- Antecedente
- [Objetivo y Alcance](#Objetivo y Alcance)
- [Contraseña y Passphrase](#Contraseña y Passphrase)
- [Complejidad de Passwords](#Complejidad de Password)
- [Complejidad de Passphrase](#Complejidad de Passphrase)
- [Nota Importante](#Nota Importante)
- [Cambio de Contraseñas](#Cambio de Password)
-
En los últimos años, el perfil de los usuarios de Internet y los usos que estos hacen de la Red, ha variado, alcanzándose unas notables tasas de penetración en determinados servicios. Así, por ejemplo en México, el correo electrónico, con un 99,5%, es el servicio más utilizado entre los usuarios habituales de Internet entre 16 y 74 años, un 63% ha utilizado servicios de banca electrónica y actividades financieras y el 52% ha realizado compras online.
-
Sin embargo, observando los datos estadísticos sobre usos y hábitos en Internet, se constatan carencias y lagunas en la gestión de la seguridad de la información en relación con el empleo de las contraseñas. En general, sólo el 41% de los usuarios habituales de internet utiliza claves o contraseñas como medidas de seguridad y, en particular, apenas la mitad (51,6%) utiliza dicha medida para el acceso y protección de los ficheros ubicados en los equipos de computo.
- El objetivo es que todo el proceso de comunicación sea gestionado de forma segura, a la hora de hacer dichos usos y transacciones a través de internet, han de tomarse una serie de medidas y buenas prácticas encaminadas a mejorar la seguridad. En este sentido, la concienciación del usuario para gestionar de modo eficiente su información tiene uno de sus pilares en la correcta gestión y creación de las contraseñas que este ha de utilizar en la mayoría de los procesos y operaciones que requieren de su autenticación.
-
Una contraseña ('password') es una secuencia de caracteres (minúsculas, mayúsculas, dígitos y caracteres especiales o de puntuación, excluyendo el carácter de espacio en blanco) que se usa como mecanismo de seguridad. El carácter de espacio en blanco se considera un separador de palabras, Si aparece al menos un espacio, la contraseña tendrá dos palabras. A una contraseña con dos o más palabras se le llama más propiamente frase o passphrase.
-
Contraseñas cortas, con pocos tipos de caracteres, basadas en información del usuario o en palabras de diccionarios son muy vulnerables a ataques de fuerza bruta (también denominados cracking de contraseñas). También las frases si tienen solamente dos palabras son susceptibles a esos problemas. Es por ello que en KarmaPulse, se establecen ciertas condiciones de complejidad mínimas, para evitar estos tipos de riesgos.
-
Las clases de caracteres utilizada para las contraseñas son mayúsculas, minúsculas, números y símbolos. La complejidad que deben tener las contraseñas, en función de las clases de caracteres, dependerá del largo de las mismas. Intuitivamente, a mayor cantidad de caracteres, se relaja la necesidad de tener clases adicionales. Como mínimo, las contraseñas deberán tener al menos 10 caracteres. Luego, al ir creciendo en largo, se podrá usar menos clases de caracteres.
-
Podríamos entonces resumirlo como:
-
El mínimo del largo de una contraseña es de 10 caracteres.
-
Si el largo de una contraseña es de 10 u 11 caracteres, debe tener elementos de las 4 clases de caracteres.
-
Si el largo de una contraseña es de 12 a 19 caracteres, debe tener elementos de al menos 3 clases de caracteres.
-
Si el largo de una contraseña es de 20 a 25 caracteres, debe tener elementos de al menos 2 clases de caracteres.
-
Si el largo de una contraseña es de 26 o más caracteres, puede tener solamente elementos de 1 clase de caracteres.
-
-
En todos los casos el largo máximo de caracteres será de 40.
-
Adicionalmente como sonsejo no obligatorio se debe tener en cuenta que si la contraseña cuenta con una única letra mayúscula esta no puede ser la primera y si cuenta con un solo dígito no puede ser el último.
-
En caso de utilizar como contraseña una passphrase la misma debe cumplir con los siguientes requerimientos:
- Contener un mínimo de 4 palabras
- Tener un largo mínimo total de 16 caracteres (entre los cuales se incluyen los espacios en blanco)
-
Para las passphrases el largo máximo también será de 40 caracteres.
-
Para construir una frase, simplemente se pueden tomar cuatro o cinco palabras no relacionadas, y escribirlas, separadas por espacios en blanco. Un ejemplo sería:
coche⎵perro⎵agua⎵bosque
-
Es posible adivinar las contraseñas si el usuario no toma precauciones al crearlas. Usando diccionarios de varios idiomas, listas recopiladas de palabras comunes, nombres propios, nombres de lugares, nombres de artistas y personajes, etc., se puede probar hasta acertar. Es un trabajo arduo, pero si se automatiza en una computadora no lleva esfuerzo sino sólo tiempo.
-
Así que a las contraseñas se las somete a pruebas adicionales para evitar estas situaciones. Se rechazarán las contraseñas que sean derivadas de datos básicos del usuario (nombre, apellido, etc.) , que correspondan a teclas corridas o cercanas en el teclado (como 'qwerty'), o que se puedan encontrar, como se dijo, en listas y diccionarios.
-
Algunas de estas pruebas se hacen luego de aceptada la contraseña, sometiéndolas periódicamente a pruebas como las señaladas anteriormente contra diccionarios y similares listas, así que puede ocurrir que para una contraseña haya sido aceptada inicialmente pero posteriormente se pida su cambio.
-
El usuario puede cambiar su contraseña siempre que así lo desee. Como medida adicional de seguridad es importante relalizar el cambio de la misma en un periodo no maximo a 90 días.
-
En caso de que exista la mas mínima posibilidad de que la misma haya sido comprometida, es necesario notificar a los administradores de la plataforma en cuestión y realizar el cambio en forma urgente.