sábado, 28 de agosto de 2021

Norma ISO 17799 11.3.1 Uso de claves secretas

 


 
De acuerdo al libro  Sistemas Operativos Modernos de A.Tanembaum, en el capítulo 9 Seguridad se indica:

 
"... Todo sistema computacional seguro debe requerir que todos los usuarios se autentiquen al momento de iniciar sesión. Después de todo, si el sistema operativo no puede estar seguro de quién es el usuario, tampoco puede saber a qué archivos y otros recursos puede acceder. Aunque la autenticación puede parecer un tema trivial, es un poco más complicado de lo que se podría esperar. Siga leyendo.

La autenticación de los usuarios es una de las cosas que queríamos expresar con lo de “la ontogenia recapitula la filogenia en la sección 1.5.7. Las primeras mainframes como ENIAC no tenían un sistema operativo, mucho menos un procedimiento de inicio de sesión. Los posteriores sistemas mainframe de procesamiento por lotes y tiempo compartido tenían por lo general un procedimiento de inicio de sesión para autenticar los trabajos y los usuarios” ...
 
... 9.4.1 Autenticación mediante el uso de contraseñas

La forma más utilizada de autenticación es requerir que el usuario escriba un nombre de inicio de sesión y una contraseña. La protección mediante contraseñas es fácil de comprender y de implementar.

La implementación más simple sólo mantiene una lista central de pares (nombre-iniciosesión,contraseña). El nombre de inicio de sesión que se introduce se busca en la lista y la contraseña introducida se compara con la contraseña almacenada. Si coinciden, se permite al usuario que inicie sesión; en caso contrario, se rechaza...  "
 
 
 


Cuando en clases abordamos el tema seguridad - uso de contraseña consulto a mis estudiantes que ¿levanten la mano los que han cambiado de contraseña en el últmo mes?. Puede levantar uno máximo dos, de un curso de 50 estudiantes.

Si consulto ¿los que han cambiado de contraseña en los últimos seis meses? Dos estudiantes levantan la mano.
La mayoria de estudiantes no han cambiado en al menos un año. Otros nunca.
 
La siguiente pregunta se refiere a la calidad de la contraseña, les invito a utilizar 
 
Al consultar el resultado, muchas son vulnerables.

La tercera pregunta ¿tienen grabado su usuario y contraseña en el computador?. 
La respuesta es si, para ahorrarse tiempo. Michos ataques de seguridad es posible por cuanto utilizan la información del usuario que tiene grabada.

Les indico que está listo el ambiente para ser atacados de manera personal y en su Institución, les invito a ver una película sobre segurdiad informática y como referencia  Películas seguridad informática

Están preparados para desarrollar el tema de la Norma ISO 17799 Sistema de Gestión de Seguridad de la Información donde se establecen lineamientos para manejar claves y que pueden compartir en su entorno para trabajar por una computación responsable como futuros profesionales de informática.


"11.3.1 Uso de claves secretas
Control

Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas.

Lineamiento de implementación
Se debiera advertir a todos los usuarios que:

a) mantener confidenciales las claves secretas;

b) evitar mantener un registro (por ejemplo, papel, archivo en software o dispositivo manual) de las claves secretas, a no ser que este se pueda mantener almacenado de manera segura y el método de almacenaje haya sido aprobado;

c) cambio de claves secretas cuando haya el menor indicio de un posible peligro en el sistema o la clave secreta;

d) seleccionar claves secretas de calidad con el largo mínimo suficiente que sean:

1) fáciles de recordar;
2) no se basen en nada que otro pueda adivinar fácilmente u obtener utilizando la información relacionada con la persona; por ejemplo, nombres, números telefónicos y fechas de nacimiento, etc.
3) no sean vulnerables a los ataques de diccionarios (es decir, que no consista de palabras incluidas en los diccionarios);
4) libre de caracteres consecutivos idénticos, todos numéricos o todos alfabéticos;

e) cambio de las claves secretas a intervalos regulares o en base al número de accesos (las claves secretas para las cuentas privilegiadas se debieran cambiar con mayor frecuencia que las claves secretas normales), y evitar el re-uso de reciclaje de claves secretas antiguas;

f) cambiar la clave secreta temporal en el primer registro de ingreso;

g) no incluir las claves secretas en ningún proceso de registro automatizado; por ejemplo, almacenado en un macro o función clave;

h) no compartir las claves secretas individuales;

i) no usar la misma clave personal para propósitos comerciales y no-comerciales

Si los usuarios necesitan tener acceso a múltiples servicios, sistemas o plataformas, y requieren mantener múltiples claves secretas separadas, se les debiera advertir que pueden utilizar una sola clave secreta de calidad (ver d) en el párrafo anterior) para todos los servicios donde se le asegura al usuario que se ha establecido un nivel de protección razonable para el almacenaje de la clave secreta dentro de cada servicio, sistema o plataforma. "


En el literal de se dan unas sugerencias, ahora realicemos la aplicación considrando que dispongo de cuentas en:  Sistema de la UCE: en windows, SIIU, Quipux, Aula Virtual, Correo Electrónico, Sistema Antiplagio... A nivel personal: Gmail, Facebook, Twitter, Linkedin, Dato Seguro, Moodle, ...

Política:
Longitud contraseña: 8 a 12 caracteres
Frecuencia de cambio: mensual
Caracteres: 2 números, 2 especiales, 1 Mayúscula, 1 minúscula
No caracteres repetidos consecutivos
No repiten anteriores: 12 anteriores

Ejemplo, si presiona Click sobre la clave le llevará a WolframAlpha, para que revise a calidad de la contraseña
 

Vamos a trabajar con algunos ejemplos para poder definir un procedimiento para trabajar con contraseñas seguras, cada persona puede definirlo.

1.- Agosto08+‐

Descripción del mes de esta actividad, el número del mes y dos signos básicos aritméticos 
 

 
Podría generar doce contraseñas. Se puede utilizar nombres de paises, ciudades, animales, flores, autos, nombres,...

2.- Per25Gas$"
Es el nombre del emprendimiento de un amigo Periodismo Gastronómico
Como tiene dos palabras, intercalo los números. 
 
Podría utilizar Nombres de empresas de referencia con la cuales esté relacionado.

3.- Is1o79()9
Norma Iso que estamos revisando en clase.
Para que no existan carácteres consecutivos iguales, alterné con letras 
 
Se sugiere usar nomnres de leyes, capótulos, nombres de procedimientos.

4.- Fla2+Tro3*
La marca del monitor de mi casa, dos números y dos caracteres especiales
 
Podría utilizar algo que tenga cerca: objetos, electrodomésticos

5.- Cua2+Ren3‐
En del juego de cuarenta, dos números y dos caracteres especiales. Mantengo los números y caracteres especiales 
 
Podría utilizar Jiegos que practique o le guste, disciplinas de los juegos olimpicos, equipo de futbol, nombres de jugadiores.

6.- Olv2+ido3‐
Casi me olvido de cambiar la contraseña. 
 
Palabras que utilice, nombres de artistas, canciones, películas, ...

7.- O4lv2+i3do43‐
A continuación de la vocal,  se añade el número asociado. 
 
 
 
Tengo definido un formato de contraseña.
 
Finalmente Aplicaré: tres caracteres (may‐min‐min), número, carácter especial, tres caracteres (may‐min‐min), número, carácter especial


 
La página de Oficina de Seguridad del Internauta se encuentar publicado el artículo
 

 

"En cualquier caso, hay que evitar cometer errores tan comunes como los siguientes:

  1. Reciclar contraseñas: un error muy frecuente es utilizar la misma clave para múltiples cuentas o aplicaciones.
  2. Memorizar contraseñas en función del teclado: muchos usuarios usan el teclado como guía para recordar contraseñas fácilmente (ej.: “123456” o “qwerty”).
  3. Usar expresiones hechas: entre otro de los errores más comunes es el uso como contraseñas de frases como “teamo”, “iloveyou”, “teodio”, etc.
  4. Utilizar aficiones: algunos usuarios fanáticos suelen usar el nombre de sus marcas, deportes, equipos o bandas de música favoritas.
  5. Apuntarlas en notas: aunque se haya creado una clave robusta, nunca se debe dejar por escrito y mucho menos a la vista de cualquiera.
  6. Hacer uso de patrones sencillos: como que la primera letra esté en mayúscula seguida de 4 o 5 en minúscula o usar uno o dos números y finalizar con un carácter especial como un punto o signo de exclamación (Ej.: Perro26!)."

 

Las 200 contraseñas más comunes de 2020

 

 
Por cierto:
 
¿cuando fue la última vez que cambio su contraseña?
¿es de calidad?
¿tienen grabado su usuario y contraseña en el computador?
 
Esta listo para cambiar la contraseña por su seguridad y la de la organización. 
 
Adelante. 
 
 

 


No hay comentarios:

Publicar un comentario