Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

 

AÑO 9 - Nº 03 - MAR 13

PALABRAS DE CISO

Las contraseñas. Un sobreviviente de las batallas frente a la inseguridad de la información

 

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Introducción

El uso de contraseñas se remonta a la antigüedad cuando los centinelas solicitaban el “santo y seña” para lograr el ingreso. Sólo quien contestaba la seña correcta podía tener acceso. En ese entonces, igualmente se mantenía la rutina de cambio del santo y seña, dada la vulnerabilidad propia del conocimiento de la misma bien por su uso cotidiano o por revelación de la misma de manera no autorizada.

Como podemos observar, las palabras claves, se han usado desde la antigüedad para mantener el control de la autenticación de al menos dos partes, las cuales aún sin conocerse, son capaces de identificarse y asociarse, para completar una identificación. El secreto de la palabra clave, es el reto más importante del reconocimiento, toda vez que la palabra per se, si bien no representa en sí misma la autenticación, si manifiesta la forma como se reconocerá a la persona que la porta.

El Concepto

En este contexto, las palabras clave, contraseña, passwords, pass code, personal identification number, personal identification text, son expresiones modernas de un concepto que desde tiempo remotos se ha utilizado para reconocer si una persona es quien dice ser.

Las técnicas modernas de autenticación hablan de múltiples factores de autenticación para aumentar la confiabilidad de la identificación y corroboración de la identidad de una persona: algo que tengo, algo que conozco y algo que soy, los cuales cada vez más se vuelven más cotidianos y automáticos.

Planteo del Problema

De acuerdo con estudios realizados, considerando los avances tecnológicos recientes que hablan de la duplicación de la capacidad de cómputo cada diez y ocho meses, así como dispositivos móviles cada vez más versátiles e intensos en procesamiento, se hace necesario comprender el nivel de exposición de la utilización de contraseñas sin las debidas consideraciones de longitud, variedad y versatilidad que hagan más dispendioso a los atacantes intentar descifrar la palabra clave y tener acceso a la información.

Consultando múltiples fuentes de información, se encuentra con frecuencia un cuadro en internet que de manera pedagógica indica el tiempo requerido para quebrar una contraseña, basado en su longitud y en la variedad que se incluya en ella: mayúsculas, minúsculas, números y símbolos.

 

Largo
Sólo minúsculas
Agrega mayúsculas
Agrega números y símbolos
6 caracteres
10 minutos
10 horas
18 días
7 caracteres
4 horas
23 días
4 años
8 caracteres
4 días
3 años
463 años
9 caracteres
4 meses
178 años
43.530 años

Nótese que no se hacen cálculos para contraseñas menores a 6 caracteres, dado que con la capacidad de cómputo actual, los tiempos serían supremamente cortos y no ofrecen ninguna fortaleza, por lo cual la recomendación implícita del cuadro, es el no uso de este tipo de longitudes, sabiendo que los atacantes contarán con la ventaja: tener una puerta de acceso sin ningún tipo de control.

La Realidad

La contraseña hoy por hoy sigue siendo una forma de asegurar la autenticación de muchas organizaciones, pese a la advertencia de muchas entidades internacionales (FFIEC - Federal Financial Institutions Examination Council) de modificar los esquemas de autenticación de contraseñas estáticas a palabras clave dinámicas o dos factores de autenticación para mitigar los riesgos de pérdida de confidencialidad de los datos residentes en las máquinas.

Mientras se llega la evolución y masificación de los mecanismos de autenticación modernos y migramos hacia elementos más robustos y automáticos, el “santo y seña” de tiempos inmemoriales puesto en los sistemas de información modernos, seguirá siendo el método base que tenemos para defendernos de los ojos no autorizados y la forma de cómo hacerle cada vez más difícil a los atacantes encontrarse con nuestros datos.

Luego, cuando alguien le diga que tiene muchas contraseñas para aprenderse, que la que utiliza en el móvil es larga y tediosa, que toma mucho tiempo adelantar la autenticación en su equipo de cómputo bien sea de escritorio o móvil, piense en los impactos de una brecha de seguridad en su equipo y las implicaciones que ello puede traer en su organización o persona; así recordará nuevamente que, sin un entendimiento de los retos de la inseguridad de la información en su entorno personal y empresarial, será presa fácil de la inevitabilidad de la falla y una estadística más de aquella frase que no queremos escuchar una vez se le advierte sobre un peligro inminente a una persona y éste se materializa: “Se lo dije”.

Fuente:http://insecurityit.blogspot.com.ar/

 

ADN: el medio de almacenamiento más seguro!

Por Nick Goldman

European Bioinformatics Institute

Hinxton - UK

Los investigadores, del Instituto Europeo de Bioinformática (IEB), con sede en Inglaterra, demostraron que es posible guardar textos, imágenes y sonidos en "la molécula de la vida".


Reputación online, un valor en alza

Por Samuel Segarra

Consultor de sistemas de gestión de S2 Grupo

España


El impacto financiero del cibercrimen se incrementa en casi un 40%

HP ha presentado los datos de la tercera edición del “Estudio sobre el cibercrimen 2012”, conducido por el Instituto Ponemon, en el que ha quedado manifiesto que la frecuencia de los ciberataques se ha duplicado.


Desafíos de la Seguridad 2012

Por Juan Ospina
Bit Defender - Colombia


Documentos electrónicos: la inseguridad más allá de la manifestación de la voluntad

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Auditando la inseguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Automatizando ITIL

Por Joaquin Rivas

Grupo CONSISA

Costa Rica


Microsoft Online Services EN LA NUBE: compliance a 10 mil metros de altura

Por Alex Campos

IT Evangelist

Microsoft Chile


SEGURIDAD EN LA NUBE: compliance a 10 mil metros de altura

Por Lisseth Rodríguez

Proyect Manager - Delta Networks Systems


Cloud Computing: Los Retos de la Seguridad

Por Mariangel Hernández Aldana

Channel Manager  - Astaro Región Andina y Venezuela


Seguridad Informática Hoy, tendencias de los ataques informáticos.

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


Pronósticos de seguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


LA RED EL NUEVO CAMPO DE BATALLA
Andrés A. Buendía Ucrós

Sales Engineer – North LatinAmerica & Caribbean


Infosecurity y seguridad informática
Por Frano Capeta Mondoñedo

Country Manager Perú

I-SEC Information Security Inc.


Autenticación Segura en un mundo nublado

Por Esteban Lubensky
Gerente General
GMS


Seguridad Multinivel
Por Carlos Moreno Carrascal
Channel Account Manager
Trend Micro Latinoamérica


Seguridad Multinivel
Por Carlos Mario Reyes
Especialista de Producto
TECNASA El Salvador


Cloud & Virtualization Security

Por Carlos Rienzi
System Engineer
CISCO - Argentina


El Factor Gente en la Seguridad de la Información

Por Sandra Da Silva
Analista de Infraestructura TIC
Petrobras Paraguay Distribución Ltd.


Impacto de las Amenazas Físicas y Ambientales en la Seguridad de Data Centers y Cuartos de Cableado

Por Daniel A. Molina

APC by Schneider Electric

Territory Manager - Puerto Rico & Dominican Republic


WikiLeaks: 40 Minutos de Verdad

HÉCTOR MARIO DELGADO
GERENTE GENERAL - SOFTNET S.A
Medellín - Colombia


Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


La lección que nos deja Wikileaks
Alfredo Zuccotti

Subgerente de Seguridad

Cooperativa Universitaria - Paraguay


Administración de Eventos de Seguridad
Stephen Fallas
Security Solution Architect – Latin America
Hewlett Packard - Disertante para Infosecurity Vip - Quito 2010



Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad