inicial y las reglas de codificación.

7- Pruebe la contraseña con algún comprobador de contraseñas.

Con todo ello podemos fabricarnos  unas reglas de codificación con las que crear una contraseña básica que nos servirá de base para posteriormente obtener otras contraseñas para otro tipo de asuntos.

--------------------------------------------

3)-Ejemplo de creación de una contraseña básica ( con un ejemplo de regla de codificación ) :
- Frase inicial: "una retirada a tiempo es una victoria"
- La convertimos en una sola palabra-sin-sentido, eligiendo la primera silaba de cada palabra: unreatiesunvi  ( esta ya seria una buena contraseña, pero se puede mejorar/complicar mas )
- Sustituimos las vocales por otros símbolos:

a   e   i   o    u
|   2   #  4   ½

Sustituimos las vocales pares ( e,o ) por sus números: e = 2    o = 4
Las vocales impares ( a,i,u ) las sustituimos por la combinación de la tecla Alt Gr + sus números:
a = Alt Gr + 1 = |
i = Alt Gr + 3 = #
u = Alt Gr + 5 = ½

- Con lo que nos queda la contraseña básica:  ½nr2|t#2s½nv#

Esto es lógicamente solo un ejemplo de regla de codificación, para dar una idea, pero lo mejor es que cada uno se invente una regla que le resulte fácil recordar.

--------------------------------------------

4)- Crear contraseñas para distintos entornos/usos:

Supongamos que a partir de lo dicho anteriormente la contraseña básica que hemos creado es  ½nr2|t#2s½nv#   . A partir de la contraseña básica podemos, añadirle un prefijo o un sufijo o ambos, y crear contraseñas para otras necesidades, por ejemplo:

-- Contraseñas de usuarios: añadimos nombre (codificado ) del usuario:
por ejemplo para el root:       r44t½nr2|t#2s½nv#r44t
para el usuario  user:             ½s2r½nr2|t#2s½nv#½s2r

-- Contraseñas para cuentas de correos: añadimos el nombre de usuario de la cuenta, y el de la compañía que  nos presta el servicio ( codificados siguiendo las mismas normas que hayamos usado para crear la contraseña básica ), por ejemplo:      h|tt½nr2|t#2s½nv#4n4

-- Contraseña para la red wifi: añadimos w#f#:      w#f#½nr2|t#2s½nv#w#f#

-- Contraseña para el router:  añadimos r4½t2r:        r4½t2r½nr2|t#2s½nv#r4½t2r

-- Contraseñas para foros, páginas web, etc: podemos crear una contraseña siguiendo los mismos pasos indicados en el apartado 3), usando el titulo de la página web, (lógicamente sin tener en cuenta cosas como http://  ,  www   o  .es .com  .org , etc ), para crear primero una palabra-sin-sentido, y luego la contraseña. Por ejemplo si la página es http://foro-ubuntu-guia.blogspot.com/  la palabra-sin-sentido seria: foubunguiblo; y la contraseña, usando la misma codificación que en el ejemplo, seria: f4½b½ng½#bl4 . Si la contraseña creada de esta forma fuera corta, porque el titulo de la página fuera corto, se le puede añadir, como prefijo o sufijo o ambos,  el número de carácteres que contenga el título.

Lamentablemente muchos foros, páginas etc no nos dejan elegir nuestra contraseña, sino que nos piden que les demos nuestra dirección email y nos mandan ellos una contraseña.

--------------------------------------------

5)-Comprobadores de  la robustez de una contraseña:

-- Con Firefox: en Firefox->Editar->Preferencias->pestaña Seguridad->usar una Contraseña Maestra-> en la ventana que se abre poner la contraseña, una sola vez y después de ver como es de segura, dar al botón cancelar.



-- Comprobador de contraseñas de sitios Web: es una característica de algunas páginas que ayuda a determinar el nivel de seguridad que ofrece una contraseña a medida que la escribe (esos datos no se registran).

-- Con un programa almacenador/administrador de contraseñas, (Revelation Password Manager - RPM) : Lo primero es instalar el paquete revelation desde Synaptic. Una vez abierto el programa: RPM -> View ->Password checker



---------------------------------------------------

6)-Donde guardar las contraseñas: En principio, desde el punto de vista de la seguridad informática,  los lugares mas seguros para guardar tanto las reglas de codificación como la contraseña básica y las contraseñas creadas a partir de ellas, son,  a mi modo de ver, de mas seguros a menos:

-- En nuestra memoria: si la tenemos en buen estado y no se lo decimos a nadie, ahí es el lugar mas seguro, ya que no hay posibilidad de que nadie entre en nuestro cerebro y nos la robe. Lógicamente no debemos crear una regla de codificación que sea demasiado complicada de recordar.

-- En un papel guardado en lugar seguro: tampoco hay posibilidad de que nos sea robada por medios informáticos

-- En algún lugar o sistema informático ( pendrive, disco duro extraible ) que no este siempre disponible a la vista de alguien que entrara en nuestro pc, lo cual hace que el posible ladrón tenga un tiempo limitado para averiguarla

-- En algún software administrador de contraseñas, al cual se accede a través de una contraseña que da acceso a todas las demás contraseñas

-- En un archivo de texto guardado en un directorio oculto de nuestro disco duro del sistema

-- En un archivo de texto guardado en un directorio no oculto de nuestro disco duro del sistema

-- En un sistema de almacenamiento de contraseñas en línea.

----------------------------------------------------------------------

5 comentarios:

  1. Hola muy buena tus ideas donde puedo descargar un software administrador de contraseñas?

    ResponderEliminar
  2. LittleMonster:
    Si buscas en el índice del blog encontrarás, justo debajo de la entrada de este tema, este http://hatteras.wordpress.com/2011/07/07/revelation-administrador-de-contrasenas/.
    Puedes probar otros programas similares: Pasaffe, Keepass2, Password-gorilla, todos ellos los puedes instalar desde Synaptic

    ResponderEliminar
  3. Hola, muy interesante el articulo.
    Pero, tengo una duda.
    ¿Porque los sistemas de almacenamiento de contraseña on-line, no son buenos?

    Yo hace tiempo que uso LastPass, y según el articulo, los sistemas de almacenamiento de contraseñas en linea están en ultimo lugar como los menos seguros.

    ResponderEliminar
  4. Daniel:
    Es solo cuestión de confianza. Yo no me fío de "la nube", prefiero tener mis archivos, mis contraseñas, en algún sitio que yo controle - prefiero tener mis pies, y mis archivos, en "la tierra" -. Si tu si que confías en lo "on line", no hay problema en que uses sistemas online de almacenamiento de contraseñas.

    ResponderEliminar
  5. Una pregunta: puedo poner una clave wifi en Ubuntu y que el usuario (mi hijo), que es root, no la vea con el típico Editar las conexiones -> Inalámbrica -> Seleccionamos nuestra wifi -> Editar -> Seguridad inalámbrica y "mostrar contraseña"?? En Ubuntu 13.04
    Gracias!!!!

    ResponderEliminar

A la vez que haces un comentario, por favor da una puntuación al tema: malo, normal, bueno o muy bueno.
Gracias.