nodos en la Red

Contraseñas [evaporando una nube muy común]

user

Mario López de Ávila Muñoz

Emprendedor e inversor, mentor, advisor. Profesor asociado del área de Operations and Quantitative Methods de la IE Business School, imparte clases en la escuela desde el año 1996. Fundador de la Agile Entrepreneurship Spain, la comunidad hispano hablante de interesados en las metodologías Lean Startup en Meetup decana en España y una de las más grandes del mundo. Startup NEXT Madrid Lead Facilitator. Lean Startup Machine Madrid Co-founder. Co-director del proyecto España Lean Startup. Co-fundador de UEIA, primera aceleradora de empresas sociales de base tecnológica en el mundo.


LATEST POSTS

Let’s talk about Profit Models [I]: introducing Wei-Zhu Profit Model Matrix 06th April, 2015

#LEAN ELEPHANTS True Lean Intrapreneurs 23rd July, 2014

algo que puede ser útil

Contraseñas [evaporando una nube muy común]

el .

El cerebro de la mayoría de nosotros está mal equipado para enfrentarse a las demandas que nuestra vida digital nos impone en lo que a la Seguridad se refiere, concretamente con relación a la gestión de las contraseñas.

Idealmente, en cada servicio en el que nos demos de alta deberíamos utilizar una contraseña distinta.  Además, deberíamos cumplir con las recomendaciones habituales encaminadas a fortalecer dicha contraseña: utilizar combinaciones aleatorias de letras, mayúsculas y minúsculas, con números.  Cuanto más largas, mejor.

Estas características recomendadas no hacen más que dificultar la tarea de recordar decenas [si tienes una vida digital especialmente activa serán más de una docena con toda seguridad] de contraseñas distintas.  Es bastante habitual que alguien se encuentre con la sorpresa, a la hora de entrar en un servicio web que no utiliza habitualmente, de que la contraseña y/o el nombre de usuario que está utilizando no es el correcto.


Las empresas que ofrecen estos servicios lo saben y se ven obligadas a ofrecer mecanismos de "recuperación de contraseñas" que complican el sistema e introducen una nueva vulnerabilidad [hablaremos de esto otro día, cuando os presentemos mi buen amigo Antonio Ramos y yo el resultado de un análisis que hemos
hecho
sobre el fiasco de Twitter a finales del año pasado].

Por supuesto, existen algunas soluciones para este problema, por ejemplo aplicaciones que te permiten controlar todas tus contraseñas con una "contraseña maestra", pero es una solución que personalmente rechazo, porque vuelve a colocarte en una situación de vulnerabilidad potencialmente desastrosa.

A la espera de que la biometría sea ubicua e infalible, la forma de escapar de este dilema [porque esto es un dilema, que modelé con una nube, hace muchos años y evaporé a mi manera] es sencilla: necesitas un sistema que, siendo siempre el mismo, te proporcione en cada caso una contraseña distinta para cada servicio y que te permita, a su vez, reconstruir fácilmente esa contraseña.  De esta forma, no necesitas recordar cada una de las contraseñas, sólo el método que utilizas para llegar a ellas.  En otras palabras, necesitas un algoritmo para generar y reconstruir contraseñas.  Algoritmo que, sobra decirlo, sea fácil de recordar.

Ese algoritmo debe trabajar con los siguientes elementos:

  • Una parte fija, fácil de recordar, preferentemente numérica, que debería resultaros familiar.  Por ejemplo, el prefijo de vuestro número de teléfono móvil, el mes y el año de vuestro nacimiento o las dos primeras cifras de vuestro Pasaporte.
  • Una parte variable, directamente relacionada con el nombre o URL del servicio.  Por ejemplo, el nombre entero del mismo, o las tres primeras letras, o las tres últimas letras.  Si es Google, podría tratarse de "goo" o de "gle".
  • Al menos una de esas letras debería ser una mayúscula.  Por ejemplo, la primera letra o la última.

Contraseñas002 En la diapositiva que os adjunto encontraréis varios ejemplos [ninguno de los cuales se parece ni remotamente a mi propio algoritmo – o tal vez sí].

Construid vuestro propio algoritmo.  Sed creativos.


Nota final

Me he decidido a escribir esta entrada porque en menos de dos semanas he
mantenido conversaciones con profesionales del mundo de las TIC que me
solicitaron expresamente que lo hiciera.  El último, un buen amigo, hace
menos de media hora, es un especialista en Seguridad de la
Información.  El anterior, Director General de Sistemas de un importante
grupo industrial.  Personalmente creo que esto es una tontería, pero
¿Quién soy yo para discutirles?  Además, ya he hablado de esto mismo en
otros foros.


profile

Mario López de Ávila Muñoz

Emprendedor e inversor, mentor, advisor. Profesor asociado del área de Operations and Quantitative Methods de la IE Business School, imparte clases en la escuela desde el año 1996. Fundador de la Agile Entrepreneurship Spain, la comunidad hispano hablante de interesados en las metodologías Lean Startup en Meetup decana en España y una de las más grandes del mundo. Startup NEXT Madrid Lead Facilitator. Lean Startup Machine Madrid Co-founder. Co-director del proyecto España Lean Startup. Co-fundador de UEIA, primera aceleradora de empresas sociales de base tecnológica en el mundo.

  • Supongo que un sistema como éste también tendrá sus fallos, pero de momento es la mejor solución que he encontrado para “andar por casa”. Hasta un consultor sabría usarlo!

  • Raúl

    Tienes toda la razón, todas las guías de buenas practicas con recomendaciones para la generación de contraseñas, describen que elementos debería tener una contraseña para considerarse robusta, pero ninguna incluye referencia alguna al COMO generarlas. Así que siguiendo dichas guías se resuelve un problema (fortaleza) y se genera otro: recordarlas.
    Usando un algoritmo, creamos un método.. es decir sistematizamos. En esencia nos creamos nuestro propio “token”.
    Otra opción sería por ejempplo generar el MD5 de algo:
    echo “raul” | md5
    6b007ae80aac41f4b68e76929a9988c2

View Comments (2) ...