[LACNIC/Seguridad] Password Strength
Julio Filgueras
julio1 en conectate.com.uy
Mie Ago 17 10:37:30 BRT 2011
Buenos días a todos.
Son muy interesantes y constructivas todas las ideas volcadas sobre la
construcción de una "contraseña ideal" de acceso.
Creo que siempre hay que tener en mente lo que estamos protegiendo,
evidentemente esas contraseñas de acceso vía comparación de ADN pueden ser
aplicadas a sistemas de alto riesgo, llámese laboratorios que analizan
muestras de virus, centrales nucleares, centros de investigación
armamentística, y demás locaciones críticas para la seguridad nacional. Lo
que se protege es muy delicado por lo tanto vale el esfuerzo de proteger esa
información u objetos e invertir en seguridad, y cómo todo sabemos la
seguridad es cara, ese tipo de tecnologías por lo general es mantenida por
grande poderes como ser gobiernos o grandes industrias.
Un poco mas bajado a tierra el tema tenemos nuestros sistemas, de los cuales
también desprendemos los que están expuestos al "público" y necesitan mayor
seguridad de los que sólo están solo expuestos al acceso interno.
Me refiero con esto a que posiblemente a lo que este expuesto al público
exijamos más de una forma de autenticación que solo un usuario y clave. Por
ejemplo tokens, certificados, etc.
Claro que si aplicamos estas "barreras" en el uso interno seríamos linchados
( literalmente hablando :) ) por los usuarios, entonces es que caemos en el
tradicional usuario y clave.
Con todo esto me refiero a que no simplemente podemos decir que una
contraseña o sistema de acceso es bueno o malo, sino que también tenemos que
ubicar el contexto en el que será aplicado, ya que puede ser excelente para
uno o contraproducente aplicado en otro entorno.
- Un ejemplo puede ser realizar una doble autenticación interna para
realizar llamadas larga distancia, evidentemente una doble autenticación
para algo externo estaría bien, pero internamente no tenía mucho sentido,
entonces el usuario optó por copiar la clave en un post-it y pegarlo en su
monitor. No era necesaria tanta seguridad internamente y resulto tener un
efecto contrario al deseado :).
Lo mas robusto/débil siempre es el usuario, por eso la importancia de la
concientización permanente.
Saludos,
Más información sobre la lista de distribución Seguridad