Las contraseñas siguen siendo el método de autenticación más utilizado. Dicha autenticación se basada en la gestión de un secreto. A continuación vemos que problemas existen, preguntas a hacernos, otros tipos de autenticación y recomendaciones de seguridad operacional e instrumental.

Problema

La mayoría de la seguridad depende de las contraseñas, pero todavía existen contraseñas como:

  contraseña
pepe1997
urss1917
a&n2#yn8

Además sigue habiendo filtraciones de contraseñas, exponiendo hasta las contraseñas seguras.

Las 10 filtraciones de datos más grandes de todos los tiempos.

Las 10 filtraciones de datos más grandes de todos los tiempos.

Preguntas

  • ¿Cuándo una contraseña es segura?
  • ¿Cómo gestionamos las contraseñas?
  • ¿Qué tipo de autenticación es más segura?

Autenticación

  1. “Algo que tengo”: Token, USB, llave, papel, etc.
  2. “Algo que sé”: 12345, cumpleaños, frase, Cl4v3, etc.
  3. “Algo que soy”: huella dactilar, biometría, etc.
  • Modelo básico: “Algo que tengo” + “Algo que sé”
  • Modelo avanzado: “Algo que tengo” + “Algo que sé” + “Algo que soy”
  • Identificación
    • Los actores son quienes dicen ser
  • Verificación
    • Comprobar que los actores son quienes dicen ser
    • Que no sea posible que el verificador suplante al verificado
  • Autenticación multifactor
    • Two factor Authentication (2FA): Verificación en dos pasos
      • Contraseña
      • OTP (One-Time Password/Passcode)

Seguridad Operacional

  • Larga es mejor que compleja, mínimo 16 carácteres
  • Cambiarlas de vez en cuando
  • Nunca reutilizarlas
  • Es mejor no tener que recordarlas
  • Usar autenticación multifactor
  • No poner todos los huevos en la misma cesta
  • Para recordarla, escribirla a mano o en teclados extranjeros, lo mejor es juntar 6 palabras aleatorias o más usando libros o diccionarios. Quita los acentos, usa sólo 1 género y número gramatical e invéntate una mneotecnia. En inglés le llaman passphrase

Más en ArchWiki: Seguridad

Seguridad Instrumental

  • HaveIBeenPwned: sitio web para saber si algún servicio que usamos ha sido hackeado
  • Gestores de contraseñas:
    • KeePassXC: en local, móvil y con extensión para el navegador. Sincronización con WebDAV (Nextcloud, Owncloud) o Syncthing
    • BitWarden: servicio online de gestión de contraseñas
    • VaultWarden: servicio para autoalojar
  • Combinar varias palabras aleatorias que sean fáciles de recordar
  • Activar la Verificación en dos pasos en todos los servicios que lo permitan