5 ago. 2012

Cómo gestionar las contraseñas

¿Qué es una contraseña?
Una contraseña o clave (en inglés password) es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. A aquellos que desean acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso.

En la actualidad debemos gestionar como usuarios un montón de contraseñas, ya que cada cuenta que creamos en Internet requiere normalmente de un usuario y de una contraseña. No obstante en muchas ocasiones, o bien no modificamos nunca las claves de acceso, o utilizamos la misma para casi todas las cuentas, por ello para prevenir sustos, a continuación detallo algunos consejos a la hora de gestionar nuestras contraseñas.
  • La longitud de las contraseñas debe ser al menos de ocho caracteres, a mayor longitud más difícil será de reproducir y mayor seguridad ofrecerá.
  • Las claves preferiblemente deben ser alfanuméricas, es decir deben componerse de números y letras así como de mayúsculas y minúsculas así como de distintos caracteres como puntos y comas.
  • Las contraseñas deben modificarse por otras nuevas cada cierto tiempo, cuanto menos tiempo mejor.
  • No se deben compartir claves con otras personas ni fijar claves de fácil deducción.
  • La contraseña no ha de ser igual o parecida a la identificación del usuario.
  • Ha de tener, como mínimo, un 50% de caracteres diferentes a los de la contraseña anterior.
  • No debe de haber sido utilizada por el mismo usuario en los 5 últimos cambios.
  • No ha de tener un mismo carácter repetido más de 2 veces.
  • No ha de contener números correlativos tanto ascendentes, como descendentes.
  • La introducción de la contraseña y su representación en pantalla en el momento de la identificación se realiza en un formato no legible para el resto de personas o usuarios que puedan encontrase alrededor.
  • A modo de recordatorio, en ningún caso se utilizarán “post it” o semejantes tanto en formato papel como electrónico.
  • No se deben almacenar las contraseñas en un lugar público y al alcance de los demás.
  • No es aconsejable compartir las contraseñas en Internet, por correo electrónico ni por teléfono (whatsapp y similares). En especial se debe desconfiar de cualquier mensaje de correo electrónico en el que te soliciten la contraseña o indiquen que se ha de visitar un sitio Web para comprobarla. Casi con total seguridad se tratará de un fraude.
Tal y como aconseja INTECO, Un buen método para crear una contraseña sólida es pensar en una frase fácil de memorizar y acortarla aplicando alguna regla sencilla. Un ejemplo sería seleccionando la primera letra de cada palabra y convirtiendo algunas de las letras en números que sean similares. Por ejemplo, "La seguridad es como una cadena, es tan fuerte como el eslabón más débil" podría convertirse en "Lsec1cetfceemd".

Por último quiero destacar algunas medidas de seguridad publicadas en la página del INTECO, Claves para un #veranoseguro: Los servicios en la nube y la seguridad en las vacaciones de verano

Recomendaciones de seguridad para las vacaciones: Acceso y Utilización de servicios en la nube
  • Tener en cuenta los riesgos de anunciar en las redes sociales nuestra ausencia durante las vacaciones. Cuando estamos diciendo en qué lugar estamos, también decimos en cual no estamos.
  • El uso de redes sociales como Foursquare o aquellas que permiten hacer “check-in” podrían facilitar que personas que no conocemos conozcan nuestra ubicación.
  • Servicios como Instagram deberían utilizarse con algunos recaudos si hemos decidido mantener en reserva nuestro viaje de vacaciones. De todas formas podría ser un buen momento para revisar la configuración de privacidad.
  • Verificar la configuración de la “geolocalización” en aquellos dispositivos que utilicemos durante las vacaciones, para ello podría resultar útil la “Guía de Seguridad y Privacidad de las herramientas de geolocalización”, que publicamos hace un tiempo.
  • Verificar la configuración de la seguridad y privacidad en las redes sociales y otros servicios en la nube que utilicemos, para ello podría resultar útil la “Guía de Seguridad y Privacidad en Redes Sociales” que publicamos hace un tiempo.
  • Reducir hasta un mínimo aquellas actividades que involucren información sensible desde locaciones y/o servicios de internet no seguros. En aquellas situaciones en las que deba accederse desde un lugar inseguro, se recomienda cambiar las credenciales de acceso lo antes posible, y desde un acceso seguro a Internet.
  • Activar el registro de acceso en aquellas redes sociales que lo permitan, de esta manera se puede tener un mejor seguimiento de la actividad de inicio de sesión.
  • Si utilizamos servicios de almacenamiento en la nube, leer siempre los términos y condiciones, principalmente aquellos puntos relacionados con la propiedad y uso que el proveedor del servicio podría hacer de la información que almacenemos, además de los aspectos de confidencialidad. Para ello puede ser útil el artículo de nuestro blog “Cloud Storage: algunos aspectos de privacidad y seguridad”.
  • No confiar plenamente en la seguridad del servicio de almacenamiento en la nube y asegurarnos el resguardo de la información, siempre bajo nuestra responsabilidad.
  • Utilizar alguna aplicación para el resguardo de las contraseñas de acceso a los distintos servicios. Adicionalmente, tener en cuenta el newsletter OUCH! “Protege tus Contraseñas”.
  • Utilizar una autenticación de dos factores en aquellos servicios que lo permitan.
  • Verificar la seguridad de nuestros dispositivos móviles, para ello se recomienda tener en cuenta el trabajo de ENISA “Smartphones: Information Security Risks, opportunities and recommendations for users” así como nuestra “Guía para proteger y usar de forma segura su móvil”.
  • Evaluar la posibilidad de contar con algún servicio de internet propio, de esta manera se podría disminuir la necesidad de un acceso público a internet. Por ej: módem 3G.
  • Evitar el uso de dispositivos o computadoras que sean propiedad de terceros.
Más información sobre este respecto en la página de INTECO.

Claves para un #veranoseguro: Los servicios en la nube y la seguridad en las vacaciones de verano