El uso de contraseñas se
remonta a la antigüedad cuando los centinelas solicitaban el “santo y seña” para
lograr el ingreso. Sólo quien contestaba la seña correcta podía tener acceso.
En ese entonces, igualmente se mantenía la rutina de cambio del santo y seña,
dada la vulnerabilidad propia del conocimiento de la misma bien por su uso cotidiano
o por revelación de la misma de manera no autorizada.
De otra parte la palabra símbolo,
viene del latin symbolum y del griego
σύμβoλoν, que significa signo,
contraseña. En la antigüedad un símbolo era un objeto partido en dos, del que
dos personas conservaban cada uno la mitad, lo cual servía para reconocer a los
portadores y dueños de los compromisos adquiridos.
Como podemos observar, las
palabras claves, se han usado desde la antigüedad para mantener el control de
la autenticación de al menos dos partes, las cuales aún sin conocerse, son
capaces de identificarse y asociarse, para completar una identificación. El
secreto de la palabra clave, es el reto más importante del reconocimiento, toda
vez que la palabra per se, si bien no representa en sí misma la
autenticación, si manifiesta la forma como se reconocerá a la persona que la
porta.
En este contexto, las
palabras clave, contraseña, passwords,
pass code, personal identification number, personal
identification text, son expresiones modernas de un concepto que desde
tiempo remotos se ha utilizado para reconocer si una persona es quien dice ser.
Las técnicas modernas de autenticación hablan de múltiples factores de autenticación para
aumentar la confiabilidad de la identificación y corroboración de la identidad
de una persona: algo que tengo, algo que conozco y algo que soy, los cuales cada vez más se vuelven más cotidianos y automáticos.
Una contraseña en el contexto
moderno podríamos decir que cumple el mismo cometido que lo hacía tiempo atrás,
con una connotación adicional hoy, en cuanto a que representa el 90% de la
seguridad y control de acceso tanto de las redes corporativas, servicios y facilidades, así como de los
dispositivos móviles. Esto es, las palabras clave son la puerta de acceso a la
información personal y empresarial, toda vez que con sólo una combinación de
caracteres alineamos la combinación de ingreso, para acceder a los activos
claves que materializan el valor de inherente de una organización y la vida
personal de un individuo.
Si lo anterior es cierto y
aún estamos en transición hacia una autenticación basada en contraseñas
dinámicas, certificados digitales personales o cadencias individualizadas, se
hace necesario conocer cómo la inseguridad de las contraseñas nos puede jugar
malos ratos, como quiera que ella es el portal de ingreso a los activos de
información críticos y, cuya fuerza y fortaleza radica en su calidad y
cantidad, así como en la agilidad y sagacidad de su dueño.
De acuerdo con estudios
realizados, considerando los avances tecnológicos recientes que hablan de la
duplicación de la capacidad de cómputo cada diez y ocho meses, así como
dispositivos móviles cada vez más versátiles e intensos en procesamiento, se
hace necesario comprender el nivel de exposición de la utilización de
contraseñas sin las debidas consideraciones de longitud, variedad y
versatilidad que hagan más dispendioso a los atacantes intentar descifrar la
palabra clave y tener acceso a la información.
Consultando múltiples fuentes
de información, se encuentra con frecuencia un cuadro en internet que de manera
pedagógica indica el tiempo requerido para quebrar una contraseña, basado en su
longitud y en la variedad que se incluya en ella: mayúsculas, minúsculas,
números y símbolos. Si bien este cuadro nos advierte sobre la complejidad
inherente que deben tener las palabras clave, es probable que los datos allí
consignados hayan variado, toda vez que hoy la capacidad de cómputo es mayor y
se cuentan con estrategias como mallas de cómputo, que no solo aumentan la
capacidad de procesamiento, sino la velocidad de éste, haciendo posiblemente
que lo que inicialmente se indica en el cuadro, se haya reducido más de la
mitad del tiempo allí indicado.
Largo
|
Sólo minúsculas
|
Agrega mayúsculas
|
Agrega
números y símbolos
|
6 caracteres
|
10 minutos
|
10 horas
|
18 días
|
7 caracteres
|
4 horas
|
23 días
|
4 años
|
8 caracteres
|
4 días
|
3 años
|
463 años
|
9 caracteres
|
4 meses
|
178 años
|
43.530 años
|
Nótese que no se hacen
cálculos para contraseñas menores a 6 caracteres, dado que con la capacidad de
cómputo actual, los tiempos serían supremamente cortos y no ofrecen ninguna fortaleza,
por lo cual la recomendación implícita del cuadro, es el no uso de este tipo de longitudes, sabiendo que los
atacantes contarán con la ventaja: tener una puerta de acceso sin ningún tipo
de control.
La contraseña hoy por hoy
sigue siendo una forma de asegurar la autenticación de muchas organizaciones,
pese a la advertencia de muchas entidades internacionales (FFIEC - Federal
Financial Institutions Examination Council) de modificar los esquemas de
autenticación de contraseñas estáticas a palabras clave dinámicas o dos
factores de autenticación para mitigar los riesgos de pérdida de confidencialidad
de los datos residentes en las máquinas.
Mientras se llega la
evolución y masificación de los mecanismos de autenticación modernos y migramos
hacia elementos más robustos y automáticos, el “santo y seña” de tiempos
inmemoriales puesto en los sistemas de información modernos, seguirá siendo el
método base que tenemos para defendernos de los ojos no autorizados y la forma de
cómo hacerle cada vez más difícil a los atacantes encontrarse con nuestros
datos.
Luego, cuando alguien le diga
que tiene muchas contraseñas para aprenderse, que la que utiliza en el móvil es
larga y tediosa, que toma mucho tiempo adelantar la autenticación en su equipo
de cómputo bien sea de escritorio o móvil, piense en los impactos de una brecha
de seguridad en su equipo y las implicaciones que ello puede traer en su
organización o persona; así recordará
nuevamente que, sin un entendimiento de los retos de la inseguridad de la
información en su entorno personal y empresarial, será presa fácil de la inevitabilidad
de la falla y una estadística más de aquella frase que no queremos escuchar una
vez se le advierte sobre un peligro inminente a una persona y éste se
materializa: “Se lo dije”.
Referencias:
No hay comentarios:
Publicar un comentario