De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda
Para otros usos, consulte Contraseña (desambiguación) .
Para obtener ayuda con su contraseña de Wikipedia, consulte Ayuda: Restablecer contraseña .
"Código de acceso" vuelve a dirigir aquí. Para el grupo de ídolos japoneses, consulte Código de acceso (grupo) .
Un campo de contraseña en un formulario de inicio de sesión.

Una contraseña , a veces llamada código de acceso , [1] son datos secretos, generalmente una cadena de caracteres, que generalmente se usa para confirmar la identidad de un usuario. [1] Tradicionalmente, se esperaba que las contraseñas se memorizaran, pero la gran cantidad de servicios protegidos con contraseña a los que accede un individuo típico puede hacer que la memorización de contraseñas únicas para cada servicio sea poco práctica. [2] Utilizando la terminología de las Pautas de identidad digital del NIST, [3] el secreto lo mantiene una parte llamada reclamante, mientras que la parte que verifica la identidad del reclamante se llama verificador. Cuando el reclamante demuestra con éxito el conocimiento de la contraseña al verificador a través de un protocolo de autenticación establecido , [4] el verificador puede inferir la identidad del reclamante.

En general, una contraseña es una cadena arbitraria de caracteres que incluye letras, dígitos u otros símbolos. Si los caracteres permitidos están restringidos a ser numéricos, el secreto correspondiente a veces se denomina número de identificación personal (PIN).

A pesar de su nombre, una contraseña no necesita ser una palabra real; de hecho, una no palabra (en el sentido del diccionario) puede ser más difícil de adivinar, lo cual es una propiedad deseable de las contraseñas. Un secreto memorizado que consiste en una secuencia de palabras u otro texto separado por espacios a veces se denomina frase de contraseña . Una frase de contraseña es similar a una contraseña en uso, pero la primera es generalmente más larga para mayor seguridad. [5]

Historia [ editar ]

Las contraseñas se han utilizado desde la antigüedad. Los centinelas desafiarían a aquellos que deseen ingresar a un área a que proporcionen una contraseña o contraseña , y solo permitirían que una persona o grupo pasara si conocían la contraseña. Polibio describe el sistema para la distribución de consignas en el ejército romano de la siguiente manera:

La forma en que aseguran el paso de la consigna para la noche es la siguiente: del décimo manípulo de cada clase de infantería y caballería, el manípulo que está acampado en el extremo inferior de la calle, se elige un hombre que es relevado del deber de guardia, y asiste todos los días al atardecer en la tienda de la tribuna, y recibiendo de él la consigna, es decir, una tablilla de madera con la palabra inscrita en ella, se despide y, al regresar a sus aposentos, transmite la consigna y la tablilla ante testigos al comandante del siguiente manípulo, quien a su vez pasa al que está junto a él. Todos hacen lo mismo hasta llegar a los primeros manípulos, los acampados cerca de las tiendas de las tribunas. Estos últimos están obligados a entregar la tablilla a las tribunas antes de que oscurezca. De modo que si todos los emitidos son devueltos, el tribuno sabe que la consigna ha sido dada a todos los manípulos, y ha pasado por todos en su camino de regreso a él. Si falta alguno de ellos, indaga enseguida, como sabe por las marcas de qué parte no ha regresado la tablilla, y quien sea responsable de la interrupción se encuentra con el castigo que merece.[6]

Las contraseñas en el uso militar evolucionaron para incluir no solo una contraseña, sino también una contraseña y una contraseña; por ejemplo, en los primeros días de la Batalla de Normandía , los paracaidistas de la 101ª División Aerotransportada de EE. UU. utilizaron una contraseña, flash, que se presentó como un desafío y respondió con la respuesta correcta, trueno . El desafío y la respuesta se cambiaron cada tres días. Los paracaidistas estadounidenses también utilizaron un dispositivo conocido como "grillo" el día D en lugar de un sistema de contraseña como método de identificación temporalmente único; un clic metálico dado por el dispositivo en lugar de una contraseña se encontraría con dos clics en respuesta. [7]

Las contraseñas se han utilizado con las computadoras desde los primeros días de la informática. El Compatible Time-Sharing System (CTSS), un sistema operativo introducido en el MIT en 1961, fue el primer sistema informático en implementar el inicio de sesión con contraseña. [8] [9] CTSS tenía un comando LOGIN que solicitaba una contraseña de usuario. "Después de escribir CONTRASEÑA, el sistema apaga el mecanismo de impresión, si es posible, para que el usuario pueda ingresar su contraseña con privacidad". [10] A principios de la década de 1970, Robert Morris desarrolló un sistema para almacenar contraseñas de inicio de sesión en forma hash como parte de Unixsistema operativo. El sistema se basó en una máquina criptográfica de rotor Hagelin simulada y apareció por primera vez en la sexta edición de Unix en 1974. Una versión posterior de su algoritmo, conocida como cripta (3) , utilizaba una sal de 12 bits e invocaba una forma modificada del DES. algoritmo 25 veces para reducir el riesgo de ataques de diccionario precalculados . [11]

En los tiempos modernos, las personas suelen utilizar nombres de usuario y contraseñas durante un proceso de inicio de sesión que controla el acceso a sistemas operativos de computadoras protegidos , teléfonos móviles , decodificadores de televisión por cable , cajeros automáticos (ATM), etc. Un usuario de computadora típico tiene contraseñas para muchos propósitos: iniciar sesión en cuentas, recuperar correo electrónico , acceder a aplicaciones, bases de datos, redes, sitios web e incluso leer el periódico matutino en línea.

Elegir una contraseña segura y fácil de recordar [ editar ]

Cuanto más fácil sea recordar una contraseña para el propietario, generalmente significa que será más fácil de adivinar para un atacante . [12] Sin embargo, las contraseñas que son difíciles de recordar también pueden reducir la seguridad de un sistema porque (a) los usuarios pueden necesitar escribir o almacenar electrónicamente la contraseña, (b) los usuarios necesitarán restablecer la contraseña con frecuencia y (c) los usuarios son es más probable que reutilicen la misma contraseña en diferentes cuentas. De manera similar, cuanto más estrictos sean los requisitos de contraseña, como "tener una combinación de letras mayúsculas y minúsculas y dígitos" o "cambiarla mensualmente", mayor será el grado en que los usuarios subvertirán el sistema. [13] Otros argumentan que las contraseñas más largas brindan más seguridad (p. Ej., Entropía) que contraseñas más cortas con una amplia variedad de caracteres. [14]

En The Memorability and Security of Passwords , [15] Jeff Yan et al. examinar el efecto de los consejos dados a los usuarios sobre una buena elección de contraseña. Descubrieron que las contraseñas basadas en pensar en una frase y tomar la primera letra de cada palabra son tan memorables como las contraseñas seleccionadas ingenuamente, y tan difíciles de descifrar como las contraseñas generadas al azar.

Combinar dos o más palabras no relacionadas y alterar algunas de las letras a caracteres especiales o números es otro buen método, [16] pero una sola palabra del diccionario no lo es. Tener un algoritmo diseñado personalmente para generar contraseñas oscuras es otro buen método. [ cita requerida ]

Sin embargo, pedir a los usuarios que recuerden una contraseña que consta de una "combinación de caracteres en mayúsculas y minúsculas" es similar a pedirles que recuerden una secuencia de bits: difícil de recordar y solo un poco más difícil de descifrar (por ejemplo, solo 128 veces más difícil de descifrar). crack para contraseñas de 7 letras, menos si el usuario simplemente escribe en mayúscula una de las letras). Pedir a los usuarios que utilicen "tanto letras como dígitos" a menudo conducirá a sustituciones fáciles de adivinar como 'E' → '3' y 'I' → '1', sustituciones que los atacantes conocen bien. De manera similar, escribir la contraseña una fila más arriba del teclado es un truco común conocido por los atacantes. [17]

En 2013, Google publicó una lista de los tipos de contraseña más comunes, todos los cuales se consideran inseguros porque son demasiado fáciles de adivinar (especialmente después de investigar a una persona en las redes sociales): [18]

  • El nombre de una mascota, niño, familiar o pareja
  • Fechas de aniversario y cumpleaños
  • Lugar de nacimiento
  • Nombre de una fiesta favorita
  • Algo relacionado con un equipo deportivo favorito.
  • La palabra "contraseña"

Alternativas a la memorización [ editar ]

El consejo tradicional de memorizar contraseñas y nunca escribirlas se ha convertido en un desafío debido a la gran cantidad de contraseñas que se espera que mantengan los usuarios de computadoras e Internet. Una encuesta concluyó que el usuario promedio tiene alrededor de 100 contraseñas. [2] Para administrar la proliferación de contraseñas, algunos usuarios emplean la misma contraseña para múltiples cuentas, una práctica peligrosa ya que una filtración de datos en una cuenta podría comprometer el resto. Las alternativas menos riesgosas incluyen el uso de administradores de contraseñas , sistemas de inicio de sesión único y simplemente mantener listas impresas de contraseñas menos críticas. [19] Estas prácticas pueden reducir la cantidad de contraseñas que se deben memorizar, como la contraseña maestra del administrador de contraseñas, a un número más manejable.

Factores en la seguridad de un sistema de contraseñas [ editar ]

La seguridad de un sistema protegido por contraseña depende de varios factores. El sistema en general debe estar diseñado para una seguridad sólida, con protección contra virus informáticos , ataques de intermediarios y similares. Los problemas de seguridad física también son motivo de preocupación, desde disuadir la navegación lateral hasta amenazas físicas más sofisticadas, como cámaras de video y rastreadores de teclado. Las contraseñas deben elegirse de modo que sean difíciles de adivinar para un atacante y difíciles de descubrir para un atacante utilizando cualquiera de los esquemas de ataque automático disponibles. Consulte la fuerza de la contraseña y la seguridad informática para obtener más información.

Hoy en día, es una práctica común que los sistemas informáticos oculten las contraseñas a medida que se escriben. El propósito de esta medida es evitar que los transeúntes lean la contraseña; sin embargo, algunos argumentan que esta práctica puede provocar errores y estrés, lo que alienta a los usuarios a elegir contraseñas débiles. Como alternativa, los usuarios deben tener la opción de mostrar u ocultar las contraseñas a medida que las escriben. [20]

Las disposiciones efectivas de control de acceso pueden imponer medidas extremas a los delincuentes que buscan adquirir una contraseña o un token biométrico. [21] Las medidas menos extremas incluyen la extorsión , el criptoanálisis con manguera de goma y el ataque al canal lateral .

A continuación, se presentan algunos problemas específicos de administración de contraseñas que deben tenerse en cuenta al pensar, elegir y manejar una contraseña.

Tasa a la que un atacante puede intentar adivinar contraseñas [ editar ]

La velocidad a la que un atacante puede enviar contraseñas adivinadas al sistema es un factor clave para determinar la seguridad del sistema. Algunos sistemas imponen un tiempo de espera de varios segundos después de una pequeña cantidad (p. Ej., Tres) de intentos fallidos de ingreso de contraseña, también conocido como limitación. [3] : 63B Sec 5.2.2 En ausencia de otras vulnerabilidades, dichos sistemas pueden ser seguros de manera efectiva con contraseñas relativamente simples si han sido bien elegidas y no son fáciles de adivinar. [22]

Muchos sistemas almacenan un hash criptográfico de la contraseña. Si un atacante obtiene acceso al archivo de contraseñas con hash, la adivinación se puede realizar sin conexión, probando rápidamente las contraseñas candidatas con el valor hash de la contraseña verdadera. En el ejemplo de un servidor web, un atacante en línea solo puede adivinar la velocidad a la que responderá el servidor, mientras que un atacante fuera de línea (que obtiene acceso al archivo) puede adivinar a una velocidad limitada solo por el hardware en que está ejecutando el ataque.

Las contraseñas que se utilizan para generar claves criptográficas (por ejemplo, para cifrado de disco o seguridad Wi-Fi ) también pueden estar sujetas a adivinanzas de alta velocidad. Las listas de contraseñas comunes están ampliamente disponibles y pueden hacer que los ataques a contraseñas sean muy eficientes. (Consulte Descifrado de contraseñas ). La seguridad en tales situaciones depende del uso de contraseñas o frases de contraseña de la complejidad adecuada, lo que hace que dicho ataque sea computacionalmente inviable para el atacante. Algunos sistemas, como PGP y Wi-Fi WPA , aplican un hash de cálculo intensivo a la contraseña para ralentizar dichos ataques. Ver estiramiento clave .

Límites en el número de intentos de contraseñas [ editar ]

Una alternativa para limitar la velocidad a la que un atacante puede adivinar una contraseña es limitar el número total de adivinanzas que se pueden realizar. La contraseña se puede desactivar, requiriendo un restablecimiento, después de una pequeña cantidad de malas suposiciones consecutivas (digamos 5); y es posible que se le solicite al usuario que cambie la contraseña después de una mayor cantidad acumulada de conjeturas incorrectas (por ejemplo, 30), para evitar que un atacante realice una cantidad arbitrariamente grande de conjeturas incorrectas intercalando entre las buenas conjeturas realizadas por el propietario legítimo de la contraseña. [23] Los atacantes pueden, a la inversa, utilizar el conocimiento de esta mitigación para implementar un ataque de denegación de servicio.contra el usuario bloqueando intencionalmente al usuario de su propio dispositivo; esta denegación de servicio puede abrir otras vías para que el atacante manipule la situación en su beneficio a través de la ingeniería social .

Forma de contraseñas almacenadas [ editar ]

Algunos sistemas informáticos almacenan las contraseñas de los usuarios como texto sin formato , con el que comparar los intentos de inicio de sesión de los usuarios. Si un atacante obtiene acceso a un almacén de contraseñas interno de este tipo, todas las contraseñas, y por lo tanto todas las cuentas de usuario, se verán comprometidas. Si algunos usuarios emplean la misma contraseña para cuentas en diferentes sistemas, también se verán comprometidas.

Los sistemas más seguros almacenan cada contraseña en una forma protegida criptográficamente, por lo que el acceso a la contraseña real seguirá siendo difícil para un fisgón que obtenga acceso interno al sistema, mientras que la validación de los intentos de acceso del usuario sigue siendo posible. Los más seguros no almacenan contraseñas en absoluto, sino una derivación unidireccional, como un polinomio , módulo o una función hash avanzada . [14] Roger Needham inventó el enfoque ahora común de almacenar solo una forma "hash" de la contraseña de texto sin formato. [24] [25] Cuando un usuario escribe una contraseña en un sistema de este tipo, el software de manejo de contraseñas se ejecuta a través de un hash criptográficoalgoritmo, y si el valor hash generado a partir de la entrada del usuario coincide con el hash almacenado en la base de datos de contraseñas, se permite el acceso al usuario. El valor hash se crea aplicando una función hash criptográfica a una cadena que consta de la contraseña enviada y, en muchas implementaciones, otro valor conocido como salt . Una sal evita que los atacantes creen fácilmente una lista de valores hash para contraseñas comunes y evita que los esfuerzos de descifrado de contraseñas escalen entre todos los usuarios. [26] MD5 y SHA1 son funciones de hash criptográficas de uso frecuente, pero no se recomiendan para el hash de contraseñas a menos que se utilicen como parte de una construcción más grande, como en PBKDF2 . [27]

Los datos almacenados, a veces llamados "verificador de contraseña" o "hash de contraseña", a menudo se almacenan en formato Modular Crypt o formato hash RFC 2307, a veces en el archivo / etc / passwd o en el archivo / etc / shadow . [28]

Los principales métodos de almacenamiento de contraseñas son texto sin formato, hash, hash y salado, y cifrado reversiblemente. [29] Si un atacante obtiene acceso al archivo de contraseña, si se almacena como texto sin formato, no es necesario descifrarlo. Si está hash pero no salado, entonces es vulnerable a los ataques de la tabla de arco iris (que son más eficientes que el agrietamiento). Si está cifrado de forma reversible, entonces si el atacante obtiene la clave de descifrado junto con el archivo, no es necesario descifrarlo, mientras que si no consigue obtener la clave, el descifrado no es posible. Por lo tanto, de los formatos de almacenamiento comunes para contraseñas solo cuando las contraseñas se han salado y hash, el descifrado es necesario y posible. [29]

Si una función hash criptográfica está bien diseñada, computacionalmente no es factible revertir la función para recuperar una contraseña de texto sin formato . Sin embargo, un atacante puede utilizar herramientas ampliamente disponibles para intentar adivinar las contraseñas. Estas herramientas funcionan aplicando hash a posibles contraseñas y comparando el resultado de cada conjetura con los hash de contraseñas reales. Si el atacante encuentra una coincidencia, sabrá que su conjetura es la contraseña real del usuario asociado. Las herramientas para descifrar contraseñas pueden operar por fuerza bruta (es decir, probando todas las combinaciones posibles de caracteres) o aplicando un hash a cada palabra de una lista; En Internet se encuentran disponibles grandes listas de posibles contraseñas en muchos idiomas. [14] La existencia de craqueo de contraseñasLas herramientas permiten a los atacantes recuperar fácilmente contraseñas mal elegidas. En particular, los atacantes pueden recuperar rápidamente contraseñas que son cortas, palabras de diccionario, variaciones simples de palabras de diccionario o que usan patrones fáciles de adivinar. [30] Se utilizó una versión modificada del algoritmo DES como base para el algoritmo de hash de contraseñas en los primeros sistemas Unix . [31] El algoritmo de la cripta utilizó un valor de sal de 12 bits para que el hash de cada usuario fuera único e iteraba el algoritmo DES 25 veces para hacer la función hash más lenta, ambas medidas destinadas a frustrar los ataques de adivinación automatizados. [31] La contraseña del usuario se utilizó como clave para cifrar un valor fijo. Los sistemas Unix o similares a Unix más recientes (por ejemplo, Linux o los diversos sistemas BSD ) usan algoritmos de hash de contraseñas más seguros como PBKDF2 , bcrypt y scrypt , que tienen grandes sales y un costo o número de iteraciones ajustable. [32] Una función hash mal diseñada puede hacer que los ataques sean factibles incluso si se elige una contraseña segura. Consulte LM hash para ver un ejemplo inseguro y ampliamente implementado. [33]

Métodos para verificar una contraseña en una red [ editar ]

Transmisión simple de la contraseña [ editar ]

Las contraseñas son vulnerables a la interceptación (es decir, "espionaje") mientras se transmiten a la máquina o persona autenticadora. Si la contraseña se transmite como señales eléctricas en un cableado físico no seguro entre el punto de acceso del usuario y el sistema central que controla la base de datos de contraseñas, está sujeta a espionaje mediante métodos de escuchas telefónicas . Si se transporta como datos empaquetados a través de Internet, cualquiera que pueda ver los paquetes que contienen la información de inicio de sesión puede espiar con una probabilidad muy baja de detección.

El correo electrónico se utiliza a veces para distribuir contraseñas, pero generalmente es un método inseguro. Dado que la mayoría de los correos electrónicos se envían como texto sin formato , un mensaje que contiene una contraseña es legible sin esfuerzo durante el transporte por cualquier intruso. Además, el mensaje se almacenará como texto sin formato en al menos dos computadoras: la del remitente y la del destinatario. Si pasa a través de sistemas intermedios durante sus viajes, probablemente también se almacenará allí, al menos durante algún tiempo, y se puede copiar en archivos de respaldo , caché o historial en cualquiera de estos sistemas.

El uso del cifrado del lado del cliente solo protegerá la transmisión desde el servidor del sistema de gestión de correo a la máquina cliente. Las retransmisiones anteriores o posteriores del correo electrónico no estarán protegidas y el correo electrónico probablemente se almacenará en varias computadoras, ciertamente en las computadoras de origen y recepción, la mayoría de las veces en texto sin cifrar.

Transmisión a través de canales encriptados [ editar ]

El riesgo de interceptación de contraseñas enviadas a través de Internet puede reducirse, entre otros métodos, mediante el uso de protección criptográfica . La más utilizada es la función Transport Layer Security (TLS, anteriormente llamada SSL ) integrada en la mayoría de los navegadores de Internet actuales . La mayoría de los navegadores alertan al usuario de un intercambio protegido por TLS / SSL con un servidor mostrando un icono de candado cerrado, o algún otro signo, cuando TLS está en uso. Hay varias otras técnicas en uso; ver criptografía .

Métodos de desafío-respuesta basados ​​en hash [ editar ]

Desafortunadamente, existe un conflicto entre las contraseñas hash almacenadas y la autenticación de desafío-respuesta basada en hash ; el último requiere que un cliente demuestre a un servidor que sabe cuál es el secreto compartido (es decir, la contraseña) y, para ello, el servidor debe poder obtener el secreto compartido de su forma almacenada. En muchos sistemas (incluidos los sistemas de tipo Unix) que realizan autenticación remota, el secreto compartido generalmente se convierte en la forma hash y tiene la seria limitación de exponer las contraseñas a ataques de adivinación fuera de línea. Además, cuando el hash se utiliza como secreto compartido, un atacante no necesita la contraseña original para autenticarse de forma remota; solo necesitan el hachís.

Pruebas de contraseña de conocimiento cero [ editar ]

En lugar de transmitir una contraseña o transmitir el hash de la contraseña, los sistemas de acuerdos de claves autenticados por contraseña pueden realizar una prueba de contraseña de conocimiento cero , lo que demuestra el conocimiento de la contraseña sin exponerla.

Avanzando un paso más, los sistemas aumentados para el acuerdo de claves autenticadas por contraseña (por ejemplo, AMP , B-SPEKE , PAK-Z , SRP-6 ) evitan tanto el conflicto como la limitación de los métodos basados ​​en hash. Un sistema aumentado permite que un cliente demuestre el conocimiento de la contraseña a un servidor, donde el servidor solo conoce una contraseña con hash (no exactamente) y donde se requiere la contraseña sin hash para obtener acceso.

Procedimientos para cambiar contraseñas [ editar ]

Por lo general, un sistema debe proporcionar una forma de cambiar una contraseña, ya sea porque un usuario cree que la contraseña actual ha sido (o podría haber sido) comprometida, o como medida de precaución. Si se pasa una nueva contraseña al sistema en forma no cifrada, se puede perder la seguridad (por ejemplo, mediante escuchas telefónicas) antes de que la nueva contraseña pueda incluso instalarse en la base de datos de contraseñas y si la nueva contraseña se le da a un empleado comprometido, se gana poco. . Algunos sitios web incluyen la contraseña seleccionada por el usuario en un mensaje de correo electrónico de confirmación no cifrado, con el evidente aumento de la vulnerabilidad.

Los sistemas de gestión de identidad se utilizan cada vez más para automatizar la emisión de reemplazos de contraseñas perdidas, una función llamada restablecimiento de contraseña de autoservicio . La identidad del usuario se verifica haciendo preguntas y comparando las respuestas con las almacenadas previamente (es decir, cuando se abrió la cuenta).

Algunas preguntas para restablecer la contraseña solicitan información personal que se puede encontrar en las redes sociales, como el apellido de soltera de la madre. Como resultado, algunos expertos en seguridad recomiendan hacer sus propias preguntas o dar respuestas falsas. [34]

Longevidad de la contraseña [ editar ]

La "caducidad de la contraseña" es una característica de algunos sistemas operativos que obliga a los usuarios a cambiar las contraseñas con frecuencia (p. Ej., Trimestralmente, mensualmente o incluso con mayor frecuencia). Tales políticas generalmente provocan protestas de los usuarios y dilaciones en el mejor de los casos y hostilidad en el peor. A menudo hay un aumento en la cantidad de personas que anotan la contraseña y la dejan donde se puede encontrar fácilmente, así como también llamadas al servicio de asistencia para restablecer una contraseña olvidada. Los usuarios pueden usar contraseñas más simples o desarrollar patrones de variación en un tema coherente para mantener sus contraseñas memorables. [35] Debido a estos problemas, existe cierto debate sobre si el envejecimiento de las contraseñas es efectivo. [36]Cambiar una contraseña no evitará el abuso en la mayoría de los casos, ya que el abuso a menudo se notará de inmediato. Sin embargo, si alguien pudo haber tenido acceso a la contraseña a través de algún medio, como compartir una computadora o violar un sitio diferente, cambiar la contraseña limita la ventana para el abuso. [37]

Número de usuarios por contraseña [ editar ]

Es preferible asignar contraseñas separadas a cada usuario de un sistema a tener una sola contraseña compartida por usuarios legítimos del sistema, ciertamente desde el punto de vista de la seguridad. Esto se debe en parte a que los usuarios están más dispuestos a decirle a otra persona (que puede que no esté autorizada) una contraseña compartida que una que sea exclusivamente para su uso. [ cita requerida ] Las contraseñas únicas también son mucho menos convenientes de cambiar porque muchas personas necesitan ser informadas al mismo tiempo, y dificultan la eliminación del acceso de un usuario en particular, como por ejemplo al graduarse o renunciar. Los inicios de sesión separados también se utilizan a menudo para la rendición de cuentas, por ejemplo, para saber quién cambió un dato.

Arquitectura de seguridad por contraseña [ editar ]

Las técnicas comunes que se utilizan para mejorar la seguridad de los sistemas informáticos protegidos por contraseña incluyen:

  • No mostrar la contraseña en la pantalla de visualización mientras se ingresa u oscurecerla mientras se escribe mediante el uso de asteriscos (*) o viñetas (•).
  • Permitir contraseñas de longitud adecuada. (Algunos sistemas operativos heredados , incluidas las primeras versiones [ ¿cuáles? ] De Unix y Windows, limitaban las contraseñas a un máximo de 8 caracteres, [38] [39] [40] reduciendo la seguridad).
  • Exigir a los usuarios que vuelvan a ingresar su contraseña después de un período de inactividad (una política de cierre de sesión parcial).
  • Hacer cumplir una política de contraseñas para aumentar la fuerza y la seguridad de las contraseñas .
    • Asignar contraseñas elegidas al azar.
    • Exigir longitudes mínimas de contraseña. [27]
    • Algunos sistemas requieren caracteres de varias clases de caracteres en una contraseña, por ejemplo, "debe tener al menos una letra mayúscula y al menos una minúscula". Sin embargo, las contraseñas en minúsculas son más seguras por pulsación de tecla que las contraseñas con mayúsculas mixtas. [41]
    • Emplear una lista negra de contraseñas para bloquear el uso de contraseñas débiles y fáciles de adivinar
    • Proporcionar una alternativa a la entrada del teclado (por ejemplo, contraseñas habladas o identificadores biométricos ).
    • Requerir más de un sistema de autenticación, como la autenticación de dos factores (algo que un usuario tiene y algo que el usuario sabe).
  • Uso de túneles cifrados o acuerdos de claves autenticadas por contraseña para evitar el acceso a contraseñas transmitidas a través de ataques a la red
  • Limitar la cantidad de fallas permitidas dentro de un período de tiempo determinado (para evitar adivinar la contraseña repetidamente). Una vez alcanzado el límite, los intentos posteriores fallarán (incluidos los intentos de contraseña correctos) hasta el comienzo del próximo período de tiempo. Sin embargo, esto es vulnerable a una forma de ataque de denegación de servicio .
  • La introducción de un retraso entre los intentos de envío de contraseñas para ralentizar los programas automáticos de adivinación de contraseñas.

Algunas de las medidas de aplicación de políticas más estrictas pueden suponer un riesgo de alienar a los usuarios, lo que posiblemente disminuya la seguridad como resultado.

Reutilización de contraseña [ editar ]

Es una práctica común entre los usuarios de computadoras reutilizar la misma contraseña en varios sitios. Esto presenta un riesgo de seguridad sustancial, porque un atacante solo necesita comprometer un sitio para obtener acceso a otros sitios que usa la víctima. Este problema se ve agravado al reutilizar también los nombres de usuario y los sitios web que requieren inicios de sesión por correo electrónico, ya que facilita que un atacante rastree a un solo usuario en varios sitios. La reutilización de contraseñas se puede evitar o minimizar mediante el uso de técnicas mnemotécnicas , escribiendo las contraseñas en papel o utilizando un administrador de contraseñas . [42]

Los investigadores de Redmond Dinei Florencio y Cormac Herley, junto con Paul C. van Oorschot de la Universidad de Carleton, Canadá, han argumentado que la reutilización de contraseñas es inevitable y que los usuarios deben reutilizar las contraseñas para sitios web de baja seguridad (que contienen pocos datos personales y sin información financiera, por ejemplo) y, en cambio, centran sus esfuerzos en recordar contraseñas largas y complejas para algunas cuentas importantes, como las cuentas bancarias. [43] Forbes hizo argumentos similares para no cambiar las contraseñas con la frecuencia que aconsejan muchos "expertos", debido a las mismas limitaciones en la memoria humana. [35]

Anotar contraseñas en papel [ editar ]

Históricamente, muchos expertos en seguridad pedían a las personas que memorizaran sus contraseñas: "Nunca escriba una contraseña". Más recientemente, muchos expertos en seguridad, como Bruce Schneier, recomiendan que las personas usen contraseñas que son demasiado complicadas de memorizar, las escriban en papel y las guarden en una billetera. [44] [45] [46] [47] [48] [49] [50]

El software de gestión de contraseñas también puede almacenar contraseñas de forma relativamente segura, en un archivo cifrado sellado con una única contraseña maestra.

Después de la muerte [ editar ]

Según una encuesta de la Universidad de Londres , una de cada diez personas ahora deja sus contraseñas en su testamento para transmitir esta importante información cuando muera. Un tercio de las personas, según la encuesta, está de acuerdo en que sus datos protegidos por contraseña son lo suficientemente importantes como para transmitirlos en su testamento. [51]

Autenticación multifactor [ editar ]

Artículo principal: autenticación multifactor

Los esquemas de autenticación de múltiples factores combinan contraseñas (como "factores de conocimiento") con uno o más medios de autenticación, para hacer que la autenticación sea más segura y menos vulnerable a las contraseñas comprometidas. Por ejemplo, un inicio de sesión simple de dos factores puede enviar un mensaje de texto, correo electrónico, llamada telefónica automática o una alerta similar cada vez que se realiza un intento de inicio de sesión, posiblemente proporcionando un código que se debe ingresar además de una contraseña. [52] Los factores más sofisticados incluyen cosas como tokens de hardware y seguridad biométrica.

Reglas de contraseña [ editar ]

Más información: Política de contraseñas

La mayoría de las organizaciones especifican una política de contraseñas que establece requisitos para la composición y el uso de contraseñas, por lo general dictando una longitud mínima, categorías requeridas (p. Ej., Mayúsculas y minúsculas, números y caracteres especiales), elementos prohibidos (p. Ej., Uso del propio nombre, fecha de nacimiento, dirección, número de teléfono). Algunos gobiernos tienen marcos de autenticación nacionales [53] que definen los requisitos para la autenticación de usuarios en los servicios gubernamentales, incluidos los requisitos para las contraseñas.

Muchos sitios web hacen cumplir reglas estándar como la longitud mínima y máxima, pero también incluyen con frecuencia reglas de composición, como presentar al menos una letra mayúscula y al menos un número / símbolo. Estas últimas reglas más específicas se basaron en gran medida en un informe de 2003 del Instituto Nacional de Estándares y Tecnología (NIST), escrito por Bill Burr. [54] Originalmente propuso la práctica de usar números, caracteres oscuros y letras mayúsculas y actualizar regularmente. En un artículo del Wall Street Journal de 2017 , Burr informó que lamenta estas propuestas y cometió un error cuando las recomendó. [55]

Según una reescritura de 2017 de este informe del NIST, muchos sitios web tienen reglas que en realidad tienen el efecto contrario en la seguridad de sus usuarios. Esto incluye reglas de composición complejas, así como cambios de contraseña forzados después de ciertos períodos de tiempo. Si bien estas reglas se han generalizado durante mucho tiempo, tanto los usuarios como los expertos en seguridad cibernética las consideran molestas e ineficaces. [56] El NIST recomienda que las personas utilicen frases más largas como contraseñas (y aconseja a los sitios web que aumenten la longitud máxima de la contraseña) en lugar de contraseñas difíciles de recordar con "complejidad ilusoria" como "pA55w + rd". [57]Un usuario que no pueda usar la contraseña "contraseña" puede simplemente elegir "Contraseña1" si es necesario para incluir un número y una letra mayúscula. Combinado con cambios de contraseña periódicos forzados, esto puede llevar a contraseñas difíciles de recordar pero fáciles de descifrar. [54]

Paul Grassi, uno de los autores del informe NIST de 2017, explicó: "Todo el mundo sabe que un signo de exclamación es un 1, una I o el último carácter de una contraseña. $ Es una S o un 5. Si los usamos bien trucos conocidos, no estamos engañando a ningún adversario. Simplemente estamos engañando a la base de datos que almacena las contraseñas para que piense que el usuario hizo algo bueno ". [56]

Pieris Tsokkis y Eliana Stavrou pudieron identificar algunas estrategias de construcción de contraseñas incorrectas a través de su investigación y desarrollo de una herramienta generadora de contraseñas. Se les ocurrieron ocho categorías de estrategias de construcción de contraseñas basadas en listas de contraseñas expuestas, herramientas para descifrar contraseñas e informes en línea que citan las contraseñas más utilizadas. Estas categorías incluyen información relacionada con el usuario, combinaciones y patrones de teclado, estrategia de ubicación, procesamiento de texto, sustitución, uso de mayúsculas, agregar fechas y una combinación de las categorías anteriores [58]

Cracking de contraseña [ editar ]

Artículo principal: Craqueo de contraseñas

Intentar descifrar contraseñas probando tantas posibilidades como el tiempo y el dinero lo permitan es un ataque de fuerza bruta . Un método relacionado, bastante más eficaz en la mayoría de los casos, es un ataque de diccionario . En un ataque de diccionario, se prueban todas las palabras de uno o más diccionarios. Por lo general, también se prueban las listas de contraseñas comunes.

La seguridad de la contraseña es la probabilidad de que una contraseña no se pueda adivinar o descubrir, y varía con el algoritmo de ataque utilizado. Los criptólogos e informáticos a menudo se refieren a la fuerza o "dureza" en términos de entropía . [14]

Las contraseñas que se descubren fácilmente se denominan débiles o vulnerables ; las contraseñas muy difíciles o imposibles de descubrir se consideran seguras . Hay varios programas disponibles para el ataque de contraseñas (o incluso la auditoría y recuperación por parte del personal de sistemas) como L0phtCrack , John the Ripper y Cain ; algunos de los cuales utilizan vulnerabilidades de diseño de contraseñas (como se encuentran en el sistema Microsoft LANManager) para aumentar la eficiencia. En ocasiones, los administradores del sistema utilizan estos programas para detectar contraseñas débiles propuestas por los usuarios.

Los estudios de los sistemas informáticos de producción han demostrado sistemáticamente que una gran fracción de todas las contraseñas elegidas por el usuario se adivinan fácilmente de forma automática. Por ejemplo, la Universidad de Columbia descubrió que el 22% de las contraseñas de los usuarios se pueden recuperar con poco esfuerzo. [59] Según Bruce Schneier , al examinar los datos de un ataque de phishing en 2006 , el 55% de las contraseñas de MySpace se podrían descifrar en 8 horas utilizando un kit de herramientas de recuperación de contraseñas disponible comercialmente capaz de probar 200.000 contraseñas por segundo en 2006. [60] También informó que la contraseña más común era contraseña1, lo que confirma una vez más la falta generalizada de atención informada en la elección de contraseñas entre los usuarios. (No obstante, sostuvo, sobre la base de estos datos, que la calidad general de las contraseñas ha mejorado a lo largo de los años; por ejemplo, la longitud promedio era de hasta ocho caracteres de menos de siete en encuestas anteriores, y menos del 4% eran palabras de diccionario. [61 ] )

Incidentes [ editar ]

  • El 16 de julio de 1998, el CERT informó de un incidente en el que un atacante había encontrado 186,126 contraseñas cifradas. En el momento en que se descubrió al atacante, ya se habían descifrado 47.642 contraseñas. [62]
  • En septiembre de 2001, después de la muerte de 960 empleados de Nueva York en los ataques del 11 de septiembre , la firma de servicios financieros Cantor Fitzgerald a través de Microsoft rompió las contraseñas de los empleados fallecidos para obtener acceso a los archivos necesarios para atender las cuentas de los clientes. [63] Los técnicos utilizaron ataques de fuerza bruta y los entrevistadores se comunicaron con las familias para recopilar información personalizada que pudiera reducir el tiempo de búsqueda de contraseñas más débiles. [63]
  • En diciembre de 2009, se produjo una violación importante de la contraseña del sitio web Rockyou.com que dio lugar a la publicación de 32 millones de contraseñas. El pirata informático luego filtró la lista completa de los 32 millones de contraseñas (sin otra información identificable) a Internet. Las contraseñas se almacenaron en texto sin cifrar en la base de datos y se extrajeron mediante una vulnerabilidad de inyección SQL. El Centro de Defensa de Aplicaciones de Imperva (ADC) hizo un análisis sobre la solidez de las contraseñas. [64]
  • En junio de 2011, la OTAN (Organización del Tratado del Atlántico Norte) experimentó una brecha de seguridad que llevó a la divulgación pública de nombres y apellidos, nombres de usuario y contraseñas de más de 11.000 usuarios registrados de su librería electrónica. Los datos se filtraron como parte de la Operación AntiSec , un movimiento que incluye a Anonymous , LulzSec , así como a otros grupos e individuos de piratería. El objetivo de AntiSec es exponer información personal, sensible y restringida al mundo, utilizando cualquier medio necesario. [sesenta y cinco]
  • El 11 de julio de 2011, Booz Allen Hamilton , una firma consultora que trabaja para el Pentágono , sufrió ataques de Anonymous en sus servidores y los filtró el mismo día. "La filtración, denominada 'Military Meltdown Monday', incluye 90.000 inicios de sesión de personal militar, incluido personal de USCENTCOM , SOCOM , la Infantería de Marina , varias instalaciones de la Fuerza Aérea , Seguridad Nacional , personal del Departamento de Estado y lo que parecen contratistas del sector privado". [66] Estas contraseñas filtradas terminaron siendo codificadas en SHA1, y luego fueron descifradas y analizadas por el equipo de ADC en Imperva., revelando que incluso el personal militar busca atajos y formas de evitar los requisitos de contraseña. [67]

Alternativas a las contraseñas para la autenticación [ editar ]

Las numerosas formas en que se pueden comprometer las contraseñas permanentes o semipermanentes ha impulsado el desarrollo de otras técnicas. Desafortunadamente, algunos son inadecuados en la práctica y, en cualquier caso, pocos están disponibles universalmente para los usuarios que buscan una alternativa más segura. [ cita requerida ] Un artículo de 2012 [68] examina por qué las contraseñas han resultado tan difíciles de reemplazar (a pesar de las numerosas predicciones de que pronto serían cosa del pasado [69] ); Al examinar treinta propuestas de reemplazo representativas con respecto a la seguridad, la usabilidad y la capacidad de implementación, concluyen que "ninguna conserva el conjunto completo de beneficios que las contraseñas heredadas ya brindan".

  • Contraseñas de un solo uso . Tener contraseñas que solo son válidas una vez hace que muchos ataques potenciales sean ineficaces. La mayoría de los usuarios encuentran las contraseñas de un solo uso extremadamente inconvenientes. Sin embargo, se han implementado ampliamente en la banca personal en línea , donde se conocen como números de autenticación de transacciones (TAN). Como la mayoría de los usuarios domésticos solo realizan una pequeña cantidad de transacciones cada semana, el problema del uso único no ha provocado una insatisfacción intolerable del cliente en este caso.
  • Las contraseñas de un solo uso sincronizadas en el tiempo son similares en algunos aspectos a las contraseñas de un solo uso, pero el valor que se ingresa se muestra en un elemento pequeño (generalmente de bolsillo) y cambia aproximadamente cada minuto.
  • Las contraseñas de un solo uso de PassWindow se utilizan como contraseñas de un solo uso, pero los caracteres dinámicos que se deben ingresar son visibles solo cuando un usuario superpone una clave visual impresa única sobre una imagen de desafío generada por el servidor que se muestra en la pantalla del usuario.
  • Controles de acceso basados ​​en criptografía de clave pública, por ejemplo, ssh . Las claves necesarias suelen ser demasiado grandes para memorizar (pero consulte la propuesta Passmaze) [70] y deben almacenarse en una computadora local, token de seguridad o dispositivo de memoria portátil, como una unidad flash USB o incluso un disquete . La clave privada puede almacenarse en un proveedor de servicios en la nube y activarse mediante el uso de una contraseña o autenticación de dos factores.
  • Los métodos biométricos prometen autenticación basada en características personales inalterables, pero actualmente (2008) tienen altas tasas de error y requieren hardware adicional para escanear, por ejemplo, huellas dactilares , iris , etc. Han demostrado ser fáciles de falsificar en algunos incidentes famosos que prueban sistemas disponibles comercialmente. por ejemplo, la demostración de la suplantación de huellas dactilares gomitas, [71] y, debido a que estas características son inalterables, no se pueden cambiar si se ven comprometidas; esta es una consideración muy importante en el control de acceso, ya que un token de acceso comprometido es necesariamente inseguro.
  • Se afirma que la tecnología de inicio de sesión único elimina la necesidad de tener varias contraseñas. Dichos esquemas no eximen a los usuarios y administradores de elegir contraseñas únicas razonables, ni a los diseñadores o administradores de sistemas de garantizar que la información de control de acceso privada que se pasa entre los sistemas que permiten el inicio de sesión único sea segura contra ataques. Hasta el momento, no se ha desarrollado un estándar satisfactorio.
  • La tecnología envolvente es una forma sin contraseña de proteger los datos en dispositivos de almacenamiento extraíbles, como unidades flash USB. En lugar de contraseñas de usuario, el control de acceso se basa en el acceso del usuario a un recurso de red.
  • Contraseñas no basadas en texto, como contraseñas gráficas o contraseñas basadas en el movimiento del mouse. [72] Las contraseñas gráficas son un medio alternativo de autenticación para el inicio de sesión destinado a utilizarse en lugar de las contraseñas convencionales; utilizan imágenes , gráficos o colores en lugar de letras , dígitos o caracteres especiales . Un sistema requiere que los usuarios seleccionen una serie de rostros como contraseña, utilizando la capacidad del cerebro humano para recordar rostros fácilmente. [73]En algunas implementaciones, el usuario debe elegir entre una serie de imágenes en la secuencia correcta para poder acceder. [74] Otra solución de contraseña gráfica crea una contraseña de un solo uso utilizando una cuadrícula de imágenes generada aleatoriamente. Cada vez que el usuario debe autenticarse, busca las imágenes que se ajustan a sus categorías preseleccionadas e ingresan el carácter alfanumérico generado aleatoriamente que aparece en la imagen para formar la contraseña de un solo uso. [75] [76] Hasta ahora, las contraseñas gráficas son prometedoras, pero no se utilizan ampliamente. Se han realizado estudios sobre este tema para determinar su usabilidad en el mundo real. Mientras que algunos creen que las contraseñas gráficas serían más difíciles de descifrar, otros sugieren que las personas probablemente elegirán imágenes o secuencias comunes tanto como elegir contraseñas comunes. [ cita requerida ]
  • La clave 2D ( clave bidimensional ) [77] es un método de entrada de clave similar a una matriz 2D que tiene los estilos de clave de frase de contraseña multilínea, crucigrama, arte ASCII / Unicode, con ruidos semánticos textuales opcionales, para crear una contraseña / clave grande de más de 128 bits para realizar MePKC (criptografía de clave pública memorizable) [78] utilizando una clave privada totalmente memorizable sobre las tecnologías actuales de gestión de claves privadas, como la clave privada cifrada, la clave privada dividida y la clave privada de itinerancia.
  • Las contraseñas cognitivas utilizan pares de pistas / respuestas de preguntas y respuestas para verificar la identidad.

"La contraseña está muerta" [ editar ]

Que "la contraseña está muerta" es una idea recurrente en la seguridad informática . Las razones dadas a menudo incluyen referencias a la facilidad de uso y problemas de seguridad de las contraseñas. A menudo acompaña a los argumentos de que el reemplazo de contraseñas por un medio de autenticación más seguro es necesario e inminente. Esta denuncia ha sido realizada por numerosas personas al menos desde 2004. [69] [79] [80] [81] [82] [83] [84] [85]

Alternativas a contraseñas incluyen la biométrica , la autenticación de dos factores o inicio de sesión único , Microsoft 's Cardspace , el proyecto Higgins , el Liberty Alliance , NSTIC , la Alianza FIDO 2.0 propuestas y varios identidad. [86] [87]

Sin embargo, a pesar de estas predicciones y los esfuerzos por reemplazarlas, las contraseñas siguen siendo la forma dominante de autenticación en la web. En "La persistencia de las contraseñas", Cormac Herley y Paul van Oorschot sugieren que se debe hacer todo lo posible para acabar con la "suposición espectacularmente incorrecta" de que las contraseñas están muertas. [88] Argumentan que "ninguna otra tecnología iguala su combinación de costo, inmediatez y conveniencia" y que "las contraseñas son en sí mismas la mejor opción para muchos de los escenarios en los que se utilizan actualmente".

Después de esto, Bonneau et al. comparó sistemáticamente las contraseñas web con 35 esquemas de autenticación de la competencia en términos de usabilidad, implementación y seguridad. [89] [90] Su análisis muestra que la mayoría de los esquemas funcionan mejor que las contraseñas en cuanto a seguridad, algunos esquemas funcionan mejor y otros peor con respecto a la usabilidad, mientras que todos los esquemas funcionan peor que las contraseñas en cuanto a la capacidad de implementación. Los autores concluyen con la siguiente observación: "Las ganancias marginales a menudo no son suficientes para alcanzar la energía de activación necesaria para superar los costos de transición significativos, lo que puede proporcionar la mejor explicación de por qué es probable que vivamos mucho más antes de ver llegar la procesión fúnebre de las contraseñas. en el cementerio ".

Ver también [ editar ]

  • Código de acceso (desambiguación)
  • Autenticación
  • CAPTCHA
  • Ciencia cognitiva
  • Diceware
  • Kerberos (protocolo)
  • Archivo de clave
  • Frase de contraseña
  • Uso compartido seguro de contraseñas
  • Craqueo de contraseñas
  • Fatiga de la contraseña
  • Parámetro de longitud de la contraseña
  • Administrador de contraseñas
  • Correo electrónico de notificación de contraseña
  • Política de contraseñas
  • Psicología de las contraseñas
  • Seguridad de la contraseña
  • Sincronización de contraseña
  • Acuerdo de clave autenticada con contraseña
  • Clave previamente compartida
  • Generador de contraseñas aleatorias
  • Mesa arcoiris
  • Restablecimiento de contraseña de autoservicio
  • Usabilidad de los sistemas de autenticación web

Referencias [ editar ]

  1. ^ a b "contraseña" . YourDictionary . Consultado el 17 de mayo de 2019 .
  2. ↑ a b Williams, Shannon (21 de octubre de 2020). "La persona promedio tiene 100 contraseñas - estudio" . NordPass . Consultado el 28 de abril de 2021 .
  3. ↑ a b Grassi, Paul A .; García, Michael E .; Fenton, James L. (junio de 2017). "Publicación especial NIST 800-63-3: Directrices de identidad digital" . Instituto Nacional de Estándares y Tecnología (NIST). doi : 10.6028 / NIST.SP.800-63-3 . Consultado el 17 de mayo de 2019 . Cite journal requiere |journal=( ayuda )
  4. ^ "protocolo de autenticación" . Centro de recursos de seguridad informática (NIST) . Consultado el 17 de mayo de 2019 .
  5. ^ "Frase de contraseña" . Centro de recursos de seguridad informática (NIST) . Consultado el 17 de mayo de 2019 .
  6. Polybius on the Roman Military Archivado el 7 de febrero de 2008 en la Wayback Machine . Ancienthistory.about.com (13 de abril de 2012). Consultado el 20 de mayo de 2012.
  7. ^ Mark Bando (2007). 101st Airborne: The Screaming Eagles en la Segunda Guerra Mundial . Compañía Editorial Mbi. ISBN 978-0-7603-2984-9. Archivado desde el original el 2 de junio de 2013 . Consultado el 20 de mayo de 2012 .
  8. ^ McMillan, Robert (27 de enero de 2012). "¿La primera contraseña de computadora del mundo? También era inútil" . Revista cableada . Consultado el 22 de marzo de 2019 .
  9. ^ Hunt, Troy (26 de julio de 2017). "Passwords Evolved: Authentication Guidance for the Modern Era" . Consultado el 22 de marzo de 2019 .
  10. ^ Guía de programadores de CTSS, 2.a ed., MIT Press, 1965
  11. ^ Morris, Robert; Thompson, Ken (3 de abril de 1978). "Seguridad de contraseña: historia de un caso". Laboratorios Bell . CiteSeerX 10.1.1.128.1635 . 
  12. Vance, Ashlee (10 de enero de 2010). "Si su contraseña es 123456, simplemente hágala HackMe" . The New York Times . Archivado desde el original el 11 de febrero de 2017.
  13. ^ "Gestión de la seguridad de la red" . Archivado desde el original el 2 de marzo de 2008 . Consultado el 31 de marzo de 2009 .CS1 maint: bot: estado de URL original desconocido ( enlace ). Fred Cohen y asociados. All.net. Consultado el 20 de mayo de 2012.
  14. ↑ a b c d Lundin, Leigh (11 de agosto de 2013). "PIN y contraseñas, parte 2" . Contraseñas . Orlando: SleuthSayers.
  15. ^ La memorabilidad y seguridad de las contraseñas Archivado el 14 de abril de 2012 en Wayback Machine (pdf). ncl.ac.uk. Consultado el 20 de mayo de 2012.
  16. ^ Michael E. Whitman; Herbert J. Mattord (2014). Principios de seguridad de la información . Aprendizaje Cengage. pag. 162. ISBN 978-1-305-17673-7.
  17. ^ Lewis, Dave (2011). Ctrl-Alt-Suprimir . pag. 17. ISBN 978-1471019111. Consultado el 10 de julio de 2015 .
  18. Techlicious / Fox Van Allen @techlicious (8 de agosto de 2013). "Google revela las 10 peores ideas de contraseñas | TIME.com" . Techland.time.com. Archivado desde el original el 22 de octubre de 2013 . Consultado el 16 de octubre de 2013 .
  19. ^ Fleishman, Glenn (24 de noviembre de 2015). "Escriba sus contraseñas para mejorar la seguridad: una noción contra-intuitiva lo deja menos vulnerable a los ataques remotos, no más" . MacWorld . Consultado el 28 de abril de 2021 .
  20. ^ Blog de Lyquix: ¿Necesitamos ocultar las contraseñas? Archivado el 25 de abril de 2012 en la Wayback Machine . Lyquix.com. Consultado el 20 de mayo de 2012.
  21. ^ Los ladrones de automóviles de Jonathan Kent Malasia roban el dedo. Archivado el 20 de noviembre de 2010 en la Wayback Machine . BBC (31 de marzo de 2005)
  22. ^ Stuart Brown "Las diez mejores contraseñas utilizadas en el Reino Unido" . Archivado desde el original el 8 de noviembre de 2006 . Consultado el 14 de agosto de 2007 .. Modernlifeisrubbish.co.uk (26 de mayo de 2006). Consultado el 20 de mayo de 2012.
  23. ^ Patente de EE. UU. 8046827 
  24. ^ Wilkes, MV Time-Sharing Computer Systems. American Elsevier, Nueva York, (1968).
  25. ^ Schofield, Jack (10 de marzo de 2003). "Roger Needham" . The Guardian .
  26. ^ El escarabajo de Charmer: Contraseñas Materia Archivado 11/02/2013 en la Wayback Machine . Bugcharmer.blogspot.com (20 de junio de 2012). Consultado el 30 de julio de 2013.
  27. ^ a b Alejandro, Steven. (2012-06-20) The Bug Charmer: ¿Cuánto tiempo deben tener las contraseñas? Archivado el 20 de septiembre de 2012 en la Wayback Machine . Bugcharmer.blogspot.com. Consultado el 30 de julio de 2013.
  28. ^ "passlib.hash - Esquemas de hash de contraseñas" Archivado el 21 de julio de 2013 en la Wayback Machine .
  29. ^ a b Florencio et al., An Administrator's Guide to Internet Password Research Archivado el 14 de febrero de 2015 en Wayback Machine . (pdf) Consultado el 14 de marzo de 2015.
  30. ^ Cracking Story - Cómo descifré más de 122 millones de contraseñas hash SHA1 y MD5 «Thireus 'Bl0g Archivado el 30 de agosto de 2012 en la Wayback Machine . Blog.thireus.com (29 de agosto de 2012). Consultado el 30 de julio de 2013.
  31. ↑ a b Morris, Robert y Thompson, Ken (1979). "Seguridad de contraseña: historia de un caso" . Comunicaciones de la ACM . 22 (11): 594–597. CiteSeerX 10.1.1.135.2097 . doi : 10.1145 / 359168.359172 . S2CID 207656012 . Archivado desde el original el 22 de marzo de 2003.  
  32. ^ Protección con contraseña para sistemas operativos modernos Archivado el 11 de marzo de 2016 en Wayback Machine (pdf). Usenix.org. Consultado el 20 de mayo de 2012.
  33. ^ Cómo evitar que Windows almacene un hash de administrador de LAN de su contraseña en Active Directory y bases de datos SAM locales Archivado 2006-05-09 en Wayback Machine . support.microsoft.com (3 de diciembre de 2007). Consultado el 20 de mayo de 2012.
  34. ^ "Por qué debería mentir al configurar preguntas de seguridad de contraseña" . Techlicious. 2013-03-08. Archivado desde el original el 23 de octubre de 2013 . Consultado el 16 de octubre de 2013 .
  35. ↑ a b Joseph Steinberg (12 de noviembre de 2014). "Forbes: por qué debería ignorar todo lo que le han dicho sobre la elección de contraseñas" . Forbes . Archivado desde el original el 12 de noviembre de 2014 . Consultado el 12 de noviembre de 2014 .
  36. ^ "Los problemas de forzar la caducidad regular de la contraseña" . Asuntos de IA . CESG: el brazo de seguridad de la información de GCHQ. 15 de abril de 2016. Archivado desde el original el 17 de agosto de 2016 . Consultado el 5 de agosto de 2016 .
  37. ^ Schneier sobre la discusión de seguridad sobre el cambio de contraseñas. Archivado el 30 de diciembre de 2010 en Wayback Machine . Schneier.com. Consultado el 20 de mayo de 2012.
  38. ^ Seltzer, Larry. (2010-02-09) "American Express: crédito fuerte, contraseñas débiles" Archivado el 12 de julio de 2017 en Wayback Machine . Pcmag.com. Consultado el 20 de mayo de 2012.
  39. ^ "Diez mitos de las contraseñas de Windows" Archivado el 28 de enero de 2016 en Wayback Machine : "Cuadros de diálogo de NT ... contraseñas limitadas a un máximo de 14 caracteres"
  40. ^ "Debe proporcionar una contraseña de entre 1 y 8 caracteres" . Jira.codehaus.org. Consultado el 20 de mayo de 2012. Archivado el 21 de mayo de 2015 en la Wayback Machine.
  41. ^ "¿Capitalizar o no capitalizar?" Archivado el 17 de febrero de 2009 en la Wayback Machine . World.std.com. Consultado el 20 de mayo de 2012.
  42. ^ Thomas, Keir (10 de febrero de 2011). "La reutilización de contraseñas es demasiado común, muestra una investigación" . PC World . Archivado desde el original el 12 de agosto de 2014 . Consultado el 10 de agosto de 2014 .
  43. ^ Pauli, Darren (16 de julio de 2014). "Microsoft: NECESITA contraseñas incorrectas y debería reutilizarlas mucho" . El registro . Archivado desde el original el 12 de agosto de 2014 . Consultado el 10 de agosto de 2014 .
  44. ^ Bruce Schneier: Boletín de Crypto-Gram Archivado el 15 de noviembre de2011 en la Wayback Machine el 15 de mayo de 2001
  45. ^ "Diez mitos de las contraseñas de Windows" Archivado el 28 de enero de 2016 en Wayback Machine : Mito n. ° 7. Nunca debe escribir su contraseña
  46. ^ Kotadia, Munir (23 de mayo de 2005) Gurú de la seguridad de Microsoft: Anote sus contraseñas . News.cnet.com. Consultado el 20 de mayo de 2012.
  47. ^ "El dilema de la contraseña segura" Archivado el 18 de julio de 2010 en la Wayback Machine por Richard E. Smith: "Podemos resumir las reglas clásicas de selección de contraseñas de la siguiente manera: La contraseña debe ser imposible de recordar y nunca debe escribirse".
  48. Bob Jenkins (11 de enero de 2013). "Elección de contraseñas aleatorias" . Archivado desde el original el 18 de septiembre de 2010.
  49. ^ "La memorabilidad y seguridad de las contraseñas: algunos resultados empíricos" Archivado el 19 de febrero de 2011 en la Wayback Machine (pdf)
    "su contraseña ... en un lugar seguro, como la parte de atrás de su billetera o bolso".
  50. ^ "¿Debo escribir mi contraseña?" Archivado el 17 de febrero de 2009 en la Wayback Machine . World.std.com. Consultado el 20 de mayo de 2012.
  51. ^ Jaffery, Saman M. (17 de octubre de 2011). "Encuesta: el 11% de los británicos incluyen contraseñas de Internet en Will" . Hull & Hull LLP. Archivado desde el original el 25 de diciembre de 2011 . Consultado el 16 de julio de 2012 .
  52. ^ Autenticación de dos factores Archivado el 18 de junio de 2016 en la Wayback Machine.
  53. ^ Mejora de la usabilidad de la administración de contraseñas con políticas de contraseñas estandarizadas Archivado el 20 de junio de 2013 en Wayback Machine (pdf). Consultado el 12 de octubre de 2012.
  54. ^ a b ¿ Odias las reglas tontas de las contraseñas? También lo hace el tipo que los creó , ZDNet
  55. ^ El hombre que escribió esas reglas de contraseña tiene un nuevo consejo: ¡N3v $ r M1 ^ d! , Wall Street Journal
  56. ^ a b Los expertos dicen que finalmente podemos deshacernos de esas estúpidas reglas de contraseña , Fortune
  57. ^ Nuevas reglas de contraseña del NIST: lo que necesita saber , Naked Security
  58. ^ P. Tsokkis y E. Stavrou, "Una herramienta generadora de contraseñas para aumentar la conciencia de los usuarios sobre las estrategias de construcción de contraseñas incorrectas", Simposio internacional de redes, computadoras y comunicaciones de 2018 (ISNCC), Roma, 2018, págs. 1-5, doi : 10.1109 / ISNCC.2018.8531061.
  59. ^ "Contraseña" . Archivado desde el original el 23 de abril de 2007 . Consultado el 20 de mayo de 2012 .CS1 maint: bot: estado de URL original desconocido ( enlace ). cs.columbia.edu
  60. ^ Schneier, Contraseñas del mundo real. Archivado el 23 de septiembre de 2008 en la Wayback Machine . Schneier.com. Consultado el 20 de mayo de 2012.
  61. ^ Las contraseñas de MySpace no son tan tontas Archivado el 29 de marzo de 2014 en la Wayback Machine . Wired.com (27 de octubre de 2006). Consultado el 20 de mayo de 2012.
  62. ^ "CERT IN-98.03" . 1998-07-16 . Consultado el 9 de septiembre de 2009 .
  63. ^ a b Urbina, Ian; Davis, Leslye (23 de noviembre de 2014). "La vida secreta de las contraseñas" . The New York Times . Archivado desde el original el 28 de noviembre de 2014.
  64. ^ "Peores prácticas de contraseña del consumidor (pdf)" (PDF) . Archivado (PDF) desde el original el 28 de julio de 2011.
  65. ^ "Sitio de la OTAN pirateado" . El registro . 2011-06-24. Archivado desde el original el 29 de junio de 2011 . Consultado el 24 de julio de 2011 .
  66. ^ "Fugas anónimas 90.000 cuentas de correo electrónico militares en el último ataque Antisec" . 2011-07-11. Archivado desde el original el 14 de julio de 2017.
  67. ^ "Análisis de contraseña militar" . 2011-07-12. Archivado desde el original el 15 de julio de 2011.
  68. ^ "La búsqueda para reemplazar las contraseñas (pdf)" (PDF) . IEEE. 2012-05-15. Archivado (PDF) desde el original el 19 de marzo de 2015 . Consultado el 11 de marzo de 2015 .
  69. ^ a b "Gates predice la muerte de la contraseña" . CNET . 2004-02-25. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
  70. ^ Archivo de Cryptology ePrint: Informe 2005/434 Archivado el 14 de junio de 2006 en Wayback Machine . eprint.iacr.org. Consultado el 20 de mayo de 2012.
  71. ^ T Matsumoto. H Matsumotot; K Yamada y S Hoshino (2002). "Impacto de los dedos artificiales 'gomosos' en los sistemas de huellas dactilares". Proc SPIE . Seguridad óptica y técnicas de disuasión de falsificaciones IV. 4677 : 275. Código Bibliográfico : 2002SPIE.4677..275M . doi : 10.1117 / 12.462719 . S2CID 16897825 . 
  72. ^ Uso de AJAX para contraseñas de imágenes: seguridad AJAX, parte 1 de 3 Archivado el 16 de junio de 2006 en Wayback Machine . waelchatila.com (18 de septiembre de 2005). Consultado el 20 de mayo de 2012.
  73. Butler, Rick A. (21/12/2004) Cara en la multitud. Archivado el 27 de junio de 2006 en la Wayback Machine . mcpmag.com. Consultado el 20 de mayo de 2012.
  74. ^ contraseña gráfica o autenticación gráfica de usuario (GUA) Archivado el 21 de febrero de 2009 en Wayback Machine . searchsecurity.techtarget.com. Consultado el 20 de mayo de 2012.
  75. Ericka Chickowski (3 de noviembre de 2010). "Las imágenes pueden cambiar la imagen de autenticación" . Lectura oscura. Archivado desde el original el 10 de noviembre de 2010.
  76. ^ "Confident Technologies ofrece autenticación multifactor basada en imágenes para fortalecer las contraseñas en sitios web públicos" . 2010-10-28. Archivado desde el original el 7 de noviembre de 2010.
  77. ^ Manual de usuario para el método y el sistema de entrada de clave bidimensional (clave 2D) Archivado el 18 de julio de 2011 en la Wayback Machine . xpreeli.com. (2008-09-08). Consultado el 20 de mayo de 2012.
  78. ^ Kok-Wah Lee "Métodos y sistemas para crear grandes secretos memorizables y sus aplicaciones" Patente US20110055585 Archivada el 13 de abril de 2015 en Wayback Machine , WO2010010430 . Fecha de solicitud: 18 de diciembre de 2008
  79. ^ Kotadia, Munir (25 de febrero de 2004). "Gates predice la muerte de la contraseña" . ZDNet . Consultado el 8 de mayo de 2019 .
  80. ^ "IBM revela cinco innovaciones que cambiarán nuestras vidas dentro de cinco años" . IBM. 2011-12-19. Archivado desde el original el 17 de marzo de 2015 . Consultado el 14 de marzo de 2015 .
  81. Honan, Mat (15 de mayo de 2012). "Elimine la contraseña: por qué una cadena de caracteres ya no puede protegernos" . Cableado . Archivado desde el original el 16 de marzo de 2015 . Consultado el 14 de marzo de 2015 .
  82. ^ "Ejecutivo de seguridad de Google: 'Las contraseñas están muertas ' " . CNET . 2004-02-25. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
  83. ^ "Autenticación a escala" . IEEE. 2013-01-25. Archivado desde el original el 2 de abril de 2015 . Consultado el 12 de marzo de 2015 .
  84. Mims, Christopher (14 de julio de 2014). "La contraseña finalmente está muriendo. Aquí está la mía" . Wall Street Journal . Archivado desde el original el 13 de marzo de 2015 . Consultado el 14 de marzo de 2015 .
  85. ^ "El robo de credenciales rusas muestra por qué la contraseña está muerta" . Computer World . 2014-08-14. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
  86. ^ "El jefe de NSTIC Jeremy Grant quiere matar las contraseñas" . Fedscoop. 2014-09-14. Archivado desde el original el 18 de marzo de 2015 . Consultado el 14 de marzo de 2015 .
  87. ^ "Descripción general de las especificaciones" . Alianza FIDO. 2014-02-25. Archivado desde el original el 15 de marzo de 2015 . Consultado el 15 de marzo de 2015 .
  88. ^ "Una agenda de investigación reconociendo la persistencia de contraseñas" . Seguridad y privacidad de IEEE. Enero de 2012. Archivado desde el original el 20 de junio de 2015 . Consultado el 20 de junio de 2015 .
  89. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de los esquemas de autenticación web" . Informe técnico - Universidad de Cambridge. Laboratorio de Computación . Cambridge, Reino Unido: Laboratorio de Computación de la Universidad de Cambridge. ISSN 1476-2986 . Consultado el 22 de marzo de 2019 . 
  90. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de los esquemas de autenticación web . 2012 Simposio IEEE sobre seguridad y privacidad. San Francisco, CA. págs. 553–567. doi : 10.1109 / SP.2012.44 .

Enlaces externos [ editar ]

  • Contraseñas gráficas: una encuesta
  • Amplia lista de contraseñas de uso común
  • Gran colección de estadísticas sobre contraseñas
  • Artículos de investigación sobre criptografía basada en contraseñas
  • La conferencia internacional de contraseñas
  • Asesoramiento procesal para organizaciones y administradores (PDF)
  • Centro de Investigación en Seguridad, Comunicaciones y Redes , Universidad de Plymouth (PDF)
  • Actualización preliminar de 2017 de los estándares de contraseñas del NIST para el gobierno federal de EE. UU.
  • Generador de contraseñas seguro y memorable