Última actualització: 25/09/2006; 17:38:22
quands.cat
quands.cat
Comentaris relacionats amb la seguretat informàtica.

Són bones les teves contrasenyes?

Com evitar l'«Accés denegat»

Mercè Molist
http://ww2.grn.es/merce/

El nom de la seva mascota o del seu amant són les contrasenyes que més utilitza la gent en els serveis d'Internet. Oblidar aquesta paraula o que algú la descobreixi i la canviï per una altra donarà lloc al temible «Accés Denegat. No ha donat la contrasenya correcta i no podrà accedir a aquest servei». És possible que un dia visquis aquesta situació, si la teva contrasenya no és segura o no està ben construïda per recordar-la.

És com si ens haguessin regalat un Jaguar, sense les instruccions per utilitzar-lo. Cada dia neixen nous serveis a Internet on se'ns demana que inventem una paraula de pas, si volem tornar a accedir-hi. Per a una població no acostumada a la seguretat informàtica, aquest moment provoca suors fredes i espremudes de cervell: Quina escollir-ne? Demà, quan ens donem d'alta d'un nou servei, una altra vegada el maleït ritual. I no val oblidar-ne cap!

Per a què serveix una contrasenya? És una forma d'autenticació basada «en què el que la persona sap». Qualsevol servei personalitzat -el caixer automàtic del banc, el nostre accés a Internet, al correu electrònic, una web de ràdio a la carta- requereix la nostra «autenticació». Hem de demostrar d'alguna forma que som nosaltres i no el veí del costat. Aquesta és la funció de la contrasenya, dir: «Sóc jo i ho demostro perquè sé aquesta paraula».

Qui té la contrasenya, té el poder, des del principi dels temps. Recordeu l'«obre't Sèsam» que obria la porta de la cova d'Ali Babà. Els intrusos informàtics saben el valor d'aquests conjurs, que els permeten entrar en ordinadors i xarxes grans i petites. Avui en dia, amb una simple paraula de pas es poden robar diners d'un banc, llegir correspondència privada o canviar les notícies d'un diari. No és bufar i fer ampolles.

La gent sol pensar que a ningú no li interessen les seves contrasenyes. Greu error: si algú descobreix la paraula que dóna entrada al nostre ordinador pot usar-lo per atacar-ne altres de majors, llançar publicitat i missatges brossa o enviar cartes en el nostre nom. Si guardem a l'ordinador la contrasenya per entrar al nostre banc, és el joc de l'Oca: de contrasenya a contrasenya i guanyo perquè em toca.

Per això és important saber escollir les nostres paraules de pas. Segons els psicòlegs, una persona només pot retenir entre 5 i 9 bits d'informació en la seva memòria de curt termini. Això significa que és difícil recordar les contrasenyes per als cada vegada més serveis dels què gaudim. Per això, solem usar paraules que ens siguin comunes, com noms de familiars, mascotes, aniversari, etc. D'aquesta forma, si algú vol descobrir la nostra contrasenya només haurà d'investigar una mica la nostra vida, a través de les dades que hàgim escampat en fòrums i webs on expliquem, tan feliços, que el nostre gat es diu Sam.

Però els delinqüents no necessiten ni tan sol investigar-nos. Només els hi cal entrar a l'ordinador del nostre proveïdor d'accés a Internet o comerç favorit, agafar el fitxer xifrat amb les contrasenyes de tots els seus usuaris i sotmetre'l al que es diu un «atac de força bruta»: es passa el fitxer per un programa trencador, que acara les paraules xifrades amb múltiples diccionaris, noms de famosos, nombres i símbols, tot barrejat, fins a descobrir que una seqüència de caràcters xifrats coincideix amb una paraula.

Els esportistes, actors, personatges de pel·lícules famoses, com les sagues de «La Guerra de les Galàxies» o «El Senyor dels Anells» són també paraules que freqüentment s'usen com contrasenyes. Així, en una corporació on treballin 10.000 persones, no serà rar que algun sigui fanàtic de «Gollum». Aquesta presumpta ximpleria pot ser una porta oberta a un intrús que, a partir d'aquí, podrà entrar dins tota l'organització. Les estadístiques demostren que menys de l'1% d'empleats es preocupen perquè les seves contrasenyes siguin difícils de trencar.

Moltes corporacions estan preocupades per aquest tema: obliguen a canviar les contrasenyes cada mes i elles mateixes les creen, perquè els seus empleats no caiguin en l'error d'usar contrasenyes febles. El que passa a continuació és que són tan difícils que la gent les oblida o les escriu en «post-it» i les deixa a la vista, a la seva taula de treball. Així, qualsevol que passi per allà veurà sense problemes la paraula de pas.

«Contrasenya» o «password» són termes que també solen utilitzar-se per parlar de la paraules de pas. Un altre «pecat» comú és posar el nom de la nostra núvia o la persona que ens agrada. Explica el consultor Wellie Chao que, quan estudiava a Harvard, un dia va trobar un arxiu amb centenars de contrasenyes dels seus companys de classe: «Podies veure qui agradava a qui només amb els noms de les seves contrasenyes». La gran paradoxa és que, segons els estudis, la majoria de gent és conscient de les condicions de seguretat que han de tenir les seves contrasenyes però, simplement, no les apliquen.
 

Com crear una contrasenya?

  1. No utilitzis informació personal. No valen el nom de la teva mascota, de la teva mare, del teu nuvi, la teva data de naixement, la teva adreça, etc. Utilitza informació que et sigui fàcil de recordar, però que els altres no puguin imaginar.
     
  2. No utilitzis paraules que es puguin trobar al diccionari.
     
  3. No utilitzis seqüències fàcils com «123456» o repeticions com «2222222».
     
  4. No posis com a contrasenya el teu nom d'usuari.
     
  5. És millor no posar cap contrasenya que posar-ne una d'insegura.
     
  6. Barreja diferents tipus de caràcters: nombres, lletres majúscules i minúscules i símbols com ( / & ? .
     
  7. Fes la contrasenya tan llarga com sigui possible, 8 o més caràcters.
     
  8. Utilitza frases en comptes de paraules: són més llargues i difícils de trobar al diccionari: un vers, la primera frase d'un llibre, amb o sense espais entre paraules. Si no se't permet una contrasenya tan llarga, pots usar la lletra inicial de cada paraula. Per exemple, «En la fèrtil, rica i delitosa illa d'Anglaterra, habitava un cavaller valentíssim», donaria la contrasenya: «EnlfrididAhucv». Afegeix-li complexitat amb nombres i més símbols o nombres: «3nlfr1d1d4h1cv%».
     
  9. Un truc mnemotècnic, en cas de tenir moltes contrasenyes, és usar la mateixa arrel en totes, canviant el seu ús. Per exemple, per al banc: «4rtm5&banc». Per a l'accés a Internet: «4rtm5&internet». També pots posar faltes d'ortografia expressament: «4rtm&vanc».
     
  10. No usis la mateixa contrasenya per a tots els serveis.
     
  11. Canvia regularment les contrasenyes.
     
  12. No escriguis les teves contrasenyes en un «post-it» i menys el deixis a la teva taula de feina. Tampoc no les guardis en un document dins de l'ordinador. Si vols guardar-les, posa-les en una carpeta, lluny de la vista.
     
  13. No donis la teva contrasenya a ningú. Ni a la teva parella.
     
  14. No teclegis la contrasenya en ordinadors dels quals no controles la seguretat, per exemple en convencions o cibercafès, les xarxes dels quals poden ser monitoritzades per intrusos.
Fonts
"Creating secure contrasenyes"
http://netsecurity.about.com/cs/generalsecurity/a/aa112103b.htm

"Strong contrasenyes: How to create and usi them"
http://www.microsoft.com/athome/security/privacy/password.mspx
 

Quan de temps necessita un programa "trencador" per esbrinar la teva contrasenya de sis caràcters?

Usant un ordinador senzill (Pentium 100) Usant un ordinador ràpid (un Dual PC) Usant una estació de treball o diversos PCs treballant junts
6 caràcters numèrics En un instant En un instant En un instant
6 caràcters només lletres 5 minuts 30 segons 3 segons
6 caràcters amb lletres en majúscula i minúscula 5 hores i mitja 33 minuts 3 minuts, quinze segons
6 caràcters amb nombres i lletres en M i m 16 hores 1 hora i mitja 9 minuts i mig
6 caràcters amb nombres, lletres en M i m i símbols 9 dies 22 hores 2 hores

Font: Contrasenya Recovery Speeds
http://www.thecrypt.co.uk/lockdown/recovery_speeds.html
 

Mètodes dels "nois dolents" per esbrinar les contrasenyes

  • DESCOBRIR-LA. La pròpia persona la hi diu a algú, o bé el delinqüent entra a l'ordinador d'aquesta persona o d'un servei comercial i troba allà la seva contrasenya del banc.
     
  • INFERIR-LA. L'intrús sap que aquella persona sempre usa el mateix tipus de contrasenya i, quan la canvia, canvia només un número: Setembre01, Setembre02, etc. O que usa la mateixa contrasenya per a diferents serveis.
     
  • PER EXPOSICIÓ. Per un accident o distracció, mostrem la contrasenya a algú. Per exemple, l'intrús ens està observant per l'esquena mentre teclegem la nostra contrasenya. O el professor escriu la seva contrasenya a l'ordinador sense adonar-se a la pantalla de la classe que tot el que escriu s'està projectant.
     
  • ENDEVINAR-LA. Primer s'intenta endevinar-la, després es passa a l'"atac de força bruta".
     
  • TRENCAR-LA. Es captura la contrasenya xifrada i s'ataca amb un programa "trencador".
     
  • ESPIAR-LA. L'intrús intercepta la comunicació per on s'està enviant la contrasenya. Els programes "sniffers" i "keyloggers" serveixen per a això. El "sniffer" espia les comunicacions a través de la xarxa i el "keylogger" s'instal·la a l'ordinador i emmagatzema el que es tecleja al teclat.
Font: Security Myths and Passwords
http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/
 

Contrasenya? Llegeix la teva ment

La funció d'una paraula de pas és l'"autenticació": confirmar que la persona és qui diu ser. La contrasenya ho fa a partir d'"una cosa que sabem". La clau de la nostra casa, a partir d'"una cosa que tenim" i la petjada dactilar a partir d'"allò que som". Aquest últim tipus d'autenticació és la Biometria i consisteix en el reconeixement de l'iris de l'ull, la cara, la mà, la veu, etc.

El més nou en aquest camp és llegir la ment. Investigadors de la Universitat Carleton, d'Otawa (El Canadà), estan treballant en la creació d'un aparell que llegeixi els pensaments de la persona per autenticar la seva identitat. En concret, usarà les ones cerebrals perquè, encara que dues persones pensin en el mateix, els impulsos elèctrics que generen són diferents.

Font: "Your Thoughts are your password".
http://www.wired.com/news/technology/0,70726-0.html
 

Comprova que la teva contrasenya és bona

Hi ha diversos serveis en línia que ens permeten comprovar si estem usant una bona paraula de pas:
 

I si l'oblides?

Múltiples eines permeten a un usuari o a usuària que ha oblidat la seva contrasenya tornar a recuperar-la, des de la contrasenya general de Windows fins a la del programa Messenger o l'accés telefònic a xarxes.

http://nirsoft.net/utils/index.html#password_utils
 

Estadístiques

  • Un 35% de persones tenen contrasenyes de 6,84 caràcters de mitja.
     
  • Un 75% usen 3 contrasenyes per a tots els seus serveis i comptes.
     
  • El 60% no modifica la complexitat de la seva contrasenya segons el servei. Utilitza paraules igual de fàcils per al banc que per a un xat.
     
  • El 52% no canvien mai les seves contrasenyes.
     
  • El 85,7% utilitza lletres minúscules per a les seves contrasenyes
     
  • El 55% usa paraules del seu entorn (noms de fills, mascotes, ídols, etc.)
Fonts:
Departament de Psicologia de la Universitat de Wichita
"Password Security: What Users Know and What They Actually Do"
http://psychology.wichita.edu/surl/usabilitynews/81/Passwords.htm
 

I el PIN?

  • El 65% de persones no canvien mai el PIN, per por de no recordar-lo
     
  • El 90% de dones obliden el seu nombre secret més de 4 vegades a l'any.
     
  • El 41% de dones i el 27% d'homes comparteixen el seu nombre secret amb les seves parelles
     
  • El 48% d'homes escullen nombres a l'atzar per crear el seu PIN
     
  • El 33% de dones usen dates específiques per crear el seu PIN
     
  • El 38% d'homes i el 28% de dones utilitzen el mateix nombre per a totes les seves targetes
Font: CPP Protecció i Serveis d'Assistència.
http://www.quands.cat/2006/02/18.html#a6724
 

Més info

Les contrasenyes
http://maty.galeon.com/Enlaces_de_Seguridad/contrasenyas-1.htm

 

Versió original: http://ww2.grn.es/merce/2006/passwords.html

Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital mèdium, provided this notice is preserved.
© Copyright 2003-2006 Xavier Caballé. . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.