jueves, 16 de diciembre de 2004

El lado humano de las contraseñas

No utilices una palabra conocida, ni el nombre de tu mascota, aun
menos tu fecha de nacimiento. No, tampoco vale el PIN del banco, nunca
debes utilizar la misma contraseña en dos servicios diferentes.
Recuerda, hay que combinar letras y números, si puedes meter algún
carácter especial mejor, y su longitud no debe ser inferior a ocho.
Por cierto, recuerda también que el sistema te obligará a cambiar la
contraseña todos los meses, y procura que cada vez sea distinta.
Eso es todo.

Más de uno nos reconoceremos en esas palabras, para nosotros es pura
rutina, de una lógica aplastante. Debemos de intentar mitigar los
ataques por diccionario, los ataques por fuerza bruta, prevenir la
expansión de la influencia a otros servicios si una contraseña es
comprometida, etc.

Pese a que han pasado bastantes meses, aun guardo en la retina aquella
imagen. Estaba viendo los informativos en televisión, no recuerdo el
canal, ni prestaba mucha atención. Tras las últimas elecciones en
España los ministros cumplían con el protocolo del intercambio de
carteras ministeriales. El periodista recalcaba lo previsora que había
sido la ministra saliente, que incluso había recordado facilitarle el
acceso al ordenador a la ministra entrante. Fue en ese instante
cuando el cámara activó el zoom. En un primer plano del teclado, allí
estaba, un post-it pegado en el que se podía leer la contraseña.

No se si me causó más impresión el hecho en sí, o la naturalidad y el
tono de aprobación con que el periodista narraba la anécdota.

Lo cierto es que si miramos a nuestro alrededor, en cualquier empresa,
con casi total seguridad podremos encontrarnos situaciones muy
similares. ¿Quién no conoce a un compañero de trabajo que tiene la
contraseña en un post-it pegado en el monitor? Vale, tal vez no,
puede que tus compañeros sean más precavidos y la guarden bajo el
teclado, o en la agenda del primer cajón de su escritorio.

Para ellos también es pura rutina, de una lógica aplastante. ¿Quién
es capaz de recordar tantas contraseñas y tan raras?. Encima si
falla tres veces seguidas el sistema se la bloquea, y debe pedir
a informática que le den una nueva contraseña. La última vez tardó
varias horas en poder acceder al sistema, y encima tuvo que aguantar
la guasa del administrador de sistemas. Desde que las apunta por
escrito no ha vuelto a tener problemas.

En el otro extremo tienes a los que no apuntan nada, lo deben tener
todo memorizado, como debe ser, la contraseña sólo debe estar en
la cabeza de cada usuario. Vaya, menos mal, con ellos se puede
contar.

O eso creías, hasta que en una auditoría ves que sus contraseñas son
las primeras que aparecen, casi de forma instantánea, al realizar un
ataque básico al archivo de passwords. Parece ser que no te hicieron
mucho caso cuando explicastes como debían construir una contraseña
segura.

Existe una máxima en seguridad de las TI que viene a decir que "la
seguridad es como una cadena, siempre se rompe por el eslabón más
débil". A la que habría que añadirle que el eslabón más débil suele
ser el factor humano.

Tal vez debamos tenerlo en cuenta la próxima vez que expliquemos
como construir una contraseña segura y, además de soltar el párrafo
inicial, aquél de la longitud y la composición, dedicar cinco minutos
más para explicar los ataques que se intentan prevenir, algunas
sencillas reglas mnemotécnicas para construir y recordar fácilmente
claves seguras, recomendar algún gestor de contraseñas, o advertir
del peligro de ir apuntándolas por cualquier sitio.

Con suerte, nos irá mejor que a Dilbert
http://www.dilbert.com/comics/dilbert/archive/images/dilbert200412087175.jpg


Bernardo Quintero
bernardo@hispasec.com