Roberto Sánchez (*)
“El conflicto entre la necesidad de construir contraseñas de difícil deducción y la necesidad para mantenerlas fácil de recordar, ha hecho de la seguridad de la contraseña un problema complejo”. M. King
La definición de contraseñas seguras (Strong Password) es una necesidad imperativa para habilitar accesos seguros tanto a la información personal en las redes sociales, cuentas de correo, Internet Banking, así como los sistemas y recursos de red empresarial. La definición de contraseñas seguras reduce los riesgos asociados al acceso no autorizado, manipulación y destrucción de información de forma accidental o deliberada y la protege de una posible divulgación no autorizada.
Sin embargo, el uso de contraseñas seguras no reemplaza la necesidad de otros controles de seguridad, los cuales deben actuar en conjunto para proteger la información de manera eficaz. La eficacia de los controles de acceso viene dada por cuatro (4) factores:
-Definición de contraseñas seguras o complejas
-Educación y cultura de seguridad en la protección de contraseñas
-Controles complementarios al uso de contraseñas seguras
-Controles en la transmisión y almacenamiento de contraseñas
Definición de contraseñas seguras
Muchas personas son de la opinión que la definición de contraseñas seguras no es funcional dado el número de contraseñas que manejan, la dificultad que tienen para construirlas y recordarlas, sobre todo ahora con el crecimiento de las redes sociales y el uso de smartphones. Esta situación, trae consigo mayores probabilidades de generar brechas de seguridad, como por ejemplo escribir las contraseñas y ubicarlas en lugares no seguros, tales como debajo de los teclados, en archivos planos en sus computadores e incluso en el sitio de trabajo visibles a cualquier persona.
No obstante, la situación mencionada puede ser solventada empleado técnicas para la definición de contraseñas seguras y estableciendo esquemas de educación y concientización de usuarios, cuyo objetivo es eliminar el uso de contraseñas de fácil deducción mientras permite al usuario la definición de las mismas de manera robustas y fácilmente memorizables.
Para alcanzar el objetivo planteado, es importante considerar los siguientes aspectos entorno a la definición correcta de contraseñas seguras:
-Deben poseer un mínimo de ocho (8) caracteres, constituida por letras mayúsculas, minúsculas, números y al menos un (1) carácter no alfanumérico (puntuación y/o símbolos)
-No usar palabras en ningún idioma, dialecto, argot, o que puedan estar presentes en diccionarios
-No usar información personal como nombres (familiares, mascotas, etc) o fechas como cumpleaños y aniversarios
-No usar acrónimos, palabras o frases relacionadas con la universidad o el trabajo (Go Bulls!!!, Hacer más con menos, Do not smoking!!!)
-No usar términos de computación, comandos, sites o nombre de aplicaciones o software (Delete, Windows, etc)
-No usar patrones de palabras o números (“aaabbb”, “qwerty”, “123456”, “abc123”, “zyxwvuts”, etc)
-No anteponer o agregar ante un cambio de contraseña caracteres adicionales (“gteks”#67”, “gteks”#678”, “gteks”#679” o “1gteks”#67”, “2gteks”#67”, “3gteks”#67”, etc)
A continuación se describe una técnica que permite definir contraseñas seguras y fáciles de recordar por su propietario:
Programa de concientización y cultura
Las técnicas para la definición de contraseñas seguras, no es suficiente para proteger la confidencialidad e integridad de la información, por ello es necesario incurrir en un programa de concientización y cultura que contemple los siguientes aspectos:
-No compartir o revelar las contraseñas a ninguna persona, lo cual incluye familiares, amigos, compañeros de trabajo, jefes o supervisores, entre otros
-Las contraseñas no deben ser mostradas, almacenadas, escritas ni transmitidas en texto claro
-No hablar de la técnica para definir sus contraseñas en presencia de otros
-No revelar las contraseñas en ningún cuestionario o formato físico ni on-line
-No delegar o compartir contraseñas durante vacaciones o permisos
-Las contraseñas no deben ser almacenadas en ninguna localidad donde individuos no autorizados puedan descubrirlas u obtenerlas (Contraseñas escritas en papel, ubicar contraseñas debajo del teclado, en archivos no cifrados en sus computadores, tablets o smartphones, entre otros)
-Definir contraseñas distintas para cada sistema. Principalmente, las contraseñas a emplear en redes sociales (twitter ®, facebook ®, Linkedin ®, etc), sistemas de correo electrónicos, aplicaciones corporativas, internet banking, entre otros
-Al sospechar que una cuenta de usuario está comprometida, debe ser reportado inmediatamente al personal responsable de atender este tipo de solicitudes, se debe bloquear la cuenta de usuario relacionada para investigaciones si es requerido y forzar la definición de una nueva contraseña que cumpla con las mejores prácticas
Controles complementarios al uso de contraseñas seguras
Aún cuando el usuario tiene consigo la responsabilidad de definir contraseñas seguras y protegerlas de su divulgación, es necesario contar con controles complementarios al uso de contraseñas para reforzar la disponibilidad, integridad y confidencialidad de la información. Estos controles, son definidos en su mayoría en los ambientes tecnológicos (páginas web, servidores, bases de datos, aplicaciones, equipos de red, correos electrónicos corporativos y personales, redes sociales, smartphones, entre otros), hacia donde los usuarios se autentican empleando sus credenciales de acceso.
En este sentido, a continuación se definen los controles complementarios mínimos que deben ser tomados en cuenta entorno al uso adecuado de contraseñas y su protección:
-Longitud. Una contraseña debe contar con un mínimo de ocho (8) caracteres, donde su longitud máxima y complejidad debe estar basada en el riesgo inherente
-Complejidad. Evaluar con base al riesgo inherente, la activación o configuración de controles automáticos para “forzar complejidad de contraseñas”, lo cual puede ser definido principalmente en sistemas operativos, aplicaciones comerciales o desarrollo internos en ambiente web
-Caducidad. Basado en el riesgo a la información, la caducidad de contraseñas en días puede ser definida de la siguiente manera por tipo de información:
-Intentos fallidos. Se refiere al bloqueo de contraseñas por intentos fallidos de conexión. El mismo debe ser definido en tres (3) como valor máximo. Este control automático es aplicado por el sistema que autentica y autoriza las credenciales de acceso de los usuarios
-Bloqueo. Se refiere al tiempo en que permanecerá bloqueada una cuenta de usuario por superar los intentos fallidos de conexión. Para sistemas que poseen información confidencial y secreta, el bloqueo debe ser indefinido hasta que el administrador del sistema habilite la cuenta nuevamente
-Historial de contraseñas. Es recomendable que este control esté configurado en diez (10) lo cual evita la reutilización de las últimas diez contraseñas definidas por su propietario
-Verificación preventiva de contraseñas. Se refiere al uso de mecanismos que actúan al momento que un usuario define su contraseña, los cuales pueden comprobar si la misma cumple con los lineamientos de seguridad en cuanto longitud y complejidad, previo a que dicha contraseña sea aceptada por el sistema destino
-Verificación correctiva de contraseñas. Es un control basado en el uso de herramientas o desarrollos internos, donde por parte de la unidad de Seguridad de la Información, se realizan verificaciones recurrentes a la robustez de las contraseñas. Cualquier brecha detectada deberá ser acompañada por el bloqueo de la cuenta de usuario comprometida, definición de una contraseña segura y hacer el llamado de atención correspondiente al propietario de la cuenta.
Controles en la transmisión y almacenamiento de contraseñas
Considerando que las contraseñas sean definidas de forma robusta y estén configurados controles de acceso complementarios para su protección en los ambientes tecnológicos, aún queda por cubrir dos (2) puntos críticos que suelen ser utilizados por atacantes para obtener credenciales de acceso. Estos puntos son, el protocolo de transmisión de contraseñas y el lugar donde las mismas son almacenadas.
En cuanto al medio de transmisión de contraseñas en un esquema cliente-servidor, deben ser utilizados protocolos seguros (SSH, NTLMV2, https, etc) para que las credenciales de acceso (usuario y contraseña) sean cifradas y transmitidas de manera confiable, evitando de esta forma que un intruso mediante técnicas de hacking (“sniffing”, “man-in-the-middle”, etc) logre capturarlas de manera legible y hacer uso indebido de los activos de información.
Con respecto al esquema de almacenamiento de contraseñas, las mismas deben ser cifradas empleando algoritmos robustos (AES, MD5, etc) y almacenadas con accesos restringidos. De esta manera, aún cuando un intruso logre tener acceso a los repositorios donde se encuentran las contraseñas, estas se encontrarán cifradas y no podrán ser utilizadas de manera indebida.
Es importante destacar, que una persona pudiera tener más de quince (15) contraseñas que recordar en un momento dado y aún cuando sean definidas empleando técnicas para su robustez y ser fácilmente memorizadas, puede se requiera un repositorio seguro para almacenarlas, para lo cual se sugiere utilizar herramientas comerciales y certificadas (“password keeper”, “password manager”, etc) tanto para Smartphone, tablets, desktops, entre otros.
Conclusiones
Lo más apetecible por un intruso dado el factor determinante para un acceso efectivo a la información, son las contraseñas. Por ello, deben ser distintas para cada ambiente tecnológico, definidas con una longitud apropiada y de manera robusta.
Adicionalmente, se debe contar con una adecuada educación y conciencia de seguridad para los usuarios, controles de accesos complementarios al uso de la contraseña operando efectivamente en los sites o sistemas destinos y el uso adecuado de protocolos seguros de transmisión y esquemas de cifrado para el almacenamiento de contraseñas.
Sin embargo, cada día las amenazas son mayores y difíciles de controlar, por lo que las vulnerabilidades y riesgos de acceso no autorizado a la información son mayores, considerando el auge que ha representado las redes sociales, el uso de smartphones y trabajo remoto en nuestra vida cotidiana.
En este sentido, los controles de seguridad para la protección de la información catalogada como “crítica” o “secreta”, tienden a ir más allá de la contraseña o “algo que conoces”. Se incorporan, mecanismos de seguridad adicionales basados en “algo que posees” (token, tarjeta de coordenadas, etc), “algo que te identifica” (huella dactilar, lectura de retina, etc), “algo único que haces” (firmas, símbolos, etc) o “desde donde te autenticas” (dirección física, dirección ip, etc).
(*) El autor es socio de la firma PriceWaterhousecoopers.
Fuente: http://www.cwv.com.ve