El mundo de antivirus

jueves, 8 de febrero de 2024

En una edición anterior de El Mundo de Antivirus, informamos sobre los administradores de contraseñas, las utilidades especiales diseñadas para simplificar y, sobre todo, asegurar la administración de contraseñas. En el artículo también se mencionaron algunas desventajas de estos programas, siendo las principales el riesgo de comprometer la contraseña maestra y las vulnerabilidades potenciales en un producto concreto. No obstante, los administradores de contraseñas son una solución que funciona, sobre todo para los que usan varios sistemas y servicios con autorización.

Incluso hoy día, en la era de la biometría, la autenticación de dos factores, los tokens y otras tecnologías modernas, las contraseñas siguen siendo un método clave para proteger la información contra el acceso no autorizado. Siguen presentes algunos problemas asociados a las contraseñas inestables, no únicas o almacenadas de forma insegura. A menudo, los usuarios usan una sola contraseña para acceder a varios sistemas diferentes, o a veces escriben o almacenan palabras secretas a la vista de todos, o usan combinaciones muy sencillas y fáciles de averiguar o adivinar. En el peor de los casos, pasan ambas cosas. Eso ocurre porque las contraseñas seguras no son fáciles de recordar. Para muchas personas, el deseo de ahorrar el tiempo y los recursos de la memoria es más importante que la prudencia, de lo cual abusan los atacantes de todo el mundo. También informamos sobre las peculiaridades de contraseñas seguras en nuestro artículo sobre administradores de contraseñas. Recomendamos consultarlo para enterarse mejor del tema.

En el artículo de hoy le informamos de cómo mejorar la administración de contraseñas sin usar programas de terceros. Es probable que las palabras clave protejan nuestros datos en el espacio digital durante mucho tiempo, por lo cual sería muy útil saber cómo usarlas correctamente. Al fin y al cabo, una buena contraseña debe mejorar la seguridad, y no convertirse en un eslabón débil.

Empiece por el análisis

En caso de desarrollar su propia política de contraseñas, uno debe tener en cuenta que las contraseñas de acceso a los sistemas más importantes deben ser únicas y bastante resistentes, y habrá que recordarlas. Pero uno debería empezar por analizar los servicios usados en caso de trabajar con el equipo y en Internet, y clasificarlos por nivel de importancia. Para ello, simplemente hágase la siguiente pregunta: ¿Qué cuentas me perjudicarían más en caso de ser comprometidas?

De esta forma, entre los sistemas más importantes se destacan los servicios bancarios y financieros, el correo electrónico, el almacenamiento en la nube y los sistemas que almacenan una gran cantidad de sus datos personales. Además, cabe mencionar los sistemas que implementan la tecnología de inicio de sesión único, en caso de usar una sola contraseña para acceder a todos los servicios del espacio. El acceso a todos estos recursos debe estar protegido no sólo por una contraseña, sino también, como mínimo, por una autenticación de dos factores habilitada. Y las propias contraseñas deben cumplir con los requisitos de seguridad que ya hemos mencionado. Por último, no recomendamos guardar las contraseñas de acceso a estos sistemas en los navegadores.

El segundo lugar lo ocupan los servicios de importancia media. Pueden ser sistemas que contienen algunos de sus datos personales, o alguna información que le permite identificarse. O cualquier otra cosa que uno considere esencial. Es algo muy personal y depende de las necesidades de privacidad de cada uno. Si alguno de estos sistemas le permite habilitar la autenticación de dos factores, se recomienda hacerlo. También es conveniente usar contraseñas bastante resistentes y únicas. Pero, aunque se usen, por ejemplo, distintas variantes de la misma contraseña, las mismas no deberían coincidir con las contraseñas de los servicios más importantes. Lo que pasa es que cualquier contraseña puede verse comprometida en la parte del sitio web. Entonces es probable que la misma entre en todo tipo de bases de datos de palabras clave "filtradas" y ponga en peligro otras cuentas con la misma contraseña.

Por último, el tercer grupo incluye los sistemas menos importantes para uno. Pueden ser, por ejemplo, los foros que uno no tiene previsto usar con mucha frecuencia, algunos sitios web temáticos o recursos de entretenimiento. En este caso, el número de contraseñas que habrá que recordar puede ser enorme. Por eso, para mayor comodidad, se recomienda guardar esas contraseñas en los navegadores o inventar un conjunto de palabras clave fáciles de recordar, pero con una advertencia: no deben estar vinculadas a contraseñas de sistemas más importantes.

Generar contraseñas seguras. Frases de contraseña

Ahora que hemos visto el nivel de importancia crítica de los datos protegidos y evaluado los riesgos, podemos pasar directamente al problema de recordar contraseñas complejas. Las principales características clave para la resistencia de la contraseña a posibles intentos de ser adivinada o averiguada son la longitud de la misma y su alfabeto, es decir, el conjunto de caracteres que pueden ser usados para crear una combinación. Por eso, los sistemas de autorización suelen solicitar que uno cree no sólo contraseñas largas, sino también contraseñas que distingan entre mayúsculas y minúsculas y que contengan caracteres especiales. Además, una contraseña formada por caracteres aleatorios se considera más resistente porque no es fácil adivinarla y la misma no está en los diccionarios usadas por los atacantes para averiguar las contraseñas.

¿Qué son las frases de contraseña? Es una contraseña formada por una secuencia aleatoria de palabras. Un ejemplo es: iliketodrinkteabutiprefercoffee. Las frases de contraseña son más fáciles de adivinar, pero esta desventaja puede compensarse con su longitud. Nuestro ejemplo consiste sólo en minúsculas, pero es bastante cripto resistente, ya que son 31 caracteres. Pero la ventaja más importante es la siguiente: es fácil de recordar. En la vida real, muchos sistemas de verificación no aceptarán una contraseña de este tipo, pero si le añadimos letras mayúsculas, un número y algunos caracteres especiales, tendremos una variante cómoda que funcionará bien. Cabe destacar es sólo un ejemplo, y no recomendamos usarlo en la práctica.

Las frases para contraseñas son cómodas de memorizar, pero deben ser lo suficientemente largas y atípicas, es decir, uno mismo debe inventarlas. Proverbios, refranes y frases muy conocidas y sus variantes probablemente ya están en los diccionarios de hacking y en las bases de datos de los intrusos.

Otra cosa importante: las palabras autónomas de la frase de contraseña no deben estar directamente relacionadas con el usuario o su identidad para evitar que se adivinen durante un ataque dirigido. Se puede usar combinaciones sin sentido, siempre que uno pueda recordarlas fácilmente. Por último, evite la tentación de usar la misma frase de contraseña para todas las cuentas, aunque sea larga y suficientemente sólida.

Generar contraseñas resistentes. Contraseñas mnemotécnicas

Uno puede aprender a generar y recordar contraseñas seguras compuestas por caracteres aleatorios con mnemotécnica, es decir, asociaciones. Se trata de recordar la contraseña no solo como un conjunto abstracto de caracteres, sino como una asociación o imagen para su posterior recuperación. Hay muchos métodos diferentes: por ejemplo, generar una contraseña a partir de las primeras letras de una frase y luego sustituir algunas letras por símbolos. Al final, con el nivel adecuado de transformación, la contraseña resultante tiene pinta de un conjunto aleatorio de caracteres, es bastante resistente y, al mismo tiempo, bastante fácil de recuperar.

Hablaremos del método de generación, cuando para recordar la contraseña uno necesita memorizar una palabra y un algoritmo o reglas para crear la palabra clave a partir de la misma. Las reglas deben ser únicas y establecidas por el usuario. Para empezar, vamos a ver un ejemplo de contraseña generada de este modo: «4Am2CDadd!!c@sh#».

Las reglas para generar esta contraseña se basan en el conocimiento de acordes musicales y asociaciones. La palabra que hay que recordar es el título de una canción o el nombre de un artista. A base de su propio algoritmo, el usuario asigna y recuerda una canción conocida asociada a la contraseña. A continuación, se procede a la recuperación mental de la contraseña:

1. 4 es el número de letras del título de la canción.
2. Am: el primer acorde de la canción.
3. 2 - la duración del primer acorde en fracciones de compás.
4. C es el segundo acorde.
5. Dadd!! - es el tercer acorde, en cuyo nombre las cifras se sustituyen por los símbolos especiales correspondientes.
6. c@sh - el nombre del intérprete, donde una letra se sustituye por un carácter especial correspondiente.
7. # - carácter de cierre utilizado en lugar del número 3, que indica el número de acordes de la estrofa de la canción.

La fórmula parece difícil de reproducir, pero para el usuario que la inventó es clara y exacta, y el procedimiento de cifrado es bastante rápido.

Sin embargo, este método también tiene algunas desventajas. Primero, la existencia de un algoritmo determinado que un atacante podría conocer. Sin embargo, para detectarlo, el atacante debe comprometer varias contraseñas para revelar la conexión entre ellas, así como conocer la palabra buscada. La probabilidad de disponer de ambos factores a la vez en realidad es muy baja. El segundo inconveniente es el uso de palabras conocidas y reglas sencillas. Por lo tanto, la mejor opción es desarrollar un algoritmo de este tipo que incluya alguna peculiaridad especial y asociaciones atípicas.

Más arriba, hemos mencionado que las contraseñas de los servicios importantes deben ser únicas. En este caso, puede resultar tentador usar el nombre del servicio o la asociación correspondiente como palabra buscada. No lo recomendamos, ya que este tipo de vinculación aumenta muchas veces el riesgo de la posible revelación de la contraseña. Pero entonces, ¿qué hacemos para que la palabra corresponda al recurso para el cual creamos la contraseña? Con un algoritmo de generación bastante complejo, podemos admitir almacenamiento abierto del par "servicio-palabra" o, por ejemplo, guardarlo en notas protegidas del móvil. Por ejemplo, las combinaciones: "bank-cash" y "mail-peppers" son poco informativas para terceros, pero proporcionarán información exacta al usuario.