Conócenos

CIBERSEGURIDAD

La necesidad de gestionar convenientemente las contraseñas como consejo de ciberseguridad

Por Carlos Núñez Vázquez

  • Imprimir

Carlos Nuñez

En poco tiempo hemos pasado a utilizar ligeras evoluciones del “Santo y Seña” a lectura de huellas dactilares o identificación biométrica. En cualquier caso, el uso de contraseñas se ha integrado completamente en nuestro modo de vida. 

Habitualmente solemos salir del paso con evoluciones de “Santiago y Cierra España”, como “pepelu98”, o “123456”. 

En este artículo quiero compartir algunos trucos y herramientas para lidiar en el día a día con esta cuestión. Algunas ideas: 

1.- Usar contraseñas suficientemente complicadas.

Con solo ver esta herramienta funcionando ya podemos quedar en estado de pedir bombona de oxígeno, y de pedirle perdón al técnico que nos exige poner en Windows claves de al menos ocho caracteres, alguna mayúscula y algún símbolo. En realidad, para ponérselo difícil a sistemas basados en Rainbow Tables necesitaremos claves de al menos 8 caracteres, con algún signo de puntuación, alguna mayúscula y algún espacio. Frase a recordar: “Los espacios evitan los arcoiris”. Nota: No recordar esto en alto, ni en público, porque en el mejor de los casos nos llaman al SAMUR :-) 

Una buena política de contraseñas necesita un buen sistema de generación de contraseñas, y un sistema igual de bueno de almacenamiento y recuperación de las mismas. Lo ideal es que ambas cosas nos las proporcione la misma solución. Podemos crearnos nuestra propia política de contraseñas, o utilizar algún programa que haga la mayoría del trabajo por nosotros. 

Personalmente me gusta especialmente pwdhash, un proyecto de la Universidad de Stanford diseñado para facilitar el uso de una sola clave en diferentes páginas web, generando un hash (cadena de caracteres) distinto para cada sitio a partir de una clave general para todas. El sistema está diseñado para usarlo con direcciones web, pero puede usarse cualquier cosa. Por ejemplo, si en “Site adress” pones “pc1”, y usas como clave “genserico”, te da como resultado este hash, “Ay1cBb3TQ6K”, que es lo que deberás usar como clave. Para usarlo puedes acceder a la web del proyecto, instalarte un plugin para Firefox, Safari o Chrome. También puedes usarlo como aplicación para Windows o Linux o incluso para Android (muy útil disponer de esto en el móvil). 

Una pega que le achacan a este sistema es qué ocurre si en alguna URL que usamos comprometen el sistema y tenemos que cambiar la clave. Tenemos dos opciones: cambiar la palabra maestra para todos nuestros accesos, o incluir alguna marca en la palabra o en el hash original para diferenciarlo (y recordarlo en cada site). En nuestro caso, podríamos usar “gensericoroto1”. 

Otra solución es utilizar un sistema de llave maestra. Un ejemplo, también GPL es KeePass Password Safe. Es una solución de estilo wallet (Billetera, gestor de contraseñas) consistente en una clave maestra que nos facilita una base de datos de contraseñas autogeneradas o especificadas por nosotros mismos. Como en el caso anterior, no hay que insistir en seleccionar una clave maestra lo suficientemente complicada. 

Por supuesto, habrá sistemas que nos exigirán cambiar la clave con una regularidad. Una técnica usual para salir del paso es utilizar estos hashes como raíz, junto con una referencia al año y mes, o al santoral; en nuestro ejemplo nos podríamos quedar con algo parecido a “Ay1cBb3TQ6Kago18”. 

2.- Vigilar el entorno de uso.

Aquí nos referimos a precauciones como nunca usar accesos por contraseña en WIFIs públicas, (a no ser que usemos protecciones estilo OpenVPN, que veremos en otra ocasión), o no poner nunca las claves por escrito en post-it o similares cerca del puesto de trabajo. Esto se amplía a no compartir contraseñas con nadie que sospechemos que puede usar estas técnicas.

¿Qué hacemos cuando tenemos que compartir la clave forzosamente con otra persona? Este dilema es muy fácil que se nos presente cuando, por necesidades de mantenimiento de servicio, o alguna circunstancia similar, tenemos que compartir la clave, para que no vengan a sacarnos de nuestra tumbona en Copacabana en caso de problemas.

Una solución puede ser añadir algún sufijo como temp o comp a la palabra maestra y darle el hash a la persona con la que tenemos que compartir la contraseña. Por supuesto, antes de esto habremos contemplado las circunstancias legales que pudieran derivarse de estas acciones, y estará recogido en los procedimientos de actuación de la entidad-empresa. 

Nos dejamos mucho en el tintero, como por ejemplo cómo podemos hacernos con un sistema de contraseñas propio utilizando sistemas clásicos de cifrado, como el de Tritemio, Vigenère, o el mismísimo Julio César.

También nos dejamos conocer algo sobre técnicas de ruptura de contraseñas, que siempre nos pueden venir bien cuando se nos olvide la contraseña y el mundo se nos vuelva en nuestra contra :-). Volveremos con estas y otras cosas a la vuelta del verano. ¡Feliz  Thermidor!

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

ebook gratuito

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ENTREVISTAS

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

feedburner

Reciba LAW & TIC de forma gratuita.

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17