Академический Документы
Профессиональный Документы
Культура Документы
Importante
6.1.2. Contraseñas
Si el nombre de usuario responde a la pregunta "¿Quién es usted?", la contraseña
es la respuesta a la pregunta que inevitablemente sigue:
"Demuéstralo!"
En términos más prácticos, una contraseña proporciona una forma de probar la
autenticidad de la persona que dice ser el usuario con ese nombre de usuario. La
efectividad de un esquema basado en contraseñas recae en gran parte sobre
varios aspectos de la contraseña:
La confidencialidad de la contraseña
La resistencia de adivinar la contraseña
La resistencia de la contraseña ante un ataque de fuerza bruta
Las contraseñas que efectivamente toman en cuenta estos problemas se conocen
como contraseñas robustas, mientras que aquellas que no, se les llama débiles.
Es importante para la seguridad de la organización crear contraseñas robustas,
mientras más robustas sean las contraseñas, hay menos chances de que estas
sean descubiertas o que se adivinen. Hay dos opciones disponibles para reforzar
el uso de contraseñas robustas:
El administrador del sistema puede crear contraseñas para todos los
usuarios.
El administrador del sistema puede dejar que los usuarios creen sus
propias contraseñas, a la vez que se verifica que las contraseñas sean lo
suficientemente robustas.
Al crear contraseñas para todos los usuarios asegura que estas sean robustas,
pero se vuelve una tarea pesada a medida que crece la organización. También
incrementa el riesgo de que los usuarios escriban sus contraseñas.
Por estas razones, la mayoría de los administradores de sistemas prefieren dejar
que los usuarios mismos creen sus contraseñas. Sin embargo, un buen
administrador de sistemas tomará los pasos adecuados para verificar que las
contraseñas sean robustas.
Para leer sobre las pautas para la creación de contraseñas robustas, vea el
capítulo llamado Seguridad de las Estaciones de trabajo en el Manual de
seguridad de Red Hat Enterprise Linux.
La necesidad de mantener secretas las contraseñas debería ser una parte
arraigada en la mente de un administrador de sistemas. Sin embargo, este punto
se pierde con frecuencia en muchos usuarios. De hecho, muchos usuarios ni
siquiera entienden la diferencia entre nombres de usuarios y contraseñas. Dado
este hecho, es de vital importancia proporcionar cierta cantidad de educación para
los usuarios, para que así estos puedan entender que sus contraseñas se
deberían mantener tan secretas como su sueldo.
Las contraseñas deberían ser tan difíciles de adivinar como sea posible. Una
contraseña robusta es aquella que un atacante no podrá adivinar, aún si el
atacante conoce bien al usuario.
Un ataque de fuerza bruta sobre una contraseña implica el intento metódico
(usualmente a través de un programa conocido como password-cracker) de cada
combinación de caracteres posible con la esperanza de que se encontrará la
contraseña correcta eventualmente. Una contraseña robusta se debería construir
de manera tal que el número de contraseñas potenciales a probar sea muy
grande, forzando al atacante a tomarse un largo tiempo buscando la contraseña.
Las contraseñas débiles y robustas se exploran con más detalles en las secciones
siguientes.
6.1.2.1. Contraseñas débiles
Como se estableció anteriormente, una contraseña débil es una que no pasa
alguna de estas tres pruebas:
Es secreta
Es resistente a ser adivinada
Es resistente a un ataque de fuerza bruta
Las secciones siguientes muestran cómo pueden ser débiles las contraseñas.
6.1.2.1.1. Contraseñas cortas
Una contraseña corta es débil porque es mucho más susceptible a un ataque de
fuerza bruta. Para ilustrar esto, considere la tabla siguiente, en el que se muestran
el número de contraseñas potenciales que deben ser evaluadas en un ataque de
fuerza bruta. (Se asume que las contraseñas consisten solamente de letras en
minúsculas.)
Largo de la Contraseñas
contraseña potenciales
1 26
2 676
3 17,576
4 456,976
5 11,881,376
6 308,915,776
Nota
Nota
Muchos programas de ataque a contraseñas basados en diccionario
utilizan diccionarios de diferentes idiomas. Por lo tanto, no piense que
su contraseña es más robusta simplemente porque está utilizando una
palabra que no es en Español.
Nota
Una vez desactivado el acceso, es el momento para hacer una copia de seguridad
de los archivos de esta persona. Este respaldo puede ser parte de los respaldos
estándares de su organización, o puede ser un procedimiento dedicado a hacer
copias de seguridad de viejas cuentas de usuario. Aspectos tales como
regulaciones sobre la retención de datos, guardar evidencia en casos de
demandas por liquidaciones erróneas y otras parecidas, todas forman parte en
determinar la forma más apropiada de manejar las copias de seguridad.
En cualquier caso, un respaldo en este momento siempre es un buen hábito, pues
el próximo paso (cuando el supervisor accede a los datos de la persona liquidada)
puede resultar en la eliminación accidental de los archivos. En tales
circunstancias, el tener una copia de seguridad reciente hace posible recuperarse
fácilmente de este tipo de accidentes, haciendo el proceso más fácil tanto para el
supervisor como para usted.
En este punto, debe determinar que tipo de acceso requiere el supervisor de la
persona recientemente terminada a los archivos de esta. Dependiendo de su
organización y la naturaleza de las responsabilidades de la persona, es posible
que no se requiera ningun acceso, o que se necesite acceso completo.
Si la persona utilizó los sistemas para cosas más allá que simplemente correo
electrónico, es posible que el supervisor tenga que revisar y colar un poco los
archivos, determinar lo que se debería mantener y qué se puede desechar. Al
concluir este proceso, al menos algunos de estos archivos seran entregados a la
persona que tomará las responsabilidades de la persona liquidada. Quizás se le
solicite su asistencia para este paso final o puede que el supervisor esté en una
posición de manejar esto él mismo. Todo depende de los archivos y de la
naturaleza del trabajo que realiza su organización.