Toda la verdad sobre las contraseñas

Por Bernardo Ramos, experto en seguridad de las TIC

Las contraseñas

Hoy vamos a hablar de las contraseñas, esa cosa desagradable que recordamos siempre cuando queremos acceder a algún servicio en la Web, ésa que nunca nos han robado, ésa que es muy segura y nadie podría adivinar y, además, aunque lo hiciera, no le serviría de mucho porque la cambio con frecuencia. Porque, por supuesto, todos nos atenemos a las recomendaciones de seguridad con las que nos bombardean cada día. O ¿quizás no sea así? Por otro lado, esas recomendaciones ¿están realmente justificadas? ¿Cuál es el verdadero riesgo alrededor de mis contraseñas?

Sigue leyendo si quieres encontrar la respuesta a estas preguntas

¿Qué es una contraseña?

Un secreto conocido únicamente por uno o varios usuarios, utilizado para verificar la identidad del usuario o grupo de usuarios

Se utiliza normalmente para controlar el acceso a un servicio automatizado

Las contraseñas pueden ser:

Según el plazo de validez

• Permanentes.
• De un solo uso ("OTP"= "One Time Password").
• De duración limitada.

Según su contenido

• Una cadena de caracteres:
  • Números.
  • Letras.
  • Signos especiales.
• Un recorrido del dedo sobre la pantalla
  • Para facilitar recordarlo se suele realizar sobre una imagen.

La contraseña suele ir asociada a un identificador, el cual, a su vez, está asociado a una identidad (persona o grupo de personas o, incluso entidades abstractas).

Es uno de los componentes de los sistemas de autenticación.

¿Que es la Autenticación?

Proceso para verificar una identidad

Existen varias formas

Ultrasimple:

Utiliza un único elemento: El identificador (Nombre de usuario o Login).

Se utiliza cuando no es necesario realizar ninguna comprobación para verificar la identidad

Ejemplo: Al identificarse en una llamada telefónica.

Simple:

Utiliza dos factores:

"Algo que soy" - El identificador o nombre de usuario.

"Algo que se" - La contraseña (Un secreto conocido únicamente por el usuario y por el sistema de autenticación).

Fuerte:

Utiliza tres factores, por lo que en ocasiones se denomina "autenticación con tres factores" o incluso "autenticación de doble factor", al omitir el identificador en la cuenta

"Algo que soy" - El identificador

"Algo que se" - La contraseña

"Algo que poseo":

• Un "token"

Dispositivo que proporciona un número diferente cada cierto tiempo

Cada dispositivo es único generando números distintos

El sistema de autenticación sabe qué dispositivo está asociado al usuario y está sincronizado con el mismo para saber qué número va a generar en cada momento

Cada número generado tiene un plazo de validez limitado, normalmente, un minuto

• Una tarjeta de coordenadas

Contiene una tabla de X líneas por Y columnas y en cada intersección hay un número o clave de 2 o 3 caracteres

Cada tarjeta es diferente

El sistema de autenticación me pedirá que introduzco el código de una determinada fila y columna elegidas por él aleatoriamente.

• Un teléfono móvil

El sistema de autenticación me enviará un mensaje con un código de un sólo uso

• Una tarjeta electrónica

Con banda magnética o RFID

Requiere del lector correspondiente en el lugar de autenticación

• Un certificado digital

Cada certificado tiene una clave pública y otra privada y está asociada a una determinada identidad

La clave pública está disponible y es conocida por cualquiera

La clave privada es secreta y sólo la conoce el propietario de la identidad

El sistema de autenticación se basa en matemáticas avanzadas, en concreto en operaciones con polinomios

Hay un algoritmo, conocido por todo el sistema de autenticación que permite generar una cadena de caracteres a partir de la clave privada y otro algoritmo que permite, a partir de la clave pública y de la cadena de caracteres, saber si para generar ésta última se ha utilizado la clave privada asociada.

El primer componente del sistema de autenticación está integrado en el dispositivo del usuario cuya identidad se quiere comprobar y consiste en el algoritmo que va a generar la cadena de caracteres. Normalmente pedirá al usuario una contraseña para poder acceder a su clave privada

La cadena de caracteres se envía al sistema de autenticación, que comprueba su validez con la clave pública

La clave privada, por tanto nunca se transmite, por lo que si su propietario la protege evitando que se la roben físicamente, el sistema es inviolable

Es el sistema de autenticación considerado más seguro, siempre que se respete el protocolo que garantiza que la clave privada siempre está en posesión exclusivamente de su propietario

El DNI electrónico en España contiene un certificado que es aceptado por muchos servicios, públicos y privados, para verificar la identidad del usuario

• Alguna variante de los anteriores

Biométrica:

Se basan en las características físicas del individuo:

• Huella digital
• El iris
• El timbre de la voz
• La forma de la cara
• Una combinación de las anteriores entre sí e incluso con otras como el peso

Tienen la ventaja de que siempre las tenemos disponibles allá donde estamos y no necesitamos recordarlas

Se puede combinar con un identificador o, incluso prescindir del mismo pues es el propio sistema de autenticación el que lo deduce.

Tiene el inconveniente de que, si se consigue reproducir, no hay la posibilidad de cambiarlo

Exigen la disponibilidad de dispositivos de lectura en el lugar donde esté el usuario

Mitos y leyendas

Una contraseña debe ser compleja para que no sea fácil de adivinar ni de descubrir con ataques de diccionario o de fuerza bruta.

Una contraseña debe cambiarse periódicamente para prevenir el riesgo de que haya sido descubierta por otra persona con intención de usurpar nuestra identidad.

¿Cómo se roba una contraseña?

Observando al teclear

• Visualmente
• Con un programa espía llamado "key logger"
• contraseñas escritas en un post-it o en un papel

Adivinando

• Contraseñas frecuentemente utilizadas
• Esquemas de contraseña frecuentemente utilizadas

Necesitan ciertos datos del usuario

• Fechas de referencia
• Nacimiento
• Boda
• Cumpleaños hijos
• Nombre y apellidos
• Lugar de nacimiento o de residencia
• Nombre de los hijos
• Nombre de las mascotas
• Equipo de futbol preferido
• Etc.

Suelen asociarse a ataques mediante "ingeniería social" para obtener los datos necesarios

Preguntando al usuario

• Directamente
• Con correos maliciosos
• Pueden asociarse a ataques mediante "ingeniería social" para obtener los datos necesarios
• Pueden asociarse a ataques mediante páginas WEB falsas que simulan a las auténticas y nos piden que tecleemos nuestra contraseña

Mediante ataques informáticos

• Fuerza bruta
• Diccionario
• Robando una base de datos que las contenga
• Sitios Web Falsos
• Analizando el tráfico en una red WIFI no protegida por contraseña
• Virus que roba las contraseñas almacenadas en el navegador
• Virus que busca ficheros que contengan contraseñas y las envía al pirata informático

Coherencia y proporcionalidad

El esfuerzo para proteger nuestra contraseña debe ser proporcional a la importancia del servicio que protege.

No es lo mismo acceder al banco para realizar operaciones que ir a un foro en internet para preguntar cómo se cambian unas pastillas de frenos.

En nuestra vida "digital" podemos tener cuentas en 50, 100, incluso 200 servicios distintos.

Algunos de esos servicios sí son importantes y necesitamos protegerlos, como por ejemplo, la banca en línea, la Agencia Tributaria o los comercios en línea.

La mayoría de ellos no son tan importantes y el riesgo de usurpación de nuestra identidad tendría escaso valor para el usurpador y para nosotros.

Podemos utilizar un mecanismo simple y fácil de recordar para la creación de las contraseñas de los servicios poco importantes.

En cambio, debemos ser muy rigurosos y dedicar un esfuerzo significativo a la concepción y protección de las contraseñas de los servicios importantes.

Los buenos profesionales (como por ejemplo los bancos) nos facilitarán esta tarea utilizando sistemas de autenticación fuerte para las operaciones más importantes, como ordenar una transferencia, mientras se limitarán a una simple contraseña, sin exigencias en cuanto a su complejidad, para la simple consulta de datos.

Picaporte o cerradura

Algunas contraseñas se utilizan como "picaporte" para abrir determinados servicios y su grado de protección deberá ser proporcional a lo que hay detrás de la puerta.

Otras contraseñas se utilizan como "cerraduras", para mantener protegido algo, normalmente nuestra información, y, también en este caso, la seguridad de la cerradura deberá ser proporcional al valor de lo que encierra

Tu correo electrónico es la llave maestra

En materia de seguridad informática hay que ser capaz de abandonarlo todo y empezar desde cero

¿Qué pasa cuando olvidamos una contraseña?

La mayoría de los servicios disponen de un mecanismo que permite recuperar una contraseña olvidada o, lo que es mejor, crearla de nuevo.

Para asegurarse de la identidad del usuario que solicita la recuperación o recreación de su contraseña, la mayoría de los servicios utiliza el correo electrónico del usuario.

Ante la solicitud de reinicialización de una contraseña, el servidor enviará un mensaje a la dirección de correo electrónico que el usuario indicó al crear su cuenta, con un enlace que le permitirá realizar él mismo la reinicialización.

El enlace es de un sólo uso y suele tener una validez limitada en el tiempo.

¿Qué deducimos de esto?

Si alguien consigue robarnos la contraseña de nuestro correo electrónico, tendrá en sus manos la llave maestra para entrar en todas nuestras cuentas.

Bastará con que vaya al servidor correspondiente y solicite la reinicialización de la contraseña para que pueda cambiar él mismo nuestra contraseña y acceder a con nuestra identidad

Conclusión:

La contraseña más importante de todas las que tenemos es la de nuestro correo electrónico.

Una buena práctica sería utilizar un correo electrónico aparte sólo para el uso en caso de olvido de las contraseñas, y utilizar para el mismo una contraseña más compleja de lo habitual que cambiaremos periódicamente.

Y no olvidemos lo indicado al principio de este capítulo:

En materia de seguridad informática hay que ser capaz de abandonarlo todo y empezar desde cero.

En caso de duda, cambiemos una o varias de nuestras contraseñas.

La contraseña perfecta

Tiene que ser fácil de recordar e imposible de adivinar. Probablemente utilizar frases con palabras separadas por espacios sea una de las mejores opciones:

• Mi perro tiene hambre
• El coche de mi padre corre + que el mio
• Los dos equipos de Madrid jugaron la final de 2017

Caja fuerte para contraseñas: KeePass

Probablemente, la autenticación biométrica, quizás combinada con los certificados de clave pública / privada y con la generalización de los sistemas de federación de identidades, acabarán suprimiendo o, al menos simplificando enormemente el uso de las contraseñas, pero mientras esperamos a ese momento, aquí va un buen consejo para simplificar el manejo de las decenas, o incluso centenas de contraseñas, que tenemos que manejar actualmente.

Una buena alternativa, utilizada por los profesionales de la seguridad informática, y al alcance de todos, es la utilización de alguna aplicación de almacenamiento seguro de las contraseñas.

De ese modo podemos guardar todas nuestras contraseñas de modo protegido, evitando los post-its, las listas escritas en un papel o en una libreta o incluso los ficheros Excel o similares, opciones todas ellas completamente inseguras.

Hay distintas opciones en el mercado. Por mi experiencia y la de mis colegas expertos en Ciberseguridad, recomiendo la herramienta de código abierto KeePass, cuya seguridad ha sido certificada por organismos como la Agencia Nacional de Seguridad de los Sistemas de Información del gobierno francés, entre otros.

Keepass: Sistema avanzado para la gestión de las contraseñas

Es una caja fuerte para contraseñas

Conserva y protege todas las contraseñas et identificadores de tus aplicaciones y sitios Web en una única base de datos

Compatibilidad

Disponible en todos los sistemas de PC y de smartphones

Fácil de sincronizar entre todos tus dispositivos (PC, smartphones, tabletas, etc.) utilizando Dropbox

Beneficios

Todas tus contraseñas estarán guardadas de modo seguro

Nunca más contraseñas olvidadas

Nunca más contraseñas robadas

Ni siquiera tienes que teclear tus contraseñas, Keepass lo hace automáticamente

Las direcciones de tus sitios Web se pueden guardar y abrir directamente desde Keepass en tu navegador

Contraseña de Keepass (Contraseña maestra)

Debe ser una contraseña sólida y fácil de recordar (Recomendación: complejidad 90 bits o más, longitud 12 caracteres)

One sentence, with spaces in-between words, will make a very good password by respecting all the security requirements and is easy to remember.

Ejemplo: « Lavar el coche hoy.»

Tiene mayúsculas, minúsculas, espacios y un punto al final, más de 12 caracteres y complejidad 95 bits…

No hay forma de recuperar la contraseña de Keepass si la pierdes

Características

Gestiona todas tus contraseñas

Organizadas en Grupos

Cada grupo puede tener sub-grupos y entradas

Utilización

Función Auto-type para que se rellene el id y la contraseña automáticamente sin necesidad de teclearlos

Esto nos permite utilizar contraseñas muy complejas cómodamente

Posibilidad de copiar y pegar el usuario y la contraseña manualmente

Al igual que la función anterior, al no tener que teclearlas, las contraseñas pueden ser muy complejas

Posibilidad de abrir directamente la página Web o la aplicación directamente desde Keepass

Precauciones, buenas prácticas

Recuerda bloquear la sesión de tu dispositivo cuando no lo estás utilizando protegiendo su apertura con una contraseña

A medida que tus contraseñas expiran o las cambias, recuerda actualizarlas en KeePass