Revisión como estaba o 14 de decembro de 2016 ás 16:35 editar Moedagalega (conversa \| contribucións) 30.515 edicións →‎Deseño de software protexido: Cambiouse o castelanismo "enaxenar a usuarios" por "allear usuarios". Etiquetas: edición desde un dispositivo móbil Edición feita a través do sitio móbil ← Edición máis vella		Revisión como estaba o 3 de xaneiro de 2017 ás 09:40 editar desfacer Unhanova (conversa \| contribucións) 7.964 edicións cableado - cablaxe e xénero de contrasinal Etiqueta: Edición visual Edición máis nova →
Liña 12: No [[control]] do [[acceso]] para todo, realízase unha relación entre seguridade e conveniencia. É dicir, se algún recurso está protexido por un contrasinal, entón a seguridade increméntase coa consecuente perda de conveniencia para os usuarios. A cantidade de seguridade é inherente dada unha [[política]] para contrasinais en particular que é afectada por diversos factores que se mencionarán a continuación. Con todo, non existe un [[metodoloxía\|método]] que sexa o mellor para definir un balance apropiado entre seguridade e conveniencia. Algúns [[sistema]]s protexidos por contrasinais expón poucos ou ningún risco aos usuarios se estes se revelan, por exemplo, un contrasinal que permita o acceso á información dunha Web site gratuíta. Outros expón un modesto risco económico ou de privacidade, por exemplo, un '''contrasinal''' utilizado para acceder ao '''correo electrónico''', ou algún contrasinal para algún teléfono celular. Aínda así, noutras situacións pódense ter consecuencias severas se ao contrasinal é ~~revelada~~revelado, ~~talles~~tales como asos ~~usadas~~usados para limitar o acceso de expedientes sobre tratamentos do [[SIDA]] ou o control de estacións de enerxía. == Factores na seguridade dun sistema de contrasinais == Liña 18: A [[seguridade]] dun sistema protexido por contrasinal depende de varios factores. O sistema debe, por suposto, estar deseñado para sondar a seguridade (Ver seguridade e inseguridade de computadoras). Aquí preséntanse algúns problemas sobre a administración de contrasinais que deben ser considerados: === Posibilidade de que algún atacante poida adiviñar ou inventar ao contrasinal === A posibilidade de que algún atacante poida proporcionar un contrasinal que adiviño é un factor clave ao determinar a seguridade dun sistema. Algúns sistemas impón un límite de tempo despois de que un pequeno número de intentos errados de proporcionar a clave dánse lugar. Ao non ter outras vulnerabilidades, estes sistemas poden estar relativamente seguros con simples contrasinais, mentres estas non sexan facilmente adiviñadas, ao non asignar datos facilmente coñecidos como nomes de familiares ou de mascotas, o número de matrícula do automóbil ou contrasinais sinxelos como "''administrador''" ou "''1234''". Outros sistemas almacenan ou transmiten unha pista dado contrasinal de maneira que a pista pode ser fundamental para o acceso dalgún atacante. Cando isto ocorre, (e é moi común), o atacante intentase fornecer contrasinais frecuentemente nunha alta proporción, quizais utilizando listas cumpridamente coñecidas de contrasinais comúns. Tamén están suxeitas a un alto grao de vulnerabilidade aquelas contrasinais que se usan para xerar claves [[criptografía\|criptográficas]], por exemplo, cifrado de discos, ou seguridade wi-fi, polo tanto son necesarias contrasinais máis inaccesibles nestes casos. === Formas de almacenar contrasinais === Liña 28: Algúns sistemas almacenan contrasinais como [[ficheiro\|arquivos]] de texto. Se algún atacante gaña acceso ao arquivo que conteñen as contrasinais, entón todas estas atopásense comprometidas. Se algúns usuarios empregan o mesmo contrasinal para diferentes contas, estas estarán comprometidas de igual xeito. Os mellores sistemas almacenan as contrasinais nunha forma de protección criptográfica, así, o acceso á contrasinal será máis difícil para algún espía que gañe o acceso interno ao sistema, aínda que a validación aínda segue sendo posible. Un esquema criptográfico común almacena soamente unha forma basta dado contrasinal. Cando un usuario teclea ao contrasinal neste tipo de sistema, córrese a través dun algoritmo, e se o valor do valor proporcionado é igual ao almacenado na base de datos de contrasinais, permítese o acceso ao usuario. O valor basto dado contrasinal créase ao aplicar unha función criptográfica para secuenciar a consistencia do contrasinal e, normalmente, outro valor coñecido como salt. A salt prevén que os atacantes constrúan unha lista de valores para contrasinais comúns. As funcións criptográficas máis comúns son a [[MD5]] e [[SHA1]]. Unha versión modificada de [[DEAS]] foi utilizada nos primeiros sistemas [[Unix]]. Se a función que almacena o contrasinal está ben deseñada, non é computacionalmente factible revertela para atopar o texto directamente. Con todo, se algún atacante gaña acceso aos valores (e moitos sistemas non os protexen adecuadamente), pode usar gran cantidade de ferramentas dispoñibles para comparar os resultados cifrados de cada palabra dentro dunha colección, como un dicionario. Están amplamente dispoñibles longas listas de contrasinais posibles en moitas linguaxes e as ferramentas intentarán diferentes variacións. Estas ferramentas demostran coa súa existencia a relativa fortaleza das diferentes opcións de contrasinal en contra de ataques. O uso derivado dunha función para unha clave pode reducir este risco. Desafortunadamente, existe un conflito fundamental entre o uso destas funcións e a necesidade dun reto de autenticación; este último require que ambas as partes pódense unha a outra para coñecer o segredo compartido (é dicir, ao contrasinal), e ao facer isto, o servidor necesita ser capaz de obter o segredo compartido na súa forma almacenada. Nos sistemas Unix ao facer unha autenticación remota, o segredo compartido convértese na forma basta dado contrasinal, non ao contrasinal en si ~~mesma~~mesmo; se un atacante pode obter unha copia da forma basta dado contrasinal, entón será capaz de acceder ao sistema remotamente, ata sen ter que determinar cal foi ao contrasinal orixinal. === Método de retransmisión dado contrasinal ao usuario === As contrasinais poden ser vulnerables á espionaxe mentres son transmitidas á máquina de autenticación ou ao usuario. Se ao contrasinal é ~~levada~~levado como sinal eléctrico sobre ununha ~~cableado~~cablaxe non ~~asegurado~~asegurada entre o punto de acceso do usuario e o sistema central que controla a base de datos dado contrasinal, está suxeita a espionaxe por medio de métodos de conexións externas nona ~~cableado~~cablaxe. Se esta é enviada por medio de [[Internet]], calquera persoa capaz de ver os paquetes de información que conteñen a información de acceso pode espiar o contrasinal con poucas posibilidades de detección. Os cable [[módem]] poden ser máis vulnerables á espionaxe que [[DSL]] os módems e as conexións telefónicas, o ethernet pode estar ou non suxeito a espionaxe, dependendo particularmente da opción do hardware da rede e doda ~~cableado~~cablaxe. Algunhas organizacións notaron un incremento significativo das contas roubadas despois de que os usuarios conéctense por medio de conexións por cable. O risco de intercepción dos contrasinal mandados por Internet poden ser reducidos cunha capa de transporte de seguridade (TLS - Transport Layer Security, previamente chamada SSL) que se integra en moitos navegadores de Internet. A maioría dos navegadores mostran unha icona dun cadeado pechado cando o TLS está en uso. Vexa criptografía para outros xeitos nas que pasar a información pode ser máis seguro. Liña 50: === Lonxevidade dun contrasinal === O forzar aos usuarios a que cambien o seu contrasinal frecuentemente (xa sexa semestralmente, mensualmente ou en lapsos máis frecuentes) asegura que un contrasinal válida en mans equivocadas sexa eventualmente inútil. Moitos [[sistema operativo\|sistemas operativos]] provén esta opción, aínda que esta non se usa universalmente. Os beneficios de seguridade son limitados debido a que os atacantes frecuentemente sacan proveito dun contrasinal axiña que como esta é revelada. En moitos casos, particularmente coas contas de administradores ou contas "raíz", unha vez que un cracker gañou acceso, pode realizar alteracións ao sistema operativo que lle permitirán accesos futuros ata se ao contrasinal inicial xa expirou. Forzar cambios de contrasinal frecuentemente fai que os usuarios tendan a esquecer cal é o contrasinal actual, e por isto dáse a consecuente tentación de escribir as claves en lugares á vista ou que reutilicen contrasinais anteriores, o cal nega calquera beneficio de seguridade. Ao implementar este tipo de política requírese unha coidadosa consideración dos factores humanos. Liña 56: === Número de usuarios por contrasinal === Nalgunhas ocasións, ~~unha~~un ~~soa~~só contrasinal controla o acceso dun dispositivo, por exemplo, para a rede dun router, ou para un teléfono móbil. Con todo, no caso dun sistema informático, un contrasinal almacénase xeralmente para cada nome de usuario, deste xeito facendo que todos os accesos poidan ser detectables (excepto, por suposto, no caso de usuarios que comparten ao ~~mesma~~mesmo contrasinal). Nestes casos, un usuario potencial debe proporcionar un nome e un contrasinal. Se o usuario prové un contrasinal que coincide co almacenado para o nome de usuario, entón permíteselle o acceso ao sistema do computador. Este tamén é o caso dos caixeiros automáticos, coa excepción de que o nome de usuario é o número de conta almacenado no cartón do cliente, e que o PIN é normalmente moi curto (de 4 a 6 díxitos). A asignación de contrasinais separadas a cada usuario dun sistema é normalmente preferible que facer que ~~unha~~un ~~soa~~só contrasinal sexa ~~compartida~~compartido por varios usuarios lexítimos do sistema. Isto dáse en parte porque a xente está máis disposta a revelar a outra persoa (quen non pode estar autorizada) un contrasinal ~~compartida~~compartido que era exclusivamente para o seu propio uso. Contrasinais individuais para cada usuario tamén son esenciais se os usuarios son responsables polas súas actividades, talles como nos casos de transaccións financeiras ou consulta de expedientes médicos. === Deseño de software protexido === Liña 66: Técnicas comúns utilizadas para mellorar a seguridade de sistemas de software protexidas por contrasinais inclúen: * Non repetir ao contrasinal na pantalla de visualización cando se está accedendo. * Permitir contrasinais dunha lonxitude adecuada (algúns sistemas de [[Unix]] limitan contrasinais a 8 caracteres) * Obrigar a que o contrasinal teña algún carácter especial e algún número Liña 74: * Asignar contrasinais ao azar. * Prover unha opción alternativa ao uso de teclados. * Ao cambiar ao contrasinal, comprobar que non se parece ás contrasinal anteriormente usadas. * As medidas máis rigorosas corren un risco de allear usuarios. Liña 106: O forzar aos usuarios a utilizar contrasinais creados 'ao azar' polo sistema, asegura que o contrasinal non terá conexión co usuario e polo tanto non poderá ser atopado en dicionario ningún. Varios sistemas operativos inclúen esta opción. Aínda que é proveitoso desde o punto de vista de seguridade, moitos usuarios evitan tales medidas e a cooperación do usuario é xeralmente esencial para un sistema de seguridade. Os usuarios de computadoras son normalmente advertidos sobre "nunca escribir o contrasinal en ningures, sen importar que" e que "nunca usen o contrasinal para máis dunha conta". Estas declaracións, aínda que soan ben en teoría, ignoran a realidade de que un usuario de computadoras pode ter ducias de contas protexidas por contrasinal. Teñen a consecuencia involuntaria de que moitos usuarios seleccionan contrasinais débiles, ata para contas importantes, e terminan por utilizar ao ~~mesma~~mesmo contrasinal en todas elas. Se as contrasinais son escritas nalgún lugar para un posterior recordatorio, non se deben manter en lugares obvios como axendas, baixo os teclados, ou detrás de fotografías. A peor localización (pero a máis común), é nunha nota pegada na computadora. As caixas con cadeado para obxectos valiosos son unha mellor opción para o resgardo de información importante como as contrasinais. Existe software dispoñible para computadoras portables (palm, ou hand-held computers) que almacenan os contrasinal de numerosas contas dunha forma cifrada. Outra opción pode ser elixir ~~unha~~un ~~soa~~só contrasinal para contas de pouca importancia, e elixir contrasinais máis rigorosas para un menor número de aplicacións relevantes como as contas de [[banca en liña\|banco en liña]]. Nunha conferencia de seguridade en 2005, un experto de [[Microsoft]] declarou: "''creo que a política sobre contrasinais debería dicir que vostedes deban escribir as súas contrasinais nalgún lugar para recordalas posteriormente. Eu teño 68 contrasinais diferentes. Se non se me permite escribilas nalgún lugar, adiviñen que é o que vou facer? Vou usar ao ~~mesma~~mesmo contrasinal en cada unhas das miñas contas''." Xa sexa que fose peor utilizar contrasinais débiles fáciles ou contrasinais fortes pero que son escritas nalgún lugar visible, pode provocar un gran debate entre expertos. A seguridade práctica require a miúdo estar en balance entre os requisitos de conflito e factores humanos.

Contrasinal: Diferenzas entre revisións