Sobre passwords i claus

Compartir

Les claus (Passwords) són actualment la forma més emprada d’autenticació i també molts cops l’única barrera entre el ciberespai i la nostra informació personal.

Alejandro Germán Rodríguez – En el món actual resulta inevitable l’ús de claus, pensem només en la clau dels caixers automàtics o la de la tarja de dèbit; i com a usuaris d’Internet, la llista s’allarga fins a l’infinit, només per accedir al ciberespai requerim d’una clau, a més de les corresponents per a home-banking, bústia de correu, accés al compte corporatiu de la nostra feina, etc.

En aquest moment, doncs, ja se’ns presenten dos inconvenients, la creació de claus segures i la seva administració.

Com la clau és la nostra barrera contra els intrusos que volen conèixer la nostra informació personal, l’elecció de la mateixa no pot ser feta a l’atzar, ni ser presa a la lleugera.

Alguns mètodes per a vulnerar claus són els atacs de diccionari, és a dir un atac de força bruta que prova paraules conegudes d’una llista donada, l’enginyeria social per donar amb la clau a partir de les nostres dades personals, l’explotació d’una encriptació feble, o un atac de força bruta emprant totes les paraules i combinacions possibles, així com més senzilla sigui la nostra clau més fàcil serà vulnerar-la.

Les claus, no només han de ser robustes, sinó també confidencials, de res ens serveix que desenvolupem una clau de molts caràcters alfanumèrics i amb signes especials, per a, per exemple, accedir al nostre compte corporatiu, si després l’escrivim en un paperet i l’enganxem en el monitor.

A diferència de la creença popular, no és una mala idea apuntar-nos les nostres claus en un paper, però han de ser mantingudes segures i confidencials per tal que siguin eficaces.

L’ús, de noms de familiars o éssers estimats, o claus numèriques basades en el nostre número telefònic, dates familiars, etc, també converteixen una clau en insegura.

Encara que desenvolupem una clau segura i fàcil de recordar, no l’haurem d’usar per a tots els serveis que ens requereixen claus, ja que, si aquesta és vulnerada, tots els serveis basats en aquesta clau ho seran.

A més, alguns sistemes ens obliguen a canviar la clau cada cert temps, i alguns van més enllà i no ens permeten utilitzar claus que ja havíem usat anteriorment.

Del què s’ha dit fins ara, podem resumir algunes recomanacions en la creació i gestió de claus:

  • Les claus han de posseir molts caràcters, es recomana entre 12 i 14.

  • No s’han de basar en informació personal o de fàcil deducció.

  • No utilitzar paraules que es puguin trobar en diccionaris.

  • Utilitzar majúscules, minúscules, nombres i caràcters especials(*).

  • Diferents claus en diferents sistemes.

  • Establir una certa freqüència per a canviar les claus més utilitzades.

  • Utilitzar frases, si el sistema ho permet, però no frases famoses o de cançons.

(*) Alguns sistemes, per entrar una clau d’autenticació no permeten l’ús de caràcters especials o frases que contingues espais.

Alguns sistemes ofereixen l’opció de recordar la contrasenya o contrasenya i usuari, la següent vegada que s’hi accedeixi. Aquests sistemes tenen diferents graus de seguretat en el format que guarden la informació i alguns la guarden en text pla en el mateix PC de l’usuari.

Donat el desafiament que resulta de crear, gestionar i administrar les nostres claus personals, existeixen en el mercat una gran quantitat de programes simples per a realitzar aquesta tasca per nosaltres, molts d’ells són de domini públic.

Pel què fa a mi, jo empro 4uonly, el qual és una utilitat molt lleugera, intuïtiva i fàcil d’usar. Amb la mateixa podem crear entrades que continguin el servei a utilitzar, el nom d’usuari, la clau, la URL referida al servei i un camp memo per a anotacions diverses.

Respecte a la generació de la clau, el programa permet definir quantitat de caràcters, si tindrà majúscules i minúscules, si posseirà caràcters numèrics, símbols, si ha de començar amb lletres o no, si la clau caduca o no, en quants dies, etc). El programa es pot obtenir gratuïtament i sense limitacions des de: http://www.dillobits.com/4uonly.html

Respecte als gestors de claus, és una bona idea, a més de protegir la base mateixa amb una clau, mantenir aquestes bases en algun suport extern tipus pen-drive, per al cas que el nostre equip es vegi compromès.

Microsoft ofereix una eina en línia, per a la verificació de la fortalesa de claus, la mateixa pot ser accedida des de: http://www.microsoft.com/protect/yourself/password/checker.mspx

En resum, les claus són importants, les hem de triar i gestionar amb cura, no podem prescindir del seu ús en el món modern i hem de poder accedir a elles fàcilment, si ens veiem en la necessitat d’utilitzar múltiples claus, a Internet, un programa gestor de claus serà un gran ajut.

YCOM
Últimes entrades de YCOM (Veure'ls tots)