Inicio / Linux / Ubuntu / Securizar las contraseñas

Securizar las contraseñas

Candado USBLas contraseñas es un maravilloso mundo y el método de generación en la cabeza de algunos sysadmin es un auténtico galimatí­as.

Desde los comienzos de internet, siempre se ha intentado averiguar las contraseñas de otras personas para tener acceso a datos no autorizados o conocer la privacidad de terceros. Por este motivo siempre se ha intentado generar scripts, software o métodos para descubrir las contraseñas.

El método más sencillo de descubrir una contraseña es la ingeniería inversa o ingeniería social, ya que es más fácil que una persona te facilite una contraseña a que tener que descubrirla por fuerza bruta.

Métodos conocidos para la generación de contraseñas:

Los conocidos relojes en el teclado número junto con el nombre del mes, fue uno de los métodos para generar contraseñas más difundidos, el gran fallo era cuando la información del comienzo del reloj se proporcionaba a una segunda persona que desconociera este método de generación de contraseñas. ¿Dónde reside el fallo? La primera vez que escuche este tipo de generación de passwords, lo comentará por lo extraño que era y eso provocará un auténtico rumor, así que será un tipo de password a probar.

Las combinaciones numéricas utilizando fechas de nacimiento, números de teléfono, aniversarios, fechas de creación del sistema, rangos ip, extensiones o la fecha de un cumpleañoos, es algo relativamente sencillo de descubrir siempre y cuando conozcas a quien administra el sistema, o le puedas realizar unas cuantas preguntas, así­ que es un método franqueable por la ingenierí­a social.

El ego personal se utilizaba en los comienzos como generación de contraseñas, encontrándote combinaciones como “soydios”, “elputoamo”,”meadoran”,”elnombredemiamante”,etc… La más curiosa… “retrete”

Las chorradas el nombre de la empresa, el nombre de un departamento, las contraseñas de routers famosos, el nombre o apodo del presidente Las chorradas de una compañí­a, etc… esto y mucho más seguro que lo visteis en algún servidor o sistema de criticidad alta y siempre son vulnerables a diccionarios.

Sí­ndrome gamer o l33t fue sustituir letras por números, esto llevado de una manera eficaz, puede llegar a ser una gran manera de generar una contraseña, pero el mayor defecto, es poner el nombre de la máquina o el nombre de administrador sustituyendo las vocales por números, o ponerle a un sistema windows como contraseña r00t.

El folio boca abajo esto se suele encontrar en entidades bancarias, isp’s o empresas con cierta rotación, la contraseña se suele encontrar en el cajón de la derecha anotadas en un folio que con suerte está dado la vuelta, otras muchas veces te lo encontrarás a la vista de la señora de la limpieza o de la compañera/o cotilla que te pida un clip.

El miedo a los posibles despidos este es para mí el peor de los casos, siempre se piensa en… ufff no vamos a dejar que solo esta persona tenga acceso a la password de los sistemas, por que si un día se va o lo echamos perdemos el acceso (menos mal que tienen acceso local a las máquinas) Es posible que la contraseña generada sea alfanumérica, que incluya signos, que sea cambiada periódicamente y mil combinaciones más, pero la sabrán 50 personas, lo que provocará un flujo de inseguridad. ¿Dónde la tienen anotada las 49 personas restantes? ¿Cómo te han solicitado que se la proporciones? ¿Cómo y a quién se la proporcionan? Este para mí es uno de los casos más graves, ya que por ejemplo ante la Agencia de Protección de Datos, solo uno será el responsable.

Mi consejo a la hora de generar contraseñas es la utilización de un mínimo de 25 caracteres alfanuméricos y en combinación con símbolos, para que ante la utilización de posibles generadores o sistemas de fuerza bruta, tengan que invertir las suficientes horas como para que el sysadmin más despistado tenga tiempo para verificar los logs; cambiar la contraseña cada 15 días  y utilizarla en el menor número de sistemas posible.

En caso de necesitar un software para almacenar las contraseñas emplearía keepas o figaro, pero si es posible utilizaría el más estandar, la mente que así también se ejercita.

Sobre Bosco López

/dev/null

Te puede interesar también

Powered by Linux

Añadir usuario al grupo www-data

A la hora de instalar un servidor web solemos querer que nuestro usuario (no root), …

2 Comentarios

  1. Bosco,

    A ver si puede ayudarme, he habilitado la cuenta de administrador en mi ordenador y la contraseña no me la acuerdo, puede decirme como quitar esta contraseña o mismo un proceso de cambiarla, hay opciones en internt y no me fio, puedes ayudarme?, gracias

  2. Hola Ricardo:

    En el hirens boot en el apartado de Passwords el primer programa que hay sirve para vaciar la contraseña de administrador. Salu2

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *