Criado Indomable

Un intento de Blog de Sebastián D. Criado – 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

El ataque de las passwords

Posted by Sebastián Criado en Jueves, abril 16, 2009 17:47

SeguridadRealicé una nota para el blog de AltoSec inaugurando la serie de Tips de seguridad que estamos poniendo disponibles. Un pequeño aporte nada más. A lo mejor redundante por la gran cantidad de información que existe, pero nunca innecesario. En la nota trato un tema que es bastante preocupante y a la vez difícil de manejar para los administradores de seguridad y sistemas de las empresas.

Las Passwords de los usuarios.

Y es que es entendible que a medida que se aumentan las barreras para evitar el ingreso no autorizado a la información los niveles de confort se vean afectados. Pero de allí a pegar las password en los monitores con un Post-It hay un trecho grande.

Una de las cosas que se realizan en una auditoría es mirar el entorno de los usuarios. Existe una alta probabilidad de que el mismo tenga a la vista información que permita el ingreso a su equipo, cuenta de mail, sistema, y hasta los datos para la ingresar al home banking. Si no es directamente mediante un papel pegado en el monitor, será en el escritorio, en la última hoja del talonario del calendario o en otro lugar.

Pero, ¿por que esto que parece tan de sentido común ocurre? y ¿como evitar que ocurra en nuestra organización?.

La primer pregunta puede tener varias respuestas de las cuales doy una lista resumida y no definitiva. Lo mejor sería completarla

Ponga su password aquí

Ponga su password aquí

preguntando al usuario por que ha pegado ese papel allí.

  • El usuario se siente “seguro” y piensa que nadie de la empresa estará interesado en eso
  • El usuario no comprende el nivel de riesgo
  • Las políticas de claves obligan al usuario elegir claves demasiado difíciles de recordar
  • El usuario esgrime que tiene “demasiadas cosas que recordar”.

De aquí viene el como evitar que el usuario ponga en riesgo los activos informáticos de la organización poniendo la clave a disposición de cualquier que se llegue a su escritorio.

La información es una excelente forma para que el usuario esté enterado de los riesgos. El tema ya lo hemos tratado aquí. En la reunión se le podrá informar que él ES responsable por su password y que esa responsabilidad tiene que asumirla. También que no tiene que sentirse tan seguro dentro de la organización por que puede ingresar tranquilamente alguien externos en algún momento y ver las claves. Hay muchos más argumentos y existen otras cosas que informar al usuario al respecto, todo dependiendo de los niveles de maduración en aspectos de seguridad que tenga la organización.

El tema de la dificultad en recordar las claves se puede resolver enseñando un mecanismo que el usuario perciba como útil.
Este mecanismo tiene que ser sencillo y tiene que permitir que los usuarios tengan claves fuertes y no por ello difíciles de recordar.

Ejemplo de mecanismo para generar claves:

  1. Recordar el nombre de una película/libro/tema musical o una frase que tenga por lo menos 4 palabras.
  2. Armar la clave con las primeras 2 letras de cada palabra, poniendo la primera en mayúsculas.
  3. Agregarle luego 2 o 3 números más un símbolo (+,-,*,?,¿,¡,&,etc)

No necesariamente tiene que ser un método definitivo, pero es un método simple que refuerza el mecanismo de contraseña ya que como mínimo se tendrá una clave fuerte con 10 o 11 caracteres con mayúsculas, minúsculas, números y símbolos, lo que es suficiente para cumplir con la gran mayoría de las políticas de seguridad las cuales, por supuesto,  tienen que estar definidas e incorporando un mecanismo de cambio de claves cada cierto tiempo.

Así, el usuario recordará una frase, un número y un símbolo lo cual será muy simple; más que hacer que recuerde una clave que seguramente fue la que “ENTRO” después de intentar varias veces con los nombres de todas sus mascotas, parientes, su nombre, teléfono, fechas de cumpleaños y DNI de diversas formas.

Este mismo método se puede rápidamente reforzar para que sea aun más complicado deducir la clave si se cambian algunas letras por números donde a=4, e=3, s=5, o=0, l=1, t=7, etc.

Llegado el caso de que existan muchas passwords, tantas que hasta el método antes mencionado haga difícil  de recordarlas a todas, (los usuarios en este punto son muy rápidos para indicar que tienen que recordar también la clave del cajero, la casilla de mensajes y las de sus sistema de mensajería personal) se puede utilizar alguna de las herramientas disponibles en Internet para el almacenamiento de claves, los cuales tienen que disponer de mecanismos de encriptación fuertes para que ante el caso de robo de información, no quede las mismas comprometidas.
Estas herramientas permiten que el usuario tenga que recordar solo “UNA” clave para acceder al resto de las que posee.

A muchos usuarios las passwords los atacan. Quisieran vivir en un mundo en el cual no hiciera falta usar password. Nosotros también. Tal ves llegue ese día con mecanismos de acceso biométricos que no requieran que el usuario no tenga que recordar nada. Ya existe la tecnología y de a poco se ira integrando con el común de los sistemas. Pero, por el momento, tenemos que pensar en las passwords como en la llave de nuestro auto o casa y por que no, la reja de la ventana. Todos quisiéramos no tener que tenerlas, pero son necesarias.

2 comentarios to “El ataque de las passwords”

  1. Alejandro Lavarello said

    La solución debe venir por el lado del hardware. ¡Basta de molestar y culpabilizar a los usuarios! informáticos, pónganse las pilas y hagan métodos biométricos o una simple llave como las que usamos en las puertas de nuestras casas.
    ¿Les parece lógico tener que recordar una clave para acceder al PC del trabajo, otra para cada cuenta de correo, otra para Facebook, otra para…?

    ¿Porqué insisten en el viejísimo sistema de passwords? Estaba bien en los ´70s, con Unix como la novedad para genios de la computación, pero ahora las computadoras son 1000 veces más poderosas y las usan niños y ancianos. Tienen capacidad para reconocer habla y rostros, ¿porqué no se enfocan en esa dirección, en lugar de hacer versiones cada vez más pesadas de Office?

    La culpa de este problema de seguridad es de las compañías de informática que siempre desprecian al usuario. Aprendan de los fabricantes de autos y de los cerrajeros.

  2. Alejandro Lavarello said

    El OS/2 Warp de 1995 podía ser comandado por la voz. Tengo la sensación que perdimos 15 años gastando energías en mejorar tarjetas gráficas para los jueguitos sin dar a los usuarios una interacción más fácil y segura.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: