A Django site.
Abril 16, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» El ataque de las passwords


SeguridadRealicé una nota para el blog de AltoSec inaugurando la serie de Tips de seguridad que estamos poniendo disponibles. Un pequeño aporte nada más. A lo mejor redundante por la gran cantidad de información que existe, pero nunca innecesario. En la nota trato un tema que es bastante preocupante y a la vez difícil de manejar para los administradores de seguridad y sistemas de las empresas.

Las Passwords de los usuarios.

Y es que es entendible que a medida que se aumentan las barreras para evitar el ingreso no autorizado a la información los niveles de confort se vean afectados. Pero de allí a pegar las password en los monitores con un Post-It hay un trecho grande.

Una de las cosas que se realizan en una auditoría es mirar el entorno de los usuarios. Existe una alta probabilidad de que el mismo tenga a la vista información que permita el ingreso a su equipo, cuenta de mail, sistema, y hasta los datos para la ingresar al home banking. Si no es directamente mediante un papel pegado en el monitor, será en el escritorio, en la última hoja del talonario del calendario o en otro lugar.

Pero, ¿por que esto que parece tan de sentido común ocurre? y ¿como evitar que ocurra en nuestra organización?.

La primer pregunta puede tener varias respuestas de las cuales doy una lista resumida y no definitiva. Lo mejor sería completarla

Ponga su password aquí

Ponga su password aquí

preguntando al usuario por que ha pegado ese papel allí.

  • El usuario se siente “seguro” y piensa que nadie de la empresa estará interesado en eso
  • El usuario no comprende el nivel de riesgo
  • Las políticas de claves obligan al usuario elegir claves demasiado difíciles de recordar
  • El usuario esgrime que tiene “demasiadas cosas que recordar”.

De aquí viene el como evitar que el usuario ponga en riesgo los activos informáticos de la organización poniendo la clave a disposición de cualquier que se llegue a su escritorio.

La información es una excelente forma para que el usuario esté enterado de los riesgos. El tema ya lo hemos tratado aquí. En la reunión se le podrá informar que él ES responsable por su password y que esa responsabilidad tiene que asumirla. También que no tiene que sentirse tan seguro dentro de la organización por que puede ingresar tranquilamente alguien externos en algún momento y ver las claves. Hay muchos más argumentos y existen otras cosas que informar al usuario al respecto, todo dependiendo de los niveles de maduración en aspectos de seguridad que tenga la organización.

El tema de la dificultad en recordar las claves se puede resolver enseñando un mecanismo que el usuario perciba como útil.
Este mecanismo tiene que ser sencillo y tiene que permitir que los usuarios tengan claves fuertes y no por ello difíciles de recordar.

Ejemplo de mecanismo para generar claves:

  1. Recordar el nombre de una película/libro/tema musical o una frase que tenga por lo menos 4 palabras.
  2. Armar la clave con las primeras 2 letras de cada palabra, poniendo la primera en mayúsculas.
  3. Agregarle luego 2 o 3 números más un símbolo (+,-,*,?,¿,¡,&,etc)

No necesariamente tiene que ser un método definitivo, pero es un método simple que refuerza el mecanismo de contraseña ya que como mínimo se tendrá una clave fuerte con 10 o 11 caracteres con mayúsculas, minúsculas, números y símbolos, lo que es suficiente para cumplir con la gran mayoría de las políticas de seguridad las cuales, por supuesto,  tienen que estar definidas e incorporando un mecanismo de cambio de claves cada cierto tiempo.

Así, el usuario recordará una frase, un número y un símbolo lo cual será muy simple; más que hacer que recuerde una clave que seguramente fue la que “ENTRO” después de intentar varias veces con los nombres de todas sus mascotas, parientes, su nombre, teléfono, fechas de cumpleaños y DNI de diversas formas.

Este mismo método se puede rápidamente reforzar para que sea aun más complicado deducir la clave si se cambian algunas letras por números donde a=4, e=3, s=5, o=0, l=1, t=7, etc.

Llegado el caso de que existan muchas passwords, tantas que hasta el método antes mencionado haga difícil  de recordarlas a todas, (los usuarios en este punto son muy rápidos para indicar que tienen que recordar también la clave del cajero, la casilla de mensajes y las de sus sistema de mensajería personal) se puede utilizar alguna de las herramientas disponibles en Internet para el almacenamiento de claves, los cuales tienen que disponer de mecanismos de encriptación fuertes para que ante el caso de robo de información, no quede las mismas comprometidas.
Estas herramientas permiten que el usuario tenga que recordar solo “UNA” clave para acceder al resto de las que posee.

A muchos usuarios las passwords los atacan. Quisieran vivir en un mundo en el cual no hiciera falta usar password. Nosotros también. Tal ves llegue ese día con mecanismos de acceso biométricos que no requieran que el usuario no tenga que recordar nada. Ya existe la tecnología y de a poco se ira integrando con el común de los sistemas. Pero, por el momento, tenemos que pensar en las passwords como en la llave de nuestro auto o casa y por que no, la reja de la ventana. Todos quisiéramos no tener que tenerlas, pero son necesarias.

por criadoindomable a la(s) 8:47 PM etiquetas: password , seguridad , seguridad de la información , usuarios (Comentarios)
Setiembre 27, 2008

Daniel Coletti
dax
Daniel Coletti trata sobre »
» ¿Se podrá achicar la brecha digital?

Y no me refiero a la clásica brecha digital. Me refiero a la brecha digital que hay entre los que saben algo de sistemas y todos los demás (ejem… perdón, los “usuarios”). Porque convengamos que los hay de todo tipo, están los “power users” -que son una ínfima minoría-, los curiosos -que viven rompiendo todo, pero por lo menos se hacen cargo- y todos los otros usuarios, los que justamente usan computadoras cual si fuera una licuadora.

¡Ay mi madre! (sí, mi madre es claramente uno de ellos ¿Acaso existe alguna madre que no lo sea? Perdón, no te quise ofender, seguramente tu vieja es un power user ;-)). Me fui a cualquier lado, vamos de nue…

¡Ay mi madre! El otro día compré unas entradas para ir a ver Les Luthiers a través de tick[e]tek que tiene un sitio web muy monono donde se supone que podes sacar tus entradas, bueno, yo no pude porque el sistema está claramente diseñado y/o programado como el o[r]to. Para empezar me mostraba que podía comprar cosas que en realidad no estaban disponibles, por ejemplo para el día 26/9 cuyas entradas estaban agotadas y para peor, cuando elegías ese día (ya que estaba como opción), al presionar “siguiente”, te tiraba un error 404 que claramente significa la página no existe, no que no hay más entradas para ese día en esa ubicación.

Por suerte el que armó la página 404 de ese sitio puso un teléfono donde sí podés comprar la entrada, claro, por teléfono ;-) (cuanto menos el o los programadores saben que el objetivo de todo el sitio es justamente vender, ¡un poroto para ellos ya que no siempre sucede que el programador le importa realmente cual es el objetivo detrás de su sistema!).

Llamé por teléfono y efectivamente pude comprar las entradas, la amable señorhina que me atendió me las vendió en medio nanosegundo y además me dijo que el sistema está funcionando bien, pero que tira ese error cuando uno elige una combinación que no es válida (¡Ah bueh! pensé).

Igualmente ese no es el nudo de mi pregunta, sino que ésta me surgió cuando fui a un local de esta empresa a retirar las entradas. Mientras estoy en la cola, ya cerca de las cajas, escucho al señor cajero decirle al señor cliente “No! porque por internet no podes elegir la ubicación justa, la máquina decide cual es la mejor ubicación para vos”. ¿La máquina decide? La máquina no decide un car[a]jo pensé rápidamente yo, flaco! es el programa -de última- el que decide y más que decidir yo diría que elige.

Es sumamente interesante escuchar a dos usuarios de computadoras hablar sobre ellas, internet y/o sistemas. Ahí es cuando verdaderamente entendes cómo hay que hablarles. Para mi el señor cajero no era un cajero, sino que era un programador haciendo su tesis de la carrera “interfaz con el usuario” y claramente ya la estaba terminando.

Recuerdo otra charla de usuarios de computadoras que nunca se borrará de mi memoria:

Hace varios años estaba llevando a mi hijo mayor al jardín, a pesar de que estaba a escasas 5 cuadras de mi casa de aquel entonces, nos tomabamos el colectivo (dos paradas, las cosas que uno hace por los hijos…). Cuando subo al bondi veo al colectivero que está hablando con la clásica mina que está detrás de él (novia, amante, esposa, quilosé). Mientras estoy sacando los pasajes escucho el diálogo:

– ¿Tenes interné vos?

– Sí, pero no la puedo hacer andar, no sé qué le pasa -responde ella-.

– Ah! Pero es re-fácil -la desafió él- tenés que darle dobleclick sobre la “e” de Interné.

Ahí fue cuando me vino a la cabeza la pregunta ¿Y cómo haremos para migrar a estos usuarios? ¿Tendremos que rebautizar internet y ponerle algo así como InterneZ? Quizás así puede asociar el zorro de firefox con la interné, perdón, con la interneZ. :-D

Usuarios… Yo creo que la brecha digital realmente no se va a reducir cuando todo el mundo tenga acceso a internet, sino cuando haya “máquinas” que sirvan para cosas específicas como por ejemplo “la máquina de escribir”. Podes escribir y leer correo electrónico, archivos e imprimir. Monitor y teclado. Nada más! La prendes y ves una pantalla con un procesador de texto y con dos botones claramente destacados: imprimir, enviar.

Al mejor estilo licuadora (6 botones y listo). Y el soporte técnico lo darán los mismos que te atienden en el 114 de hoy o te pasan por debajo de la puerta un folletito que dice “Arreglo de lavarropas, microondas, estufas y “máquinas de escribir” ;-).

por Daniel a la(s) 11:01 PM etiquetas: general , internet , software , usuarios (Comentarios)