domingo, 17 de febrero de 2013

Las contraseñas. Un sobreviviente de las batallas frente a la inseguridad de la información


El uso de contraseñas se remonta a la antigüedad cuando los centinelas solicitaban el “santo y seña” para lograr el ingreso. Sólo quien contestaba la seña correcta podía tener acceso. En ese entonces, igualmente se mantenía la rutina de cambio del santo y seña, dada la vulnerabilidad propia del conocimiento de la misma bien por su uso cotidiano o por revelación de la misma de manera no autorizada.

De otra parte la palabra símbolo, viene del latin symbolum y del griego σύμβoλoν, que significa signo, contraseña. En la antigüedad un símbolo era un objeto partido en dos, del que dos personas conservaban cada uno la mitad, lo cual servía para reconocer a los portadores y dueños de los compromisos adquiridos.

Como podemos observar, las palabras claves, se han usado desde la antigüedad para mantener el control de la autenticación de al menos dos partes, las cuales aún sin conocerse, son capaces de identificarse y asociarse, para completar una identificación. El secreto de la palabra clave, es el reto más importante del reconocimiento, toda vez que la palabra per se, si bien no representa en sí misma la autenticación, si manifiesta la forma como se reconocerá a la persona que la porta.

En este contexto, las palabras clave, contraseña, passwords, pass code, personal identification number, personal identification text, son expresiones modernas de un concepto que desde tiempo remotos se ha utilizado para reconocer si una persona es quien dice ser. Las técnicas modernas de autenticación hablan de múltiples factores de autenticación para aumentar la confiabilidad de la identificación y corroboración de la identidad de una persona: algo que tengo, algo que conozco y algo que soy, los cuales cada vez más se vuelven más cotidianos y automáticos.

Una contraseña en el contexto moderno podríamos decir que cumple el mismo cometido que lo hacía tiempo atrás, con una connotación adicional hoy, en cuanto a que representa el 90% de la seguridad y control de acceso tanto de las redes corporativas, servicios y facilidades, así como de los dispositivos móviles. Esto es, las palabras clave son la puerta de acceso a la información personal y empresarial, toda vez que con sólo una combinación de caracteres alineamos la combinación de ingreso, para acceder a los activos claves que materializan el valor de inherente de una organización y la vida personal de un individuo.

Si lo anterior es cierto y aún estamos en transición hacia una autenticación basada en contraseñas dinámicas, certificados digitales personales o cadencias individualizadas, se hace necesario conocer cómo la inseguridad de las contraseñas nos puede jugar malos ratos, como quiera que ella es el portal de ingreso a los activos de información críticos y, cuya fuerza y fortaleza radica en su calidad y cantidad, así como en la agilidad y sagacidad de su dueño.

De acuerdo con estudios realizados, considerando los avances tecnológicos recientes que hablan de la duplicación de la capacidad de cómputo cada diez y ocho meses, así como dispositivos móviles cada vez más versátiles e intensos en procesamiento, se hace necesario comprender el nivel de exposición de la utilización de contraseñas sin las debidas consideraciones de longitud, variedad y versatilidad que hagan más dispendioso a los atacantes intentar descifrar la palabra clave y tener acceso a la información.

Consultando múltiples fuentes de información, se encuentra con frecuencia un cuadro en internet que de manera pedagógica indica el tiempo requerido para quebrar una contraseña, basado en su longitud y en la variedad que se incluya en ella: mayúsculas, minúsculas, números y símbolos. Si bien este cuadro nos advierte sobre la complejidad inherente que deben tener las palabras clave, es probable que los datos allí consignados hayan variado, toda vez que hoy la capacidad de cómputo es mayor y se cuentan con estrategias como mallas de cómputo, que no solo aumentan la capacidad de procesamiento, sino la velocidad de éste, haciendo posiblemente que lo que inicialmente se indica en el cuadro, se haya reducido más de la mitad del tiempo allí indicado.

Largo
Sólo minúsculas
Agrega mayúsculas
Agrega números y símbolos
6 caracteres
10 minutos
10 horas
18 días
7 caracteres
4 horas
23 días
4 años
8 caracteres
4 días
3 años
463 años
9 caracteres
4 meses
178 años
43.530 años

Nótese que no se hacen cálculos para contraseñas menores a 6 caracteres, dado que con la capacidad de cómputo actual, los tiempos serían supremamente cortos y no ofrecen ninguna fortaleza, por lo cual la recomendación implícita del cuadro, es el no uso de  este tipo de longitudes, sabiendo que los atacantes contarán con la ventaja: tener una puerta de acceso sin ningún tipo de control.

La contraseña hoy por hoy sigue siendo una forma de asegurar la autenticación de muchas organizaciones, pese a la advertencia de muchas entidades internacionales (FFIEC - Federal Financial Institutions Examination Council) de modificar los esquemas de autenticación de contraseñas estáticas a palabras clave dinámicas o dos factores de autenticación para mitigar los riesgos de pérdida de confidencialidad de los datos residentes en las máquinas.

Mientras se llega la evolución y masificación de los mecanismos de autenticación modernos y migramos hacia elementos más robustos y automáticos, el “santo y seña” de tiempos inmemoriales puesto en los sistemas de información modernos, seguirá siendo el método base que tenemos para defendernos de los ojos no autorizados y la forma de cómo hacerle cada vez más difícil a los atacantes encontrarse con nuestros datos.

Luego, cuando alguien le diga que tiene muchas contraseñas para aprenderse, que la que utiliza en el móvil es larga y tediosa, que toma mucho tiempo adelantar la autenticación en su equipo de cómputo bien sea de escritorio o móvil, piense en los impactos de una brecha de seguridad en su equipo y las implicaciones que ello puede traer en su organización o  persona; así recordará nuevamente que, sin un entendimiento de los retos de la inseguridad de la información en su entorno personal y empresarial, será presa fácil de la inevitabilidad de la falla y una estadística más de aquella frase que no queremos escuchar una vez se le advierte sobre un peligro inminente a una persona y éste se materializa: “Se lo dije”.

Referencias:

No hay comentarios:

Publicar un comentario