De acuerdo al libro Sistemas Operativos Modernos de A.Tanembaum, en el capítulo 9 Seguridad se indica:
"... Todo sistema computacional seguro debe requerir que todos los usuarios se autentiquen al momento de iniciar sesión. Después de todo, si el sistema operativo no puede estar seguro de quién es el usuario, tampoco puede saber a qué archivos y otros recursos puede acceder. Aunque la autenticación puede parecer un tema trivial, es un poco más complicado de lo que se podría esperar. Siga leyendo.
La autenticación de los usuarios es una de las cosas que queríamos expresar con lo de “la ontogenia recapitula la filogenia en la sección 1.5.7. Las primeras mainframes como ENIAC no tenían un sistema operativo, mucho menos un procedimiento de inicio de sesión. Los posteriores sistemas mainframe de procesamiento por lotes y tiempo compartido tenían por lo general un procedimiento de inicio de sesión para autenticar los trabajos y los usuarios” ...
... 9.4.1 Autenticación mediante el uso de contraseñas
La forma más utilizada de autenticación es requerir que el usuario escriba un nombre de inicio de sesión y una contraseña. La protección mediante contraseñas es fácil de comprender y de implementar.
La implementación más simple sólo mantiene una lista central de pares (nombre-iniciosesión,contraseña). El nombre de inicio de sesión que se introduce se busca en la lista y la contraseña introducida se compara con la contraseña almacenada. Si coinciden, se permite al usuario que inicie sesión; en caso contrario, se rechaza... "
Cuando en clases abordamos el tema seguridad - uso de contraseña consulto a mis estudiantes que ¿levanten la mano los que han cambiado de contraseña en el últmo mes?. Puede levantar uno máximo dos, de un curso de 50 estudiantes.
Si consulto ¿los que han cambiado de contraseña en los últimos seis meses? Dos estudiantes levantan la mano.
La mayoria de estudiantes no han cambiado en al menos un año. Otros nunca.
La siguiente pregunta se refiere a la calidad de la contraseña, les invito a utilizar
Al consultar el resultado, muchas son vulnerables.
La tercera pregunta ¿tienen grabado su usuario y contraseña en el computador?.
La respuesta es si, para ahorrarse tiempo. Michos ataques de seguridad es posible por cuanto utilizan la información del usuario que tiene grabada.
Les indico que está listo el ambiente para ser atacados de manera personal y en su Institución, les invito a ver una película sobre segurdiad informática y como referencia Películas seguridad informática
"11.3.1 Uso de claves secretas
Control
Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas.
Lineamiento de implementación
Se debiera advertir a todos los usuarios que:
a) mantener confidenciales las claves secretas;
b) evitar mantener un registro (por ejemplo, papel, archivo en software o dispositivo manual) de las claves secretas, a no ser que este se pueda mantener almacenado de manera segura y el método de almacenaje haya sido aprobado;
c) cambio de claves secretas cuando haya el menor indicio de un posible peligro en el sistema o la clave secreta;
d) seleccionar claves secretas de calidad con el largo mínimo suficiente que sean:
1) fáciles de recordar;
2) no se basen en nada que otro pueda adivinar fácilmente u obtener utilizando la información relacionada con la persona; por ejemplo, nombres, números telefónicos y fechas de nacimiento, etc.
3) no sean vulnerables a los ataques de diccionarios (es decir, que no consista de palabras incluidas en los diccionarios);
4) libre de caracteres consecutivos idénticos, todos numéricos o todos alfabéticos;
e) cambio de las claves secretas a intervalos regulares o en base al número de accesos (las claves secretas para las cuentas privilegiadas se debieran cambiar con mayor frecuencia que las claves secretas normales), y evitar el re-uso de reciclaje de claves secretas antiguas;
f) cambiar la clave secreta temporal en el primer registro de ingreso;
g) no incluir las claves secretas en ningún proceso de registro automatizado; por ejemplo, almacenado en un macro o función clave;
h) no compartir las claves secretas individuales;
i) no usar la misma clave personal para propósitos comerciales y no-comerciales
Si los usuarios necesitan tener acceso a múltiples servicios, sistemas o plataformas, y requieren mantener múltiples claves secretas separadas, se les debiera advertir que pueden utilizar una sola clave secreta de calidad (ver d) en el párrafo anterior) para todos los servicios donde se le asegura al usuario que se ha establecido un nivel de protección razonable para el almacenaje de la clave secreta dentro de cada servicio, sistema o plataforma. "
En el literal de se dan unas sugerencias, ahora realicemos la aplicación considrando que dispongo de cuentas en: Sistema de la UCE: en windows, SIIU, Quipux, Aula Virtual, Correo Electrónico, Sistema Antiplagio... A nivel personal: Gmail, Facebook, Twitter, Linkedin, Dato Seguro, Moodle, ...
Política:
Longitud contraseña: 8 a 12 caracteres
Frecuencia de cambio: mensual
Caracteres: 2 números, 2 especiales, 1 Mayúscula, 1 minúscula
No caracteres repetidos consecutivos
No repiten anteriores: 12 anteriores
Ejemplo, si presiona Click sobre la clave le llevará a WolframAlpha, para que revise a calidad de la contraseña
Vamos a trabajar con algunos ejemplos para poder definir un procedimiento para trabajar con contraseñas seguras, cada persona puede definirlo.
1.- Agosto08+‐
Descripción del mes de esta actividad, el número del mes y dos signos básicos aritméticos
Podría generar doce contraseñas. Se puede utilizar nombres de paises, ciudades, animales, flores, autos, nombres,...
2.- Per25Gas$"
Es el nombre del emprendimiento de un amigo Periodismo Gastronómico
Como tiene dos palabras, intercalo los números.
Podría utilizar Nombres de empresas de referencia con la cuales esté relacionado.
3.- Is1o79()9
Norma Iso que estamos revisando en clase.
Para que no existan carácteres consecutivos iguales, alterné con letras
Se sugiere usar nomnres de leyes, capótulos, nombres de procedimientos.
4.- Fla2+Tro3*
La marca del monitor de mi casa, dos números y dos caracteres especiales
Podría utilizar algo que tenga cerca: objetos, electrodomésticos
5.- Cua2+Ren3‐
En del juego de cuarenta, dos números y dos caracteres especiales. Mantengo los números y caracteres especiales
Podría utilizar Jiegos que practique o le guste, disciplinas de los juegos olimpicos, equipo de futbol, nombres de jugadiores.
6.- Olv2+ido3‐
Casi me olvido de cambiar la contraseña.
Palabras que utilice, nombres de artistas, canciones, películas, ...
7.- O4lv2+i3do43‐
A continuación de la vocal, se añade el número asociado.
Tengo definido un formato de contraseña.
Finalmente Aplicaré: tres caracteres (may‐min‐min), número, carácter especial, tres caracteres (may‐min‐min), número, carácter especial
"En cualquier caso, hay que evitar cometer errores tan comunes como los siguientes:
- Reciclar contraseñas: un error muy frecuente es utilizar la misma clave para múltiples cuentas o aplicaciones.
- Memorizar contraseñas en función del teclado: muchos usuarios usan el teclado como guía para recordar contraseñas fácilmente (ej.: “123456” o “qwerty”).
- Usar expresiones hechas: entre otro de los errores más comunes es el uso como contraseñas de frases como “teamo”, “iloveyou”, “teodio”, etc.
- Utilizar aficiones: algunos usuarios fanáticos suelen usar el nombre de sus marcas, deportes, equipos o bandas de música favoritas.
- Apuntarlas en notas: aunque se haya creado una clave robusta, nunca se debe dejar por escrito y mucho menos a la vista de cualquiera.
- Hacer uso de patrones sencillos: como que la
primera letra esté en mayúscula seguida de 4 o 5 en minúscula o usar uno
o dos números y finalizar con un carácter especial como un punto o
signo de exclamación (Ej.: Perro26!)."
Por cierto:
¿cuando fue la última vez que cambio su contraseña?
¿es de calidad?
¿tienen grabado su usuario y contraseña en el computador?
Esta listo para cambiar la contraseña por su seguridad y la de la organización.
Adelante.
