Métodos de Administración de Passwords


En nuestra edición anterior, revisamos mecanismos no tradicionales para la creación de un “buen password” para la protección y resguardo de la información. Veamos métodos de administración de password como mecanismos de control que ayudan a preservar la confidencialidad de las contraseñas.





Caducidad de contraseñas - Control del envejecimiento:

La mayoría de los sistemas permiten al administrador definir un “tiempo de vida” para los passwords de los usuarios. Los usuarios, cuyos passwords tienen un tiempo mayor al permitido, son forzados a cambiarlos durante el próximo ingreso al sistema (login). Si el password de un usuario es excepcionalmente “viejo”, el sistema le impide ingresar.

Nota importante: No es recomendable utilizar el control de envejecimiento de manera extrema; es decir, forzar a los usuarios a cambiar su password con demasiada frecuencia. Si los usuarios cambian su password con mucha frecuencia, es posible que olviden su contraseña actual, y probablemente lo escriban en alguna parte (escritorio, papel, etc.) como medida de precaución pero arriesgando su seguridad.

El control de envejecimiento de los passwords puede mejorar la seguridad de los sistemas. Si un password es conocido por un intruso, este password eventualmente será cambiado debido al control de envejecimiento. La siguiente anécdota habla por sí sola sobre la importancia del control de envejecimiento:

“Cuando en un gran centro de cómputo se implantó el control de envejecimiento del password, cuatro (4) usuarios descubrieron que ellos estaban utilizando la misma cuenta sin que los otros tuvieran conocimiento. El password de la cuenta simplemente no había sido cambiada por años”.

Los usuarios algunas veces engañan o burlan el control de envejecimiento de passwords, ya que al cambiar su password, que ha expirado, escriben un viejo password nuevamente (vuelven a utilizar un password) o sutilmente escriben una contraseña muy similar, por ejemplo: “Mipasswordl” por “Mipassword2”. Hoy en día los sistemas permiten controlar este tipo de abusos por medio de algoritmos de comparación lexicográfica y registro de passwords utilizados con anterioridad por los usuarios. Asimismo, existe un control adicional relacionado con el mínimo número de días para cambiar la contraseña (Minimun password age).

Ocultar las cuentas de los usuarios:

La selección de los nombres de las cuentas de los usuarios está generalmente orientada por una mezcla entre la conveniencia del administrador y las preferencias de los mismos usuarios. Normalmente se seleccionan nombres mnemónicos, de forma que los usuarios puedan recordar los nombres de cuentas de otros usuarios; por ejemplo para el uso del correo electrónico. Al mismo tiempo, para garantizar mayor seguridad, es recomendable no utilizar nombres obvios (nombres personales, cargos, etc.). Si un atacante no posee un nombre de usuario válido (cuenta), le será más difícil romper la seguridad del sistema. Si las cuentas de los usuarios no son conocidas fuera de la organización y no son obvias, potenciales intrusos tendrán mayores dificultades para incursionar ilegalmente a los sistemas de la organización.

Una manera muy simple de proteger las cuentas de los usuarios es usar un alias para los nombres de las cuentas. La idea consiste en configurar los servidores de correo electrónico y otros servidores de noticias, para cambiar los nombres de las cuentas y máquinas, por un alias, e interpretar o traducir dichos alias cuando se comunican con el exterior. La principal ventaja de utilizar un alias, radica en que agentes externos a la organización no conocen los nombres reales de las cuentas de usuarios y de las máquinas.

Evitar ingresos (logins) con cuentas en desuso:

Es recomendable evitar el uso de cuentas de usuarios que van a permanecer alejados de la organización por periodos prolongados; en otras palabras, se debe inhabilitar la cuenta. Una técnica muy usada en sistemas UNIX, por ejemplo, consiste en adicionar un asterisco (*) antes del primer carácter del password de un usuario en el archivo “/etc/passwd”. El asterisco (*) evitará el ingreso al sistema, porque la contraseña del usuario (utilizado por otra persona) no coincidirá con el password cifrado en el archivo “/etc/passwd” que ahora contiene un asterisco.

Cambiar el algoritmo de cifrado:

Aun cuando este mecanismo no es usual, si se dispone del código fuente del sistema operativo, es posible alterar la rutina de cifrado para usar un número de iteraciones del proceso de cifrado diferente al provisto por la versión estándar. La ventaja de modificar la rutina, radica en que si un atacante obtiene una copia del archivo de password (por ejemplo, el “/etc/passwd”) para un análisis, el atacante tendrá mayores dificultades (mayor tiempo y recursos computacionales) para encontrar las contraseñas correctas, aún si utiliza máquinas muy rápidas o de gran capacidad de cómputo. Desafortunadamente, existen algunas debilidades en esta técnica:

Usar archivos de Passwords ocultos o bajo sombra (shadow):

Cuando el sistema de passwords de Unix fue inventado, los equipos eran muy lentos y los discos duros tenían poca capacidad, en comparación a los de hoy día. A razón de cifrar un password por segundo, habría tomado tres años y tres meses el cifrar las 25.000 palabras del diccionario Unix con cada uno de los 4096 diferentes salt. Simplemente mantener la base de datos de palabras, requeriría en el orden de un gigabyte de almacenamiento.

Hoy, muchas de las asunciones originales sobre la dificultad para cifrar passwords se han derrumbando. Para comenzar, el tiempo necesario para calcular o cifrar un password ha disminuido dramáticamente. Las estaciones de trabajo pueden realizar el cifrado de cientos de passwords por segundo. Se afirma que los tiempos para cifrar un password se han reducido en un factor de 10.

Debido a estos desarrollos, no es considerado seguro almacenar las contraseñas cifradas en un archivo que puede ser leído por cualquiera. Por tal razón, se introdujo el concepto de archivos de passwords ocultos o bajo sombra (shadow). Estos sistemas tienen los mismos passwords cifrados, pero se almacenan en archivos especiales que no pueden ser leídos por la mayoría de los usuarios en el sistema. Vale acotar que la implantación de de este mecanismo difiere en las diferentes versiones de Unix, y no necesariamente incluyen un archivo “shadow”. Si un sistema no tiene archivos de password ocultos, entonces se deben tomar precauciones extras para asegurar que el archivo no puede leerse anónimamente. Si se usan archivos ocultos, se debe garantizar que no existan respaldos de dichos archivos en otras partes del sistema y que su lectura sea permitida sólo para aquellas personas que lo requieren.

Conclusiones:

La seguridad reposa en lo fuerte del algoritmo de cifrado utilizado y en la dificultad de descifrar el password del usuario. Es importante destacar que los algoritmos de cifrado, por si solos, no representa una protección completa al atacante.

Algunas recomendaciones importantes para proteger un sistema, se pueden resumir en:
> Garantizar que cada cuenta de usuario tiene asociado un password.
> Garantizar que cada usuario tiene un password difícil de romper o adivinar.
> Usar archivos de passwords ocultos, si está disponible.
> Cambiar periódicamente los passwords de los usuarios.
> Cambiar las llaves secretas para cifrar cuando se sospeche que han sido descubiertas.

 

Fuente:
Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers
PcNews.com



Otras noticias de interés:

Entrevista con los creadores de Mpack: Somos como los fabricantes de munición
SecurityFocus publica una interesante entrevista con uno de los creadores de Mpack. Mpack es una infraestructura PHP creada para automatizar y centralizar ataques web. Genera exploits que, alojados en servidores web comprometidos, infecta a qui...
Microsoft y la privacidad de IE8
Un reportaje asegura que la privacidad de los usuarios del navegador se redujo para conseguir ingresos publicitarios. Las alarmas saltaron cuando antier se publicó un extenso artículo en el Wall Street Journal sobre cómo Microsoft habría impedido...
Más del 50% de los usuarios web es víctima del cibercrimen
El 65% de los usuarios web a nivel mundial ha resultado víctima del cibercrimen, según el informe Norton Cybercrime Report: The Human Impact, recién presentado por Symantec....
El parche MS05-001 no soluciona totalmente el problema
Uno de los últimos parches publicados por Microsoft (MS05-001, soluciona una vulnerabilidad en el objeto HTML Help ActiveX control de Windows (HHCTRL.OCX)....
Los empleados de Google abandonan Windows por seguridad!
Google está alentando a sus empleados a dejar de utilizar gradualmente el sistema operativo Windows, según informa el diario Financial Times....
Google Talk usará pasarelas de Jabber para conectar con otras redes
Parece que los chicos de Google se lo curran, y algunos de los usuarios afortunados que ya disfrutan de la nueva versión de GMail, han localizado un código javascript que hace indicar que Google usará pasarelas propias del protocolo Jabber, lo que...
Desbordamiento de búfer en "Windows Media Services" de Microsoft Windows 2000
Microsoft Windows Media Services es una aplicación de Microsoft Windows 2000 Server, Advanced Server y Datacenter Server (también está disponible para Windows NT 4.0 Server). ...
Android: Vulnerabilidad permite que copien tus fotos
Android se extiende rápidamente. Actualmente, se activan 850.000 nuevos dispositivos con el sistema operativo de Google al día, lo que supone dos veces y media más que el año anterior. De esa forma, el parque total de dispositivos con Android sup...
Nueva versión de Damn Small Linux 4.4.1
Esta disponible la nueva versión de esta super ligera distribución GNU/Linux, la cual puede funcionar en equipos viejos y en pendrive....
I Jornada de Formación para el Uso de Herramientas de Software Libre
I Jornada de Formación para el Uso de Herramientas de Software Libre, en la Universidad de Carabobo en marzo 2011...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • administracion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • metodos
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • passwords
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra