Especial de seguridad, Contraseñas. (Parte 3)

Como lo prometido es deuda, hago entrega oficial de la ultima parte de este “especial” de seguridad.

.Especial password.jpg

En la anterior entrada, hablábamos de un técnica llamada SFSP (Simple Formula for Strong Password) desarrollada por el instituto SANS, la idea del tutorial (descrito en un documento con aproximadamente 50 hojas) es que la memoria se vuelva “amiga” del método de creación de contraseñas fuertes. Igualmente sirve para imaginarse un password complejo o para convertir uno “débil” en “robusto”.

La técnica se basa en escoger un código secreto y una “Memory Cue” (¿Haber quien lo traduce?) que podemos entenderlo como una palabra fácil de recordar o con la que estamos muy familiarizados; a estas dos constantes aplicarles las “reglas de orden de entrada” (Input Rules) – se que no traduce eso, pero así lo podemos entender mejor-.

Para efectos de ejemplos usaremos la contraseña “password”, una de las primeras “Input Rules” desde ahora IR, es insertar números entre cada carácter, pero NO cualquier numero la idea es el numero doble de anterior, veamos un ejemplo:

Contraseña neta: password

Contraseña con IR: p1a2s4s8w16o32r64d128

Cuando vemos de cerca la contraseña “robustizada” podemos sacar aparte los numero de las letras, pero juntos hacen una gran combinación. Teniendo nuestra contraseña en ese estado aplicamos la segunda IR

NOTA: Cada IR tiene su propia codificación, ejemplo la primera se llama R1, la segunda se llama R2…y así sucesivamente.

La R2 dice que debemos insertar caracteres especiales a lo que ya tenemos, para este ejemplo los meteremos entre paréntesis, quedando así:

(p1a2s4s8w16o32r64d128)

Y la cosa se complica por que las recomendaciones de R2 no son precisamente que se comience con los caracteres especiales sino que se introduzcan entre los primeros caracteres dejando una contraseña complicada hasta de escribir (por no decir que de recordar).

p1(a2s4s8w16o32r64d128)

NOTA PERSONAL: No puedo extenderme explicando cada una de las IR que describe el documento de SANS, por que infringiría la ley (aunque me gustaría discutir todas) por lo que solo voy a escribir una par mas de ellas.

Otro de los métodos que me parecen interesantes es uno al que llaman “Secret Code” se trata de algo que solo conoce el usuario de la contraseña, para este ejemplo usaremos el nombre mas popular en mi querida Colombia, “alberto”, tomaremos el año en el que alberto nació (Dic 25 de 1980) en notación numérica 12251980 y le aplicaremos el concepto de Secret Code de SFSP, quedando algo así:

Contraseña Neta: alberto

Contraseña con Secret Code: 1a2l2b5e1r9t8o0

La R2 en esta técnica es escribir la segunda letra de la palabra fácil de recodar “alberto” y la escribimos en mayúscula, en total la contraseña quedaría algo parecido a:

Contraseña completa: 1a2L2b5e1r9t8o0

Pero no todo es difícil con los métodos de SANS también tiene uno que puede resultar útil y fácil de recordar, lo llaman “Memory Cue Truncation” y reza que si eres un administrador de servidores y debes mantener múltiples contraseñas de tus servicios prestados puedes usar palabras claves “a medias” combinadas con Secret codes y recordarlos fácilmente, veamos un ejemplo:

Supongamos que tenemos un servidor con un Active Directory y un servidor de correo electrónico en Red Hat con Sendmail. El GNU/Linux puede entregar los correos en las cuentas del AD (Active Directory) pero los usuarios del dominio NO pueden entrar al servidor desde la consola, es decir, el Administrador del dominio NO es el Key user en el servidor de correos, lo que indica que necesitamos por los menos dos usuarios maestros cada uno con su “propia” contraseña.

Siguiendo el método usaremos el mismo Secret Code para ambos passwords, 12251980 (Dic 25 de 1980, la fecha en que nació el SysAdmin del a red). Para el servidor de Correo podemos hacer un Memory Cue así:

Correo Electrónico en Red Hat

Tomamos las primeros 5 letras de la frase (sin contar los espacios) y las ultimas cinco, nos queda algo como:

CorreoedHat

Entre mas mayúsculas tenga el extracto que sacamos de la frase mucho mejor, luego entre las cinco primeras letras insertamos el Secret Code, quedando la contraseña así:

Correo12251980edHat

Es en resumidas cuentas una contraseña bastante robusta, para el administrador de dominio de AD, quedaría entonces algo como:

Admin12251980ctory

Y podemos complicarnos mucho mas la existencia aplicando las IR que nos parezca mejores, como las de segunda letra en mayúscula, aplicando igualmente los caracteres especiales y una ultima regla que indica la fecha en que modificamos la contraseña que estamos usando, quedando algo (para el servidor de correo) como:

CO#rreo12251980edHat#0403

Conclusión una contraseña robusta, pero complicada de recordar, incluso difícil de escribir.

Como nota final, hay que resaltar que la seguridad no solo se hace con contraseñas robustas o con nombres de usuario impersonales, es muy necesario (incluso mas) tener normas, procedimientos y políticas claras y definidas, sino todo esto no sirve para nada.

Con esto concluimos nuestro primer Especial de seguridad en Rincón Informático, espero que les haya gustado.

One Comment