2. Guillermo Obispo @gobispo
ODIO LAS CONTRASEÑAS
• Las contraseñas se olvidan, se comparten, se anotan en sitios donde pueden
ser accedidas por terceros y se re-utilizan en múltiples sitios haciendo que
pierdan su efectividad.
• Odio las contraseñas y trabajaré para que desaparezcan.
• Pero mientras llega ese día, hay que buscar la mejor forma de seguir
utilizándolas y que resulten lo más seguras posibles.
3. Guillermo Obispo @gobispo
TÉCNICAS DE ATAQUE
• Existen estudios que realizan cálculos de complejidad y tiempo necesario
para “romper” una contraseña con (entre otros):
• Ataques de fuerza bruta, o
• Ataques de diccionario.
https://pbs.twimg.com/media/CjZdSRRUoAIpUlB.jpg:large de HelmedHorror
4. Guillermo Obispo @gobispo
TÉCNICAS DE DEFENSA
• En base a los factores y estudios presentados, se necesita un mecanismo que
sea difícil de “romper” y además sea fácil de recordar para que ni se olvide,
ni sea necesario anotar.
• ¿Que convierte una Contraseña en una uper Contraseña?
• Tamaño – Una longitud mayor es más robusta que un amplio conjunto de caracteres.
• Entropía – Mezclar idiomas, o incluso usar palabras propias inventadas.
• Diversificación – Utilizar credenciales diferentes para cada uso.
5. Guillermo Obispo @gobispo
UPER CONTRASEÑAS (1 RACIÓN)
• Ingredientes:
(1) Diccionario personal – Por cada letra del alfabeto, escójase una palabra en cualquier
idioma que se conozca. De hecho ni siquiera es necesario que la palabra exista realmente,
mientras uno sea capaz de recordar el diccionario completo.
(1) Juego de reglas de construcción – Para cada una de las N primeras letras del lugar en
el que se va a utilizar la contraseña, tomar la palabra que le corresponda del diccionario
personal y sazonar con las reglas de construcción que se prefieran.
6. Guillermo Obispo @gobispo
EJEMPLO (1/4)
• Diccionario personal – Alfabético fonético de la OTAN.
• Reglas de construcción – Primeras 4 letras del lugar de uso, primeras cuatro
letras de la palabra en el diccionario, solo mayúsculas.
• Acceso a GMAIL (Primeras 4 letras del lugar de uso):
• Para la G, GOLF. Para la M, MIKE. Para la A, ALPHa. Para la I, INDIa.
• uper Contraseña: {GOLFMIKEALPHINDI}.
• Acceso a FACEBOOK (Primeras 4 letras del lugar de uso):
• Para la F, FOXTrot. Para la A, ALPHa. Para la C, CHARlie. Para la E, ECHO.
• uper Contraseña: {FOXTALPHCHARECHO}.
7. Guillermo Obispo @gobispo
EJEMPLO (2/4)
• Diccionario personal – Selección personal de países del mundo.
• Reglas de construcción – Primeras 3 letras del lugar de uso, primeras dos
letras de la palabra en el diccionario + ultimas tres, solo minúsculas.
• Acceso a GMAIL (Primeras 3 letras del lugar de uso):
• Para la G, grEcia. Para la M, maRRUEcos. Para la A, alEMAnia.
• uper Contraseña: {grciamacosalnia}.
• Acceso a FACEBOOK (Primeras 3 letras del lugar de uso):
• Para la F, frANcia. Para la A, alEMAnia. Para la C, caMErun.
• uper Contraseña: {frciaalniacarun}.
8. Guillermo Obispo @gobispo
EJEMPLO (3/4)
• A veces el tamaño máximo permitido de la contraseña es demasiado corto.
Entonces hay que ser creativo con las reglas de construcción y solo para estos
sitios reducir el número de letras hasta que sea suficiente.
• Reglas de construcción – Primeras 4 (o menos) letras del lugar de uso, primeras
cuatro letras de la palabra en el diccionario, solo mayúsculas.
• Acceso a FACEBOOK (Primeras 4 letras del lugar de uso):
• Para la F, FOXTrot. Para la A, ALPHa. Para la C, CHARlie. Para la E, ECHO.
• --uper Contraseña: {FOXTALPHCHARECHO}. Si no cabe, probar con 3 letras.
• --uper Contraseña: {FOXTALPHCHAR}. Si no cabe, probar con 2 letras.
• --uper Contraseña: {FOXTALPH}. Si no cabe, probar con 1letra.
9. Guillermo Obispo @gobispo
EJEMPLO (4/4)
• A veces se exige que la contraseña tenga un poco de todo: minúsculas, mayúsculas,
dígitos, símbolos, etc. No es mala idea incorporar siempre un carácter de cada
conjunto en las reglas de construcción, por si acaso.
• Reglas de construcción – Primeras 4 letras del lugar de uso, primeras cuatro letras de
la palabra en el diccionario, solo mayúsculas. Caracteres {w%4} en el medio.
• Acceso a GMAIL (Primeras 4 letras del lugar de uso):
• Para la G, GOLF. Para la M, MIKE. Caracteres w%4. Para la A, ALPHa. Para la I, INDIa.
• uper Contraseña : {GOLFMIKEw%4ALPHINDI}.
• Acceso a FACEBOOK (Primeras 4 letras del lugar de uso):
• Para la F, FOXTrot. Para la A, ALPHa. Caracteres w%4. Para la C, CHARlie. Para la E, ECHO.
• uper Contraseña : {FOXTALPHw%4CHARECHO}.
10. Guillermo Obispo @gobispo
¿POR QUÉ?
• Porque las uper Contraseñas tienen tanta longitud que requieren
mucho tiempo para que se “rompan” por fuerza bruta.
• Porque las uper Contraseñas no utilizan palabras completas que
estén disponibles en diccionarios con los que atacarlas.
• Porque cada uper Contraseña solo se utiliza en un sitio y aunque
alguien pudiera “romperla”, no podría utilizarla en ningún otro.
11. Guillermo Obispo @gobispo
CONSIDERACIONES ADICIONALES (1/2)
• Se puede llevar el diccionario personal o las reglas de construcción anotadas
en la cartera o el móvil, pero nunca las dos cosas… lógicamente.
• En dispositivos móviles no es sencillo introducir una --uper Contraseña.
• Cada cierto tiempo se deben cambiar todas las --uper Contraseñas,
cuando se haga esto debería bastar con cambiar las reglas de construcción.
12. Guillermo Obispo @gobispo
CONSIDERACIONES ADICIONALES (2/2)
• Cuando el tamaño máximo permitido de una contraseña no permita usar una
--uper Contraseña, hay que enviarles esta presentación, para que
entiendan en que riesgos están incurriendo.
• Por último, no es bueno delegar la restauración de una contraseña en el envío
de un correo electrónico a una dirección concertada, porque la contraseña
que da acceso a esta dirección podría haber sido comprometida.
• Siempre que sea posible, se debe utilizar un segundo factor de autenticación.
13. Guillermo Obispo @gobispo
GRACIA
• Ojalá que esto sirva para sembrar una semilla de la que brote la conciencia
en la necesidad del uso de mecanismos de autenticación eficaces y eficientes.
• Espero que el sistema propuesto mejore la confianza en el uso de contraseñas
y quienes lo lean no vuelvan a anotar o compartir sus contraseñas, o utilizar la
misma en todos los sitios.
• Por favor, comparte este documento con todo el mundo que lo necesite.
• Para cualquier duda o sugerencia, estoy disponible al otro lado del enlace
que figura junto a mi nombre.