Conócenos

CIBERSEGURIDAD

La necesidad de gestionar convenientemente las contraseñas como consejo de ciberseguridad

Por Carlos Núñez Vázquez

  • Imprimir

Carlos Nuñez

En poco tiempo hemos pasado a utilizar ligeras evoluciones del “Santo y Seña” a lectura de huellas dactilares o identificación biométrica. En cualquier caso, el uso de contraseñas se ha integrado completamente en nuestro modo de vida. 

Habitualmente solemos salir del paso con evoluciones de “Santiago y Cierra España”, como “pepelu98”, o “123456”. 

En este artículo quiero compartir algunos trucos y herramientas para lidiar en el día a día con esta cuestión. Algunas ideas: 

1.- Usar contraseñas suficientemente complicadas.

Con solo ver esta herramienta funcionando ya podemos quedar en estado de pedir bombona de oxígeno, y de pedirle perdón al técnico que nos exige poner en Windows claves de al menos ocho caracteres, alguna mayúscula y algún símbolo. En realidad, para ponérselo difícil a sistemas basados en Rainbow Tables necesitaremos claves de al menos 8 caracteres, con algún signo de puntuación, alguna mayúscula y algún espacio. Frase a recordar: “Los espacios evitan los arcoiris”. Nota: No recordar esto en alto, ni en público, porque en el mejor de los casos nos llaman al SAMUR :-) 

Una buena política de contraseñas necesita un buen sistema de generación de contraseñas, y un sistema igual de bueno de almacenamiento y recuperación de las mismas. Lo ideal es que ambas cosas nos las proporcione la misma solución. Podemos crearnos nuestra propia política de contraseñas, o utilizar algún programa que haga la mayoría del trabajo por nosotros. 

Personalmente me gusta especialmente pwdhash, un proyecto de la Universidad de Stanford diseñado para facilitar el uso de una sola clave en diferentes páginas web, generando un hash (cadena de caracteres) distinto para cada sitio a partir de una clave general para todas. El sistema está diseñado para usarlo con direcciones web, pero puede usarse cualquier cosa. Por ejemplo, si en “Site adress” pones “pc1”, y usas como clave “genserico”, te da como resultado este hash, “Ay1cBb3TQ6K”, que es lo que deberás usar como clave. Para usarlo puedes acceder a la web del proyecto, instalarte un plugin para Firefox, Safari o Chrome. También puedes usarlo como aplicación para Windows o Linux o incluso para Android (muy útil disponer de esto en el móvil). 

Una pega que le achacan a este sistema es qué ocurre si en alguna URL que usamos comprometen el sistema y tenemos que cambiar la clave. Tenemos dos opciones: cambiar la palabra maestra para todos nuestros accesos, o incluir alguna marca en la palabra o en el hash original para diferenciarlo (y recordarlo en cada site). En nuestro caso, podríamos usar “gensericoroto1”. 

Otra solución es utilizar un sistema de llave maestra. Un ejemplo, también GPL es KeePass Password Safe. Es una solución de estilo wallet (Billetera, gestor de contraseñas) consistente en una clave maestra que nos facilita una base de datos de contraseñas autogeneradas o especificadas por nosotros mismos. Como en el caso anterior, no hay que insistir en seleccionar una clave maestra lo suficientemente complicada. 

Por supuesto, habrá sistemas que nos exigirán cambiar la clave con una regularidad. Una técnica usual para salir del paso es utilizar estos hashes como raíz, junto con una referencia al año y mes, o al santoral; en nuestro ejemplo nos podríamos quedar con algo parecido a “Ay1cBb3TQ6Kago18”. 

2.- Vigilar el entorno de uso.

Aquí nos referimos a precauciones como nunca usar accesos por contraseña en WIFIs públicas, (a no ser que usemos protecciones estilo OpenVPN, que veremos en otra ocasión), o no poner nunca las claves por escrito en post-it o similares cerca del puesto de trabajo. Esto se amplía a no compartir contraseñas con nadie que sospechemos que puede usar estas técnicas.

¿Qué hacemos cuando tenemos que compartir la clave forzosamente con otra persona? Este dilema es muy fácil que se nos presente cuando, por necesidades de mantenimiento de servicio, o alguna circunstancia similar, tenemos que compartir la clave, para que no vengan a sacarnos de nuestra tumbona en Copacabana en caso de problemas.

Una solución puede ser añadir algún sufijo como temp o comp a la palabra maestra y darle el hash a la persona con la que tenemos que compartir la contraseña. Por supuesto, antes de esto habremos contemplado las circunstancias legales que pudieran derivarse de estas acciones, y estará recogido en los procedimientos de actuación de la entidad-empresa. 

Nos dejamos mucho en el tintero, como por ejemplo cómo podemos hacernos con un sistema de contraseñas propio utilizando sistemas clásicos de cifrado, como el de Tritemio, Vigenère, o el mismísimo Julio César.

También nos dejamos conocer algo sobre técnicas de ruptura de contraseñas, que siempre nos pueden venir bien cuando se nos olvide la contraseña y el mundo se nos vuelva en nuestra contra :-). Volveremos con estas y otras cosas a la vuelta del verano. ¡Feliz  Thermidor!

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

ebook gratuito

CASE STUDY & MASTER CLASS

ENTREVISTAS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

GESTIÓN DE DESPACHOS

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

FACTURA ELECTRÓNICA Y NUEVO ESTÁNDAR EUROPEO, EMPRESAS EFICIENTES

Este evento que tendrá lugar en Madrid el próximo 12 de junio se organiza con el objeto de revisar el Nuevo estándar de facturación electrónica  europeo y situación de la factura electrónica en España. 

IV Congreso Ciudades Inteligentes, 30-31 mayo, Madrid. 57 Ponentes de máximo nivel

Tras el éxito de las tres primeras ediciones del Congreso Ciudades Inteligentes, celebradas en marzo 2015, y abril de 2016 y 2017, Grupo Tecma Red  y SESIAD organizan la IV edición de este evento, que tendrá lugar los días 30 y 31 de mayo de 2018, en el Espacio La Nave del Ayuntamiento de Madrid.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17