Securizar las contraseñas

January 18th, 2010 | 2 Comments | Posted in Seguridad

Las contraseñas es un maravilloso mundo y el método de generación en la cabeza de algunos sysadmin es un auténtico galimatías.

Desde los comienzos de internet, siempre se ha intentado averiguar las contraseñas de otras personas para tener acceso a datos no autorizados o conocer la privacidad de terceros. Por este motivo siempre se ha intentado generar scripts, software o métodos para descubrir las contraseñas.

El método más sencillo de descubrir una contraseña es la ingeniería inversa o ingeniería social, ya que es más fácil que una persona te facilite una contraseña a que tener que descubrirla por fuerza bruta.

Métodos conocidos para la generación de contraseñas:

Los conocidos relojes en el teclado número junto con el nombre del mes, fue uno de los métodos para generar contraseñas más difundidos, el gran fallo era cuando la información del comienzo del reloj se proporcionaba a una segunda persona que desconociera este método de generación de contraseñas. ¿Dónde reside el fallo? La primera vez que escuche este tipo de generación de passwords, lo comentará por lo extraño que era y eso provocará un auténtico rumor, así que será un tipo de password a probar.

Las combinaciones numéricas utilizando fechas de nacimiento, números de teléfono, aniversarios, fechas de creación del sistema, rangos ip, extensiones o la fecha de un cumpleaños, es algo relativamente sencillo de descubrir siempre y cuando conozcas a quien administra el sistema, o le puedas realizar unas cuantas preguntas, así que es un método franqueable por la ingeniería social.

El ego personal se utilizaba en los comienzos como generación de contraseñas, encontrándote combinaciones como “soydios”, “elputoamo”,”meadoran”,”elnombredemiamante”,etc… La más curiosa… “retrete”

Las chorradas el nombre de la empresa, el nombre de un departamento, las contraseñas de routers famosos, el nombre o apodo del presidente Las chorradasas de una compañía, etc… esto y mucho más seguro que os lo visteis en alguna servidor o sistema de criticidad alta y siempre son vulnerables a diccionarios.

Síndrome gamer o l33t fue sustituir letras por números, esto llevado de una manera eficaz, puede llegar a ser una gran manera de generar una contraseña, pero el mayor defecto, es poner el nombre de la máquina o el nombre de administrador sustituyendo las vocales por números, o ponerle a un sistema windows como contraseña r00t.

El folio boca abajo esto se suele encontrar en entidades bancarias, isp’s o empresas con cierta rotación, la contraseña se suele encontrar en el cajón de la derecha anotadas en un folio que con suerte está dado la vuelta, otras muchas veces te lo encontrarás a la vista de la señora de la limpieza o de la compañera/o cotilla que te pida un clip.

El miedo a los posibles despidos este es para mí el peor de los casos, siempre se piensa en… ufff no vamos a dejar que solo esta persona tenga acceso a la password de los sistemas, por que si un día se va o lo echamos perdemos el acceso (menos mal que tienen acceso local a las máquinas) Es posible que la contraseña generada sea alfanumérica, que incluya signos, que sea cambiada periódicamente y mil combinaciones más, pero la sabrán 50 personas, lo que provocará un flujo de inseguridad. ¿Dónde la tienen anotada las 49 personas restantes? ¿Cómo te han solicitado que se la proporciones? ¿Cómo y a quién se la proporcionan? Este para mí es uno de los casos más graves, ya que por ejemplo ante la Agencia de Protección de Datos, solo uno será el responsable.

Mi consejo a la hora de generar contraseñas es la utilización de un mínimo de 25 caracteres alfanuméricos y en combinación con símbolos, para que ante la utilización de posibles generadores o sistemas de fuerza bruta, tengan que invertir las suficientes horas como para que el sysadmin más despistado tenga tiempo para verificar los logs; cambiar la contraseña cada 15 días y utilizarla en el menor número de sistemas posible.

En caso de necesitar un software para almacenar las contraseñas emplearía keepas o figaro, pero si es posible utilizaría el más estandar, la mente que así también se ejercita.

Leave a Reply 887 views, 1 so far today |

Follow Discussion

2 Responses to “Securizar las contraseñas”

Ricardo Says:
January 23rd, 2010 at 14:23
Bosco,

A ver si puede ayudarme, he habilitado la cuenta de administrador en mi ordenador y la contraseña no me la acuerdo, puede decirme como quitar esta contraseña o mismo un proceso de cambiarla, hay opciones en internt y no me fio, puedes ayudarme?, gracias
Bosco López Says:
March 13th, 2010 at 18:57
Hola Ricardo:

En el hirens boot en el apartado de Passwords el primer programa que hay sirve para vaciar la contraseña de administrador. Salu2

Deja un mensaje

Script taréas de mantenimiento

En una red corporativa de bastantes pc’s realizar tareas de mantenimiento de los equipos, es algo tedioso, y los usuarios no siempre permiten que les utilices su equipo, así que se me ocurrió el generar un script que realizara las tareas de mantenimiento y añadirlo al script de cierre de sesión. Lo primero que hice [...]

Comandos utilizando Escritorio Remoto (RDP)

Hace ya un tiempo que estoy utilizando la última versión del cliente de Escritorio Remoto de Windows, el cual, trae algunas novedades interesantes que os paso a listar: Web Single sign-on (SSO) y formularios web de autentificación. Acceso a escritorios virtuales utilizando RD Connection Broker. Estado de conexión en el system tray Redirección del reproductor [...]

Recuperar Active Directory desde AD Restore Mode

Hoy asistí a una avería algo curiosa y que me ha dejado el gusanillo por dentro. Como no teníamos permiso para tocar solamente se nos solicitaba levantar el servidor y que el Dpto. de Sistemas del cliente realizara las operaciones oportunas, me he limitado a realizar lo que se solicitaba. El caso es el siguiente: [...]

Integrando Active Directory en tus scripts de PHP

Desde hace 5 meses estoy desarrollando un sistema web para la gestión y administración de incidencias, lógicamente lo hago en mis ratos libres y para eso no en todos sino solo cuando tengo realmente ganas de picar código o estoy realmente aburrido. Una de las cosas que querían integrar en el sistema era que la [...]

Kit indispensable para un técnico [PARTE II]

Al igual que siempre he considerado que poseer las herramientas necesarias y tener un buen kit de material es necesario, lo considero igual de importante llevar el software adecuado para cada momento. En un pendrive se pueden llevar un montón archivos, directorios sin sentido y al final creamos un nuevo concepto de baúl de los [...]

Modo desatendido Active Directory

Hoy he preparado un webcast sobre migraciones de sistemas operativos, bases de datos y exchange. Cuando he terminado me ha picado el gusanillo de automatizar aun más las tareas y buscar métodos que me permitan realizar las tediosas tareas de migración de una forma más automática y quitándote las preocupaciones de la cabeza. Buscando y [...]

Comandos básicos de windows

Es común que se de por sentado que todo el mundo conoce los comandos básicos de windows, pero cada vez me encuentro más casos en los que la gente no tiene ni idea de lo que se puede llegar a ver o ejecutar desde consola, y si le tienes las cosillas capadas se vuelven locos. [...]