[LACNIC/Seguridad] Password Strength

Julio Filgueras julio1 en conectate.com.uy
Mie Ago 17 10:37:30 BRT 2011 

Buenos días a todos.

Son muy interesantes y constructivas todas las ideas volcadas sobre la 
construcción de una "contraseña ideal" de acceso.

Creo que siempre hay que tener en mente lo que estamos protegiendo, 
evidentemente esas contraseñas de acceso vía comparación de ADN pueden ser 
aplicadas a sistemas de alto riesgo, llámese laboratorios que analizan 
muestras de virus, centrales nucleares, centros de investigación 
armamentística, y demás locaciones críticas para la seguridad nacional. Lo 
que se protege es muy delicado por lo tanto vale el esfuerzo de proteger esa 
información u objetos e invertir en seguridad, y cómo todo sabemos la 
seguridad es cara, ese tipo de tecnologías por lo general es mantenida por 
grande poderes como ser gobiernos o grandes industrias.

Un poco mas bajado a tierra el tema tenemos nuestros sistemas, de los cuales 
también desprendemos los que están expuestos al "público" y necesitan mayor 
seguridad de los que sólo están solo expuestos al acceso interno.
Me refiero con esto a que posiblemente a lo que este expuesto al público 
exijamos más de una forma de autenticación que solo un usuario y clave. Por 
ejemplo tokens, certificados, etc.
Claro que si aplicamos estas "barreras" en el uso interno seríamos linchados 
( literalmente hablando :) ) por los usuarios, entonces es que caemos en el 
tradicional usuario y clave.

Con todo esto me refiero a que no simplemente podemos decir que una 
contraseña o sistema de acceso es bueno o malo, sino que también tenemos que 
ubicar el contexto en el que será aplicado, ya que puede ser excelente para 
uno o contraproducente aplicado en otro entorno.

- Un ejemplo puede ser realizar una doble autenticación interna para 
realizar llamadas larga distancia, evidentemente una doble autenticación 
para algo externo estaría bien, pero internamente no tenía mucho sentido, 
entonces el usuario optó por copiar la clave en un post-it y pegarlo en su 
monitor. No era necesaria tanta seguridad internamente y resulto tener un 
efecto contrario al deseado :).

Lo mas robusto/débil siempre es el usuario, por eso la importancia de la 
concientización permanente.

Saludos,

Más información sobre la lista de distribución Seguridad