Wikipedia

Contrasinal: Diferenzas entre revisións

Explorar o historial de forma interactiva
← Edición máis vellaEdición máis nova →
Contido eliminado Contido engadido
VisualTexto wiki
ZéroBot (conversa | contribucións)
35.164 edicións
m Bot: Engado: la:Tessera (solutio)
Vivaelcelta (conversa | contribucións)
18.539 edicións
Contrasinal é masculino
Liña 2:
Un '''contrasinal''', '''clave de acceso''' ou simplemente '''clave''' (en [[lingua inglesa|inglés]] '''''password'''''), é unha forma de [[autenticación]] que utiliza [[información]] secreta para controlar o acceso cara a algún recurso. O contrasinal normalmente debe manterse en segredo ante aqueles a quen non se lles permite o acceso. Aqueles que desexan acceder á información solicítaselles unha clave; se coñecen ou non coñecen o contrasinal, concédese ou se nega o acceso á información segundo sexa o caso.
 
O uso de contrasinais remóntase á antigüidade. Sentinelas que vixiaban algunha locación, requirían o contrasinal ao que ousase pasar. Soamente permitíanlle o acceso a aquela persoa que coñecese o contrasinal. Na era moderna, os contrasinais son usados comunmente para controlar o acceso a [[sistema operativo|sistemas operativos]] de computadoras protexidas, [[teléfono celular|teléfonos celulares]], [[decodificador]]es de TV por cable, [[caixeiro automático|caixeiros automáticos]] de efectivo, etc. Un típico computador pode facer uso de contrasinais para diferentes propósitos, incluíndo conexións a contas de usuario, accedendo ao [[correo electrónico]] (e-mail) dos servidores, acceso a bases de datos, redes, e páxinas Web, e ata para poder ler noticias nos xornais (diarios) electrónicos.
 
Na lingua inglesa téñense dúas denominacións distintivas para os contrasinais que son: '''password''' (palabra de acceso) e '''pass code''' (código de acceso), onde a primeira non implica necesariamente o uso dalgunha palabra existente (con todo é normal o uso dalgunha palabra familiar ou de fácil memorización por parte do usuario), a primeira adoita asociarse tamén ao uso de códigos alfanuméricos (tamén chamado '''[[Texto Identificación Persoal|PIT]]''' - ''Persoal Identification Text'') mentres que a segunda frecuentemente lígase ao uso dalgún código numérico (tamén chamado '''[[Número Identificación Persoal|PIN]]''' - ''Persoal Identification Number''). Isto tamén ocorre na fala galega, xa que en ocasións clave e contrasinal úsanse indistintamente.
Liña 10:
== Seguridade e conveniencia ==
 
No [[control]] do [[acceso]] para todo, realízase unha relación entre seguridade e conveniencia. É dicir, se algún recurso está protexido por unhaun contrasinal, entón a seguridade increméntase coa consecuente perda de conveniencia para os usuarios. A cantidade de seguridade é inherente dada unha [[política]] para contrasinais en particular que é afectada por diversos factores que se mencionarán a continuación. Con todo, non existe un [[método]] que sexa o mellor para definir un balance apropiado entre seguridade e conveniencia.
 
Algúns [[sistema]]s protexidos por contrasinais expón poucos ou ningún risco aos usuarios se estes revélanse, por exemplo, unhaun contrasinal que permita o acceso á información dunha Web site gratuíta. Outros expón un modesto risco económico ou de privacidade, por exemplo, un '''passwordcontrasinal''' utilizado para acceder ao '''e-mailcorreo electrónico''', ou algunhaalgún contrasinal para algún teléfono celular. Aínda así, noutras situacións pódense ter consecuencias severas se a contrasinal é revelada, talles como as usadas para limitar o acceso de expedientes sobre tratamentos do [[SIDA]] ou o control de estacións de enerxía.
 
== Factores na seguridade dun sistema de contrasinais ==
Liña 20:
=== Posibilidade de que algún atacante poida adiviñar ou inventar a contrasinal ===
 
A posibilidade de que algún atacante poida proporcionar unhaun contrasinal que adiviño é un factor clave ao determinar a seguridade dun sistema. Algúns sistemas impón un límite de tempo despois de que un pequeno número de intentos errados de proporcionar a clave dánse lugar. Ao non ter outras vulnerabilidades, estes sistemas poden estar relativamente seguros con simples contrasinais, mentres estas non sexan facilmente adiviñadas, ao non asignar datos facilmente coñecidos como nomes de familiares ou de mascotas, o número de matrícula do automóbil ou passwordscontrasinais sinxelos como "''administrador''" ou "''1234''".
 
Outros sistemas almacenan ou transmiten unha pista da contrasinal de maneira que a pista pode ser fundamental para o acceso dalgún atacante. Cando isto ocorre, (e é moi común), o atacante intentase fornecer contrasinais frecuentemente nunha alta proporción, quizais utilizando listas cumpridamente coñecidas de passwordscontrasinais comúns. Tamén están suxeitas a un alto grao de vulnerabilidade aquelas contrasinais que se usan para xerar claves [[criptografía|criptográficas]], por exemplo, cifrado de discos, ou seguridade wi-fi, polo tanto son necesarias contrasinais máis inaccesibles nestes casos.
 
=== Formas de almacenar contrasinais ===
 
Algúns sistemas almacenan contrasinais como [[ficheiro|arquivos]] de texto. Se algún atacante gaña acceso ao arquivo que conteñen as contrasinais, entón todas estas atopásense comprometidas. Se algúns usuarios empregan o mesmo passwordcontrasinal para diferentes contas, estas estarán comprometidas de igual xeito. Os mellores sistemas almacenan as contrasinais nunha forma de protección criptográfica, así, o acceso á contrasinal será máis difícil para algún espía que gañe o acceso interno ao sistema, aínda que a validación aínda segue sendo posible.
 
Un esquema criptográfico común almacena soamente unha forma basta da contrasinal. Cando un usuario teclea a contrasinal neste tipo de sistema, córrese a través dun algoritmo, e se o valor do valor proporcionado é igual ao almacenado na base de datos de contrasinais, permítese o acceso ao usuario.
 
O valor basto da contrasinal créase ao aplicar unha función criptográfica para secuenciar a consistencia do passwordcontrasinal e, normalmente, outro valor coñecido como salt. A salt prevén que os atacantes constrúan unha lista de valores para contrasinais comúns. As funcións criptográficas máis comúns son a [[MD5]] e [[SHA1]]. Unha versión modificada de [[DEAS]] foi utilizada nos primeiros sistemas [[Unix]].
 
Se a función que almacena o passwordcontrasinal está ben deseñada, non é computacionalmente factible revertela para atopar o texto directamente. Con todo, se algún atacante gaña acceso aos valores (e moitos sistemas non os protexen adecuadamente), pode usar gran cantidade de ferramentas dispoñibles para comparar os resultados cifrados de cada palabra dentro dunha colección, como un dicionario. Están amplamente dispoñibles longas listas de contrasinais posibles en moitas linguaxes e as ferramentas intentarán diferentes variacións. Estas ferramentas demostran coa súa existencia a relativa fortaleza das diferentes opcións de contrasinal en contra de ataques. O uso derivado dunha función para unha clave pode reducir este risco.
 
Desafortunadamente, existe un conflito fundamental entre o uso destas funcións e a necesidade dun reto de autenticación; este último require que ambas as partes pódense unha a outra para coñecer o segredo compartido (é dicir, a contrasinal), e ao facer isto, o servidor necesita ser capaz de obter o segredo compartido na súa forma almacenada. Nos sistemas Unix ao facer unha autenticación remota, o segredo compartido convértese na forma basta da contrasinal, non a contrasinal en si mesma; se un atacante pode obter unha copia da forma basta da contrasinal, entón será capaz de acceder ao sistema remotamente, ata sen ter que determinar cal foi a contrasinal orixinal.
Liña 38:
=== Método de retransmisión da contrasinal ao usuario ===
 
As contrasinais poden ser vulnerables á espionaxe mentres son transmitidas á máquina de autenticación ou ao usuario. Se a contrasinal é levada como sinal eléctrico sobre un cableado non asegurado entre o punto de acceso do usuario e o sistema central que controla a base de datos da contrasinal, está suxeita a espionaxe por medio de métodos de conexións externas no cableado. Se esta é enviada por medio de [[Internet]], calquera persoa capaz de ver os paquetes de información que conteñen a información de acceso pode espiar o passwordcontrasinal con poucas posibilidades de detección. Os cable [[módem]] poden ser máis vulnerables á espionaxe que [[DSL]] os módems e as conexións telefónicas, o ethernet pode estar ou non suxeito a espionaxe, dependendo particularmente da opción do hardware da rede e do cableado. Algunhas organizacións notaron un incremento significativo das contas roubadas despois de que os usuarios conéctense por medio de conexións por cable.
 
O risco de intercepción dos passwordcontrasinal mandados por Internet poden ser reducidos cunha capa de transporte de seguridade (TLS - Transport Layer Security, previamente chamada SSL) que se integra en moitos navegadores de Internet. A maioría dos navegadores mostran unha icona dun cadeado pechado cando o TLS está en uso. Vexa criptografía para outros xeitos nas que pasar a información pode ser máis seguro.
 
=== Procedementos para cambiar as contrasinais ===
 
Usualmente, un sistema debe prover un xeito de cambiar un passwordcontrasinal, xa sexa porque o usuario sospeite que o passwordcontrasinal actual ha (ou foi) descuberto, ou como medida de precaución. Se o novo passwordcontrasinal é introducido no sistema dun xeito non cifrado, a seguridade pode haberse perdido ata antes de que o novo passwordcontrasinal sexa instalado na base de datos. Se o novo passwordcontrasinal foi revelado a un empregado de confianza, gáñase pouco. AlgúnsAlgunhas webpáxinas sitesweb inclúen a opción de recordar o passwordcontrasinal dun usuario dun xeito non cifrado ao mandarllo por e-mailcorreo electrónico.
 
Os '''Sistemas de Administración de Identidade''', utilízanse cada vez máis para automatizar a emisión de substitucións para contrasinais perdidas. A identidade do usuario verifícase ao realizar algunhas preguntas e comparalas coas que se teñen almacenadas. Preguntas típicas inclúen as seguintes: "¿Onde naciches?", "¿Cal é a túa película favorita?", "¿Cal é o nome da túa mascota?" En moitos casos as respostas a estas preguntas poden ser adiviñadas, determinadas cun pouco de investigación, ou obtidas a través de estafa con [[enxeñería social]]. Mentres que moitos usuarios foron advertidos para que nunca revelen o seu passwordcontrasinal, moi poucos consideran o nome da súa película favorita para requirir este tipo de seguridade.
 
=== Lonxevidade dunhadun contrasinal ===
 
O forzar aos usuarios a que cambien o seu contrasinal frecuentemente (xa sexa semestralmente, mensualmente ou en lapsos máis frecuentes) asegura que unhaun contrasinal válida en mans equivocadas sexa eventualmente inútil. Moitos [[sistema operativo|sistemas operativos]] provén esta opción, aínda que esta non se usa universalmente. Os beneficios de seguridade son limitados debido a que os atacantes frecuentemente sacan proveito dunhadun contrasinal axiña que como esta é revelada. En moitos casos, particularmente coas contas de administradores ou contas "raíz", unha vez que un cracker gañou acceso, pode realizar alteracións ao sistema operativo que lle permitirán accesos futuros ata se a contrasinal inicial xa expirou.
 
Forzar cambios de passwordcontrasinal frecuentemente fai que os usuarios tendan a esquecer cal é o passwordcontrasinal actual, e por isto dáse a consecuente tentación de escribir as claves en lugares á vista ou que reutilicen passwordscontrasinais anteriores, o cal nega calquera beneficio de seguridade. Ao implementar este tipo de política requírese unha coidadosa consideración dos factores humanos.
 
=== Número de usuarios por passwordcontrasinal ===
 
Nalgunhas ocasións, unha soa contrasinal controla o acceso dun dispositivo, por exemplo, para a rede dun router, ou para un teléfono móbil. Con todo, no caso dun sistema informático, unhaun contrasinal almacénase xeralmente para cada nome de usuario, deste xeito facendo que todos os accesos poidan ser detectables (excepto, por suposto, no caso de usuarios que comparten a mesma contrasinal).
 
Nestes casos, un usuario potencial debe proporcionar un nome e un passwordcontrasinal. Se o usuario prové un passwordcontrasinal que coincide co almacenado para o nome de usuario, entón permíteselle o acceso ao sistema do computador. Este tamén é o caso dos caixeiros automáticos, coa excepción de que o nome de usuario é o número de conta almacenado no cartón do cliente, e que o PIN é normalmente moi curto (de 4 a 6 díxitos).
 
A asignación de contrasinais separadas a cada usuario dun sistema é normalmente preferible que facer que unha soa contrasinal sexa compartida por varios usuarios lexítimos do sistema. Isto dáse en parte porque a xente está máis disposta a revelar a outra persoa (quen non pode estar autorizada) unhaun contrasinal compartida que era exclusivamente para o seu propio uso. Contrasinais individuais para cada usuario tamén son esenciais se os usuarios son responsables polas súas actividades, talles como nos casos de transaccións financeiras ou consulta de expedientes médicos.
 
=== Deseño de software protexido ===
Liña 79:
== Factores na seguridade de contrasinais individuais ==
 
=== Probabilidade que unhaun contrasinal poida ser descuberta ===
 
Estudios na produción de sistemas informáticos indicaron por décadas constantemente que preto de 40% de todas as contrasinais elixidas por usuarios se conxecturan facilmente.
Liña 85:
* Moitos dos usuarios non cambian a contrasinal que vén predeterminada en moitos dos sistemas de seguridade. Listas destas contrasinais están dispoñibles no [[Internet]].
 
* UnhaUn contrasinal pode ser determinada se un usuario elixe como contrasinal unha peza de información persoal que sexa fácil de descubrir (por exemplo: número de IDE de estudante, o nome do noivo/a, o día de aniversario, número telefónico, etc.). Os datos persoais sobre individuos están agora dispoñibles en diferentes fontes, moitas delas están en-liña, e poden ser obtidas frecuentemente por alguén que use técnicas de [[enxeñería social]], como actuar como un traballador social que realiza enquisas.
 
* UnhaUn contrasinal é vulnerable se pode ser atopada nunha lista. Os dicionarios (frecuentemente de forma electrónica) están dispoñibles en moitas linguaxes, e existen listas de contrasinais comúns.
 
* En probas sobre sistemas en vivo, os ataques de dicionarios son rutinariamente acertados, polo que o software implementado neste tipo de ataques xa se atopa dispoñible para moitos sistemas. UnhaUn contrasinal moi curta, quizais elixida por conveniencia, é máis vulnerable se un hacker pode obter a versión criptográfica da contrasinal. As computadoras son na actualidade o suficientemente rápidas para intentar todas as contrasinais en orde alfabética que teñan menos de 7 caracteres, por exemplo:
 
Unha '''contrasinal débil''' sería unha que fose moi curta ou que fose a predeterminada, ou unha que puidese adiviñar rapidamente ao buscar unha serie de palabras que é posible atopar en dicionarios, nomes propios, palabras baseadas en variacións do [[nome de usuario|nome do usuario]]. UnhaUn contrasinal forte debe ser suficientemente longa, ao azar, ou producible só polo usuario que a elixiu, así, o 'adiviñar' requirirá un longo tempo. A cantidade de tempo xulgada para ser 'demasiado longa' variará de acordo ao atacante, os seus recursos, a facilidade coa que a contrasinal póidase descubrir, e a importancia desta para o atacante. Polo tanto, unhaun contrasinal dun estudianteestudante quizais non valla a pena para investir máis dalgúns segundos na computadora, mentres que a contrasinal para acceder ao control dunha transferencia de diñeiro do sistema dun banco pode valer varias semanas de traballo nunha computadora.
 
'Forte' e 'débil' teñen significado soamente con respecto a tentativas de descubrir a contrasinal dun usuario, xa sexa por unha persoa que coñece ao usuario, ou unha computadora que tratase de usar millóns de combinacións. Neste contexto, os termos poden ter unha precisión considerable. Pero nótese que unhaun contrasinal 'forte' neste sentido pode ser roubada, truqueada ou extraidaextraída do usuario, xa sexa mediante a extracción do historial dun [[teclado de ordenador|teclado]], gravada mediante aparellos de comunicación, ou copiada de notas deixadas por esquecemento.
 
Exemplos de contrasinais débiles inclúen as seguintes: ''administrador'', ''1234'', "nome do usuario", xx/xx/xx - datas importantes, xa que a maioría destas atópanse en ou bases de datos ou diccionariosdicionarios (dictionary search attack). Exemplos de contrasinais fortes serían as seguintes: ''tastywheeT34'', ''partei@34!'', e ''#23kLLflux''. Estas contrasinais son longas e usan combinacións de letras maiúsculas e minúsculas, de números e de símbolos. Non son facilmente atopados en listas de contrasinais e son suficientemente longas para provocar que unha procura basta sexa impracticaimpráctica na maioría das circunstancias. Nótese que algúns sistemas non permiten símbolos como #, e ! en contrasinais e son máis difíciles de atopar nalgúns teclados deseñados para certos países. Nestes casos, agregar un ou dous caracteres (letra ou número) pode ofrecer unha seguridade equivalente. Tamén nótese que, ao haberse publicado estes exemplos de contrasinais, estes xa non son boas opcións: exemplos de discusións públicas sobre contrasinais obviamente son bos candidatos para incluírse nas listas de dicionarios para atacar sistemas.
 
O método máis efectivo para xerar contrasinais é seleccionar suficientes caracteres ao chou, aínda que este tipo de contrasinais son as máis difíciles de recordar. Algúns usuarios desenvolven frases ou palabras compostas que teñen letras ao azar como iniciais de varias palabras. Outro xeito de elaborar contrasinais ao azar que sexan máis memorables é usar palabras ao azar ou sílabas en lugar de letras ao azar.
Liña 103:
Segundo [[Bruce Schneier]] a contrasinal máis utilizada é ''password1''.
 
=== Probabilidade que unhaun contrasinal poida ser recordada ===
 
Os passwordcontrasinal máis seguros son longos, e con caracteres ao chou. Cun mesmo número de caracteres, o passwordcontrasinal é máis forte se inclúe unha mestura de maiúsculas e minúsculas, números, e outros símbolos (cando é permitido). Desafortunadamente, desde a perspectiva de seguridade, estes tipos de contrasinal son os máis difíciles de recordar.
 
O forzar aos usuarios a utilizar contrasinais creadas 'ao azar' polo sistema, asegura que a contrasinal non terá conexión co usuario e polo tanto non poderá ser atopada en ningún dicionario. Varios sistemas operativos inclúen esta opción. Aínda que é proveitoso desde o punto de vista de seguridade, moitos usuarios evitan tales medidas e a cooperación do usuario é xeralmente esencial para un sistema de seguridade.
Liña 111:
Os usuarios de computadoras son normalmente advertidos sobre "nunca escribir a contrasinal en ningures, sen importar que" e que "nunca usen a contrasinal para máis dunha conta". Estas declaracións, aínda que soan ben en teoría, ignoran a realidade de que un usuario de computadoras pode ter ducias de contas protexidas por contrasinal. Teñen a consecuencia involuntaria de que moitos usuarios seleccionan contrasinais débiles, ata para contas importantes, e terminan por utilizar a mesma contrasinal en todas elas.
 
Se as contrasinais son escritas nalgún lugar para un posterior recordatorio, non se deben manter en lugares obvios como axendas, baixo os teclados, ou detrás de fotografías. A peor localización (pero a máis común), é nunha nota pegada na computadora. As caixas con cadeado para obxectos valiosos son unha mellor opción para o resgardo de información importante como as contrasinais. Existe software dispoñible para computadoras portables (palm, ou hand-held computers) que almacenan os passwordcontrasinal de numerosas contas dunha forma cifrada. Outra opción pode ser elixir unha soa contrasinal para contas de pouca importancia, e elixir contrasinais máis rigorosas para un menor número de aplicacións relevantes como as contas de [[banca en liña|banco en liña]].
 
Nunha conferencia de seguridade en 2005, un experto de [[Microsoft]] declarou: "''creo que a política sobre contrasinais debería dicir que vostedes deban escribir as súas contrasinais nalgún lugar para recordalas posteriormente. Eu teño 68 contrasinais diferentes. Se non se me permite escribilas nalgún lugar, adiviñen que é o que vou facer? Vou usar a mesma contrasinal en cada unhas das miñas contas''."
Liña 117:
Xa sexa que fose peor utilizar contrasinais débiles fáciles ou contrasinais fortes pero que son escritas nalgún lugar visible, pode provocar un gran debate entre expertos. A seguridade práctica require a miúdo estar en balance entre os requisitos de conflito e factores humanos.
 
=== Probabilidade de que unhaun contrasinal sexa descuberta ===
 
As contrasinais poden ser descubertas mediante navegación na rede, roubo, extorsión, violación, ameazas ou outros métodos. A procura nos colectores de lixo probou ser frutífera en situacións onde datos importantes son refugados sen suficiente precaución (como se probou recentemente co recente roubo de identidades). O número de caracteres dun passwordcontrasinal non só pode ser determinado ao espiar a pantalla do usuario senón tamén ao contar o número de clicks ao teclear unhaun contrasinal. Unha investigación publicada por IBM en 2004 mostra que cada tecla dun teclado ten un son distintivo, permitindo tonalizar datos, incluíndose as contrasinais, para que poidan ser recuperadas ao analizar gravacións dun dispositivo de son ou "bug".
 
O obter contrasinais mediante manipulación psicolóxica dos usuarios é un exemplo de enxeñería social. Un atacante pode telefonar a un usuario e dicir: "Ola, falámoslle de Control de Sistemas. Estamos facendo unha proba de seguridade. Pode proporcionarme o seu passwordcontrasinal para que podamos proceder?" Os administradores de sistema e demais persoal de soporte técnico raramente necesitan coñecer o passwordcontrasinal dun usuario para poder realizar os seus traballos. Os administradores de sistema con privilexios de "raíz" ou ata superiores poden cambiar as contrasinais dos usuarios sen o seu permiso, así que non teñen necesidade de requirilas. Adicionalmente, estes evitasen pedir as contrasinais, precisamente porque estes non desexan crear o hábito de revelar as contrasinais a calquera.
 
== Outras alternativas para control de acceso ==
Traído desde «https://gl.wikipedia.org/wiki/Contrasinal»