Contrasinal: Diferenzas entre revisións
Contido eliminado Contido engadido
m Bot: Engado: la:Tessera (solutio) |
Contrasinal é masculino |
||
Liña 2:
Un '''contrasinal''', '''clave de acceso''' ou simplemente '''clave''' (en [[lingua inglesa|inglés]] '''''password'''''), é unha forma de [[autenticación]] que utiliza [[información]] secreta para controlar o acceso cara a algún recurso. O contrasinal normalmente debe manterse en segredo ante aqueles a quen non se lles permite o acceso. Aqueles que desexan acceder á información solicítaselles unha clave; se coñecen ou non coñecen o contrasinal, concédese ou se nega o acceso á información segundo sexa o caso.
O uso de contrasinais remóntase á antigüidade. Sentinelas que vixiaban algunha locación, requirían o contrasinal ao que ousase pasar. Soamente permitíanlle o acceso a aquela persoa que coñecese o contrasinal. Na era moderna, os contrasinais son usados comunmente para controlar o acceso a [[sistema operativo|sistemas operativos]] de computadoras protexidas, [[teléfono celular|teléfonos celulares]], [[decodificador]]es de TV por cable, [[caixeiro automático|caixeiros automáticos]] de efectivo, etc. Un típico computador pode facer uso de contrasinais para diferentes propósitos, incluíndo conexións a contas de usuario, accedendo ao [[correo electrónico]]
Na lingua inglesa téñense dúas denominacións distintivas para os contrasinais que son: '''password''' (palabra de acceso) e '''pass code''' (código de acceso), onde a primeira non implica necesariamente o uso dalgunha palabra existente (con todo é normal o uso dalgunha palabra familiar ou de fácil memorización por parte do usuario), a primeira adoita asociarse tamén ao uso de códigos alfanuméricos (tamén chamado '''[[Texto Identificación Persoal|PIT]]''' - ''Persoal Identification Text'') mentres que a segunda frecuentemente lígase ao uso dalgún código numérico (tamén chamado '''[[Número Identificación Persoal|PIN]]''' - ''Persoal Identification Number''). Isto tamén ocorre na fala galega, xa que en ocasións clave e contrasinal úsanse indistintamente.
Liña 10:
== Seguridade e conveniencia ==
No [[control]] do [[acceso]] para todo, realízase unha relación entre seguridade e conveniencia. É dicir, se algún recurso está protexido por
Algúns [[sistema]]s protexidos por contrasinais expón poucos ou ningún risco aos usuarios se estes revélanse, por exemplo,
== Factores na seguridade dun sistema de contrasinais ==
Liña 20:
=== Posibilidade de que algún atacante poida adiviñar ou inventar a contrasinal ===
A posibilidade de que algún atacante poida proporcionar
Outros sistemas almacenan ou transmiten unha pista da contrasinal de maneira que a pista pode ser fundamental para o acceso dalgún atacante. Cando isto ocorre, (e é moi común), o atacante intentase fornecer contrasinais frecuentemente nunha alta proporción, quizais utilizando listas cumpridamente coñecidas de
=== Formas de almacenar contrasinais ===
Algúns sistemas almacenan contrasinais como [[ficheiro|arquivos]] de texto. Se algún atacante gaña acceso ao arquivo que conteñen as contrasinais, entón todas estas atopásense comprometidas. Se algúns usuarios empregan o mesmo
Un esquema criptográfico común almacena soamente unha forma basta da contrasinal. Cando un usuario teclea a contrasinal neste tipo de sistema, córrese a través dun algoritmo, e se o valor do valor proporcionado é igual ao almacenado na base de datos de contrasinais, permítese o acceso ao usuario.
O valor basto da contrasinal créase ao aplicar unha función criptográfica para secuenciar a consistencia do
Se a función que almacena o
Desafortunadamente, existe un conflito fundamental entre o uso destas funcións e a necesidade dun reto de autenticación; este último require que ambas as partes pódense unha a outra para coñecer o segredo compartido (é dicir, a contrasinal), e ao facer isto, o servidor necesita ser capaz de obter o segredo compartido na súa forma almacenada. Nos sistemas Unix ao facer unha autenticación remota, o segredo compartido convértese na forma basta da contrasinal, non a contrasinal en si mesma; se un atacante pode obter unha copia da forma basta da contrasinal, entón será capaz de acceder ao sistema remotamente, ata sen ter que determinar cal foi a contrasinal orixinal.
Liña 38:
=== Método de retransmisión da contrasinal ao usuario ===
As contrasinais poden ser vulnerables á espionaxe mentres son transmitidas á máquina de autenticación ou ao usuario. Se a contrasinal é levada como sinal eléctrico sobre un cableado non asegurado entre o punto de acceso do usuario e o sistema central que controla a base de datos da contrasinal, está suxeita a espionaxe por medio de métodos de conexións externas no cableado. Se esta é enviada por medio de [[Internet]], calquera persoa capaz de ver os paquetes de información que conteñen a información de acceso pode espiar o
O risco de intercepción dos
=== Procedementos para cambiar as contrasinais ===
Usualmente, un sistema debe prover un xeito de cambiar un
Os '''Sistemas de Administración de Identidade''', utilízanse cada vez máis para automatizar a emisión de substitucións para contrasinais perdidas. A identidade do usuario verifícase ao realizar algunhas preguntas e comparalas coas que se teñen almacenadas. Preguntas típicas inclúen as seguintes: "¿Onde naciches?", "¿Cal é a túa película favorita?", "¿Cal é o nome da túa mascota?" En moitos casos as respostas a estas preguntas poden ser adiviñadas, determinadas cun pouco de investigación, ou obtidas a través de estafa con [[enxeñería social]]. Mentres que moitos usuarios foron advertidos para que nunca revelen o seu
=== Lonxevidade
O forzar aos usuarios a que cambien o seu contrasinal frecuentemente (xa sexa semestralmente, mensualmente ou en lapsos máis frecuentes) asegura que
Forzar cambios de
=== Número de usuarios por
Nalgunhas ocasións, unha soa contrasinal controla o acceso dun dispositivo, por exemplo, para a rede dun router, ou para un teléfono móbil. Con todo, no caso dun sistema informático,
Nestes casos, un usuario potencial debe proporcionar un nome e un
A asignación de contrasinais separadas a cada usuario dun sistema é normalmente preferible que facer que unha soa contrasinal sexa compartida por varios usuarios lexítimos do sistema. Isto dáse en parte porque a xente está máis disposta a revelar a outra persoa (quen non pode estar autorizada)
=== Deseño de software protexido ===
Liña 79:
== Factores na seguridade de contrasinais individuais ==
=== Probabilidade que
Estudios na produción de sistemas informáticos indicaron por décadas constantemente que preto de 40% de todas as contrasinais elixidas por usuarios se conxecturan facilmente.
Liña 85:
* Moitos dos usuarios non cambian a contrasinal que vén predeterminada en moitos dos sistemas de seguridade. Listas destas contrasinais están dispoñibles no [[Internet]].
*
*
* En probas sobre sistemas en vivo, os ataques de dicionarios son rutinariamente acertados, polo que o software implementado neste tipo de ataques xa se atopa dispoñible para moitos sistemas.
Unha '''contrasinal débil''' sería unha que fose moi curta ou que fose a predeterminada, ou unha que puidese adiviñar rapidamente ao buscar unha serie de palabras que é posible atopar en dicionarios, nomes propios, palabras baseadas en variacións do [[nome de usuario|nome do usuario]].
'Forte' e 'débil' teñen significado soamente con respecto a tentativas de descubrir a contrasinal dun usuario, xa sexa por unha persoa que coñece ao usuario, ou unha computadora que tratase de usar millóns de combinacións. Neste contexto, os termos poden ter unha precisión considerable. Pero nótese que
Exemplos de contrasinais débiles inclúen as seguintes: ''administrador'', ''1234'', "nome do usuario", xx/xx/xx - datas importantes, xa que a maioría destas atópanse en ou bases de datos ou
O método máis efectivo para xerar contrasinais é seleccionar suficientes caracteres ao chou, aínda que este tipo de contrasinais son as máis difíciles de recordar. Algúns usuarios desenvolven frases ou palabras compostas que teñen letras ao azar como iniciais de varias palabras. Outro xeito de elaborar contrasinais ao azar que sexan máis memorables é usar palabras ao azar ou sílabas en lugar de letras ao azar.
Liña 103:
Segundo [[Bruce Schneier]] a contrasinal máis utilizada é ''password1''.
=== Probabilidade que
Os
O forzar aos usuarios a utilizar contrasinais creadas 'ao azar' polo sistema, asegura que a contrasinal non terá conexión co usuario e polo tanto non poderá ser atopada en ningún dicionario. Varios sistemas operativos inclúen esta opción. Aínda que é proveitoso desde o punto de vista de seguridade, moitos usuarios evitan tales medidas e a cooperación do usuario é xeralmente esencial para un sistema de seguridade.
Liña 111:
Os usuarios de computadoras son normalmente advertidos sobre "nunca escribir a contrasinal en ningures, sen importar que" e que "nunca usen a contrasinal para máis dunha conta". Estas declaracións, aínda que soan ben en teoría, ignoran a realidade de que un usuario de computadoras pode ter ducias de contas protexidas por contrasinal. Teñen a consecuencia involuntaria de que moitos usuarios seleccionan contrasinais débiles, ata para contas importantes, e terminan por utilizar a mesma contrasinal en todas elas.
Se as contrasinais son escritas nalgún lugar para un posterior recordatorio, non se deben manter en lugares obvios como axendas, baixo os teclados, ou detrás de fotografías. A peor localización (pero a máis común), é nunha nota pegada na computadora. As caixas con cadeado para obxectos valiosos son unha mellor opción para o resgardo de información importante como as contrasinais. Existe software dispoñible para computadoras portables (palm, ou hand-held computers) que almacenan os
Nunha conferencia de seguridade en 2005, un experto de [[Microsoft]] declarou: "''creo que a política sobre contrasinais debería dicir que vostedes deban escribir as súas contrasinais nalgún lugar para recordalas posteriormente. Eu teño 68 contrasinais diferentes. Se non se me permite escribilas nalgún lugar, adiviñen que é o que vou facer? Vou usar a mesma contrasinal en cada unhas das miñas contas''."
Liña 117:
Xa sexa que fose peor utilizar contrasinais débiles fáciles ou contrasinais fortes pero que son escritas nalgún lugar visible, pode provocar un gran debate entre expertos. A seguridade práctica require a miúdo estar en balance entre os requisitos de conflito e factores humanos.
=== Probabilidade de que
As contrasinais poden ser descubertas mediante navegación na rede, roubo, extorsión, violación, ameazas ou outros métodos. A procura nos colectores de lixo probou ser frutífera en situacións onde datos importantes son refugados sen suficiente precaución (como se probou recentemente co recente roubo de identidades). O número de caracteres dun
O obter contrasinais mediante manipulación psicolóxica dos usuarios é un exemplo de enxeñería social. Un atacante pode telefonar a un usuario e dicir: "Ola, falámoslle de Control de Sistemas. Estamos facendo unha proba de seguridade. Pode proporcionarme o seu
== Outras alternativas para control de acceso ==
|