Contrasinal

Para outras páxinas con títulos homónimos véxase: Clave.

Un contrasinal, clave de acceso ou simplemente clave (en inglés password), é unha forma de autenticación que utiliza información secreta para controlar o acceso cara a algún recurso. O contrasinal normalmente debe manterse en segredo ante aqueles a quen non se lles permite o acceso. Aqueles que desexan acceder á información solicítaselles unha clave; se coñecen ou non coñecen o contrasinal, concédese ou se nega o acceso á información segundo sexa o caso.

Pantalla de acceso da Wikipedia que require dunha conta e un contrasinal.

O uso de contrasinais remóntase á antigüidade. Sentinelas que vixiaban algunha locación, requirían o contrasinal ao que ousase pasar. Soamente permitíanlle o acceso a aquela persoa que coñecese o contrasinal. Na era moderna, os contrasinais son usados comunmente para controlar o acceso a sistemas operativos de computadoras protexidas, teléfonos celulares, decodificadores de TV por cable, caixeiros automáticos de efectivo etc. Un típico computador pode facer uso de contrasinais para diferentes propósitos, incluíndo conexións a contas de usuario, accedendo ao correo electrónico dos servidores, acceso a bases de datos, redes, e páxinas Web, e ata para poder ler noticias nos xornais (diarios) electrónicos.

Na lingua inglesa téñense dúas denominacións distintivas para os contrasinais que son: password (palabra de acceso) e pass code (código de acceso), onde a primeira non implica necesariamente o uso dalgunha palabra existente (con todo é normal o uso dalgunha palabra familiar ou de fácil memorización por parte do usuario), a primeira adoita asociarse tamén ao uso de códigos alfanuméricos (tamén chamado PIT - Persoal Identification Text) mentres que a segunda frecuentemente lígase ao uso dalgún código numérico (tamén chamado PIN - Persoal Identification Number). Isto tamén ocorre na fala galega, xa que en ocasións clave e contrasinal úsanse indistintamente.

Nota: A continuación tamén aquí utilizarase o termo “password” como intercambiable con “contrasinal”, debido a que é atopado frecuentemente na literatura de informática e referido como tal.

Desde o 2013 estableceuse o primeiro xoves de maio (en 2022, o 5 de maio) como o Día Mundial do Contrasinal, co obxectivo de fomentar bos hábitos á hora de elixir e modificar contrasinais, aumentando deste xeito a seguridade en liña ^[1].

Seguridade e conveniencia

No control do acceso para todo, realízase unha relación entre seguridade e conveniencia. É dicir, se algún recurso está protexido por un contrasinal, entón a seguridade increméntase coa consecuente perda de conveniencia para os usuarios. A cantidade de seguridade é inherente dada unha política para contrasinais en particular que é afectada por diversos factores que se mencionarán a continuación. Con todo, non existe un método que sexa o mellor para definir un balance apropiado entre seguridade e conveniencia.

Algúns sistemas protexidos por contrasinais expón poucos ou ningún risco aos usuarios se estes se revelan, por exemplo, un contrasinal que permita o acceso á información dunha Web site gratuíta. Outros expón un modesto risco económico ou de privacidade, por exemplo, un contrasinal utilizado para acceder ao correo electrónico, ou algún contrasinal para algún teléfono celular. Aínda así, noutras situacións pódense ter consecuencias severas se o contrasinal é revelado, tales como os usados para limitar o acceso de expedientes sobre tratamentos do SIDA ou o control de estacións de enerxía.

Factores na seguridade dun sistema de contrasinais

A seguridade dun sistema protexido por contrasinal depende de varios factores. O sistema debe, por suposto, estar deseñado para sondar a seguridade (Ver seguridade e inseguridade de computadoras). Aquí preséntanse algúns problemas sobre a administración de contrasinais que deben ser considerados:

Posibilidade de que algún atacante poida adiviñar ou inventar o contrasinal

A posibilidade de que algún atacante poida proporcionar un contrasinal que adiviño é un factor clave ao determinar a seguridade dun sistema. Algúns sistemas impón un límite de tempo despois de que un pequeno número de intentos errados de proporcionar a clave dánse lugar. Ao non ter outras vulnerabilidades, estes sistemas poden estar relativamente seguros con simples contrasinais, mentres estas non sexan facilmente adiviñadas, ao non asignar datos facilmente coñecidos como nomes de familiares ou de mascotas, o número de matrícula do automóbil ou contrasinais sinxelos como "administrador" ou "1234".

Outros sistemas almacenan ou transmiten unha pista do contrasinal de maneira que a pista pode ser fundamental para o acceso dalgún atacante. Cando isto ocorre, (e é moi común), o atacante intentase fornecer contrasinais frecuentemente nunha alta proporción, quizais utilizando listas cumpridamente coñecidas de contrasinais comúns. Tamén están suxeitas a un alto grao de vulnerabilidade aquelas contrasinais que se usan para xerar claves criptográficas, por exemplo, cifrado de discos, ou seguridade wi-fi, polo tanto son necesarias contrasinais máis inaccesibles nestes casos.

Formas de almacenar contrasinais

Algúns sistemas almacenan contrasinais como arquivos de texto. Se algún atacante gaña acceso ao arquivo que conteñen as contrasinais, entón todas estas atopásense comprometidas. Se algúns usuarios empregan o mesmo contrasinal para diferentes contas, estas estarán comprometidas de igual xeito. Os mellores sistemas almacenan as contrasinais nunha forma de protección criptográfica, así, o acceso á contrasinal será máis difícil para algún espía que gañe o acceso interno ao sistema, aínda que a validación aínda segue sendo posible.

Un esquema criptográfico común almacena soamente unha forma basta do contrasinal. Cando un usuario teclea o contrasinal neste tipo de sistema, córrese a través dun algoritmo, e se o valor do valor proporcionado é igual ao almacenado na base de datos de contrasinais, permítese o acceso ao usuario.

O valor basto do contrasinal créase ao aplicar unha función criptográfica para secuenciar a consistencia do contrasinal e, normalmente, outro valor coñecido como salt. A salt prevén que os atacantes constrúan unha lista de valores para contrasinais comúns. As funcións criptográficas máis comúns son a MD5 e SHA1. Unha versión modificada de DEAS foi utilizada nos primeiros sistemas Unix.

Se a función que almacena o contrasinal está ben deseñada, non é computacionalmente factible revertela para atopar o texto directamente. Con todo, se algún atacante gaña acceso aos valores (e moitos sistemas non os protexen adecuadamente), pode usar gran cantidade de ferramentas dispoñibles para comparar os resultados cifrados de cada palabra dentro dunha colección, como un dicionario. Están amplamente dispoñibles longas listas de contrasinais posibles en moitas linguaxes e as ferramentas intentarán diferentes variacións. Estas ferramentas demostran coa súa existencia a relativa fortaleza das diferentes opcións de contrasinal en contra de ataques. O uso derivado dunha función para unha clave pode reducir este risco.

Desafortunadamente, existe un conflito fundamental entre o uso destas funcións e a necesidade dun reto de autenticación; este último require que ambas as partes pódense unha a outra para coñecer o segredo compartido (é dicir, o contrasinal), e ao facer isto, o servidor necesita ser capaz de obter o segredo compartido na súa forma almacenada. Nos sistemas Unix ao facer unha autenticación remota, o segredo compartido convértese na forma basta do contrasinal, non o contrasinal en si mesmo; se un atacante pode obter unha copia da forma basta do contrasinal, entón será capaz de acceder ao sistema remotamente, ata sen ter que determinar cal foi o contrasinal orixinal.

Método de retransmisión do contrasinal ao usuario

As contrasinais poden ser vulnerables á espionaxe mentres son transmitidas á máquina de autenticación ou ao usuario. Se o contrasinal é levado como sinal eléctrico sobre unha cablaxe non asegurada entre o punto de acceso do usuario e o sistema central que controla a base de datos do contrasinal, está suxeita a espionaxe por medio de métodos de conexións externas na cablaxe. Se esta é enviada por medio de Internet, calquera persoa capaz de ver os paquetes de información que conteñen a información de acceso pode espiar o contrasinal con poucas posibilidades de detección. Os cable módem poden ser máis vulnerables á espionaxe que DSL os módems e as conexións telefónicas, o ethernet pode estar ou non suxeito a espionaxe, dependendo particularmente da opción do hardware da rede e da cablaxe. Algunhas organizacións notaron un incremento significativo das contas roubadas despois de que os usuarios conéctense por medio de conexións por cable.

O risco de intercepción dos contrasinal mandados por Internet poden ser reducidos cunha capa de transporte de seguridade (TLS - Transport Layer Security, previamente chamada SSL) que se integra en moitos navegadores de Internet. A maioría dos navegadores mostran unha icona dun cadeado pechado cando o TLS está en uso. Vexa criptografía para outros xeitos nas que pasar a información pode ser máis seguro.

Procedementos para cambiar os contrasinais

Usualmente, un sistema debe prover un xeito de cambiar un contrasinal, xa sexa porque o usuario sospeite que o contrasinal actual foi descuberto, ou como medida de precaución. Se o novo contrasinal é introducido no sistema dun xeito non cifrado, a seguridade pode haberse perdido ata antes de que o novo contrasinal sexa instalado na base de datos. Se o novo contrasinal foi revelado a un empregado de confianza, gáñase pouco. Algunhas páxinas web inclúen a opción de recordar o contrasinal dun usuario dun xeito non cifrado ao mandarllo por correo electrónico.

Os Sistemas de Administración de Identidade, utilízanse cada vez máis para automatizar a emisión de substitucións para contrasinais perdidas. A identidade do usuario verifícase ao realizar algunhas preguntas e comparalas coas que se teñen almacenadas. Preguntas típicas inclúen as seguintes: "¿Onde naciches?", "¿Cal é a túa película favorita?", "¿Cal é o nome da túa mascota?" En moitos casos as respostas a estas preguntas poden ser adiviñadas, determinadas cun pouco de investigación, ou obtidas a través de estafa con enxeñería social. Mentres que moitos usuarios foron advertidos para que nunca revelen o seu contrasinal, moi poucos consideran o nome da súa película favorita para requirir este tipo de seguridade.

Lonxevidade dun contrasinal

O forzar aos usuarios a que cambien o seu contrasinal frecuentemente (xa sexa semestralmente, mensualmente ou en lapsos máis frecuentes) asegura que un contrasinal válida en mans equivocadas sexa eventualmente inútil. Moitos sistemas operativos provén esta opción, aínda que esta non se usa universalmente. Os beneficios de seguridade son limitados debido a que os atacantes frecuentemente sacan proveito dun contrasinal axiña que como esta é revelada. En moitos casos, particularmente coas contas de administradores ou contas "raíz", unha vez que un cracker gañou acceso, pode realizar alteracións ao sistema operativo que lle permitirán accesos futuros ata se o contrasinal inicial xa expirou.

Forzar cambios de contrasinal frecuentemente fai que os usuarios tendan a esquecer cal é o contrasinal actual, e por isto dáse a consecuente tentación de escribir as claves en lugares á vista ou que reutilicen contrasinais anteriores, o cal nega calquera beneficio de seguridade. Ao implementar este tipo de política requírese unha coidadosa consideración dos factores humanos.

Número de usuarios por contrasinal

Nalgunhas ocasións, un só contrasinal controla o acceso dun dispositivo, por exemplo, para a rede dun router, ou para un teléfono móbil. Con todo, no caso dun sistema informático, un contrasinal almacénase xeralmente para cada nome de usuario, deste xeito facendo que todos os accesos poidan ser detectables (excepto, por suposto, no caso de usuarios que comparten o mesmo contrasinal).

Nestes casos, un usuario potencial debe proporcionar un nome e un contrasinal. Se o usuario prové un contrasinal que coincide co almacenado para o nome de usuario, entón permíteselle o acceso ao sistema do computador. Este tamén é o caso dos caixeiros automáticos, coa excepción de que o nome de usuario é o número de conta almacenado no cartón do cliente, e que o PIN é normalmente moi curto (de 4 a 6 díxitos).

A asignación de contrasinais separadas a cada usuario dun sistema é normalmente preferible que facer que un só contrasinal sexa compartido por varios usuarios lexítimos do sistema. Isto dáse en parte porque a xente está máis disposta a revelar a outra persoa (quen non pode estar autorizada) un contrasinal compartido que era exclusivamente para o seu propio uso. Contrasinais individuais para cada usuario tamén son esenciais se os usuarios son responsables polas súas actividades, tales como nos casos de transaccións financeiras ou consulta de expedientes médicos.

Deseño de software protexido

Técnicas comúns utilizadas para mellorar a seguridade de sistemas de software protexidas por contrasinais inclúen:

• Non repetir o contrasinal na pantalla de visualización cando se está accedendo.
• Permitir contrasinais dunha lonxitude adecuada (algúns sistemas de Unix limitan contrasinais a 8 caracteres)
• Obrigar a que o contrasinal teña algún carácter especial e algún número
• Requirir aos usuarios volver ingresar o seu contrasinal logo dun período de inactividade.
• Facer cumprir unha política de contrasinais para asegurar contrasinais importantes.
• Requirir periodicamente cambios de contrasinal.
• Asignar contrasinais ao chou.
• Prover unha opción alternativa ao uso de teclados.
• Ao cambiar o contrasinal, comprobar que non se parece ás contrasinal anteriormente usadas.
• As medidas máis rigorosas corren un risco de allear usuarios.

Factores na seguridade de contrasinais individuais

Probabilidade que un contrasinal poida ser descuberto

Estudos na produción de sistemas informáticos indicaron por décadas constantemente que preto de 40% de todas as contrasinais elixidas por usuarios se conxecturan facilmente.

• Moitos dos usuarios non cambian o contrasinal que vén predeterminada en moitos dos sistemas de seguridade. Listas destes contrasinais están dispoñibles en Internet.
• Un contrasinal pode ser determinado se un usuario elixe como contrasinal unha peza de información persoal que sexa fácil de descubrir (por exemplo: número de IDE de estudante, o nome do noivo/a, o día de aniversario, número telefónico etc.). Os datos persoais sobre individuos están agora dispoñibles en diferentes fontes, moitas delas están en liña, e poden ser obtidas frecuentemente por alguén que use técnicas de enxeñería social, como actuar como un traballador social que realiza enquisas.
• Un contrasinal é vulnerable se pode ser atopada nunha lista. Os dicionarios (frecuentemente de forma electrónica) están dispoñibles en moitas linguaxes, e existen listas de contrasinais comúns.
• En probas sobre sistemas en vivo, os ataques de dicionarios son rutineiramente acertados, polo que o software implementado neste tipo de ataques xa se atopa dispoñible para moitos sistemas. Un contrasinal moi curto, quizais elixido por conveniencia, é máis vulnerable se un hacker pode obter a versión criptográfica do contrasinal. As computadoras son na actualidade o suficientemente rápidas para intentar todos os contrasinais en orde alfabética que teñan menos de 7 caracteres, por exemplo:

Un contrasinal débil sería un que fose moi curto ou que fose o predeterminado, ou un que puidese adiviñar rapidamente ao buscar unha serie de palabras que é posible atopar en dicionarios, nomes propios, palabras baseadas en variacións do nome do usuario. Un contrasinal forte debe ser suficientemente longo, ao azar, ou producible só polo usuario que o elixiu, así, o 'adiviñar' requirirá un longo tempo. A cantidade de tempo xulgada para ser 'demasiado longa' variará de acordo ao atacante, os seus recursos, a facilidade coa que o contrasinal se poida descubrir, e a importancia deste para o atacante. Polo tanto, un contrasinal dun estudante quizais non valla a pena para investir máis dalgúns segundos na computadora, mentres que o contrasinal para acceder ao control dunha transferencia de diñeiro do sistema dun banco pode valer varias semanas de traballo nunha computadora.

'Forte' e 'débil' teñen significado soamente con respecto a tentativas de descubrir o contrasinal dun usuario, xa sexa por unha persoa que coñece ao usuario, ou unha computadora que tratase de usar millóns de combinacións. Neste contexto, os termos poden ter unha precisión considerable. Pero nótese que un contrasinal 'forte' neste sentido pode ser roubado, truqueado ou extraído do usuario, xa sexa mediante a extracción do historial dun teclado, gravado mediante aparellos de comunicación, ou copiado de notas deixadas por esquecemento.

Exemplos de contrasinais débiles inclúen as seguintes: administrador, 1234, "nome do usuario", xx/xx/xx - datas importantes, xa que a maioría destas se atopan en ou bases de datos ou dicionarios (dictionary search attack). Exemplos de contrasinais fortes serían as seguintes: tastywheeT34, partei@34!, e #23kLLflux. Estes contrasinais son longos e usan combinacións de letras maiúsculas e minúsculas, de números e de símbolos. Non son facilmente atopados en listas de contrasinais e son suficientemente longos para provocar que unha procura basta sexa impráctica na maioría das circunstancias. Nótese que algúns sistemas non permiten símbolos como #, e ! en contrasinais e son máis difíciles de atopar nalgúns teclados deseñados para certos países. Nestes casos, agregar un ou dous caracteres (letra ou número) pode ofrecer unha seguridade equivalente. Tamén nótese que, ao haberse publicado estes exemplos de contrasinais, estes xa non son boas opcións: exemplos de discusións públicas sobre contrasinais obviamente son bos candidatos para incluírse nas listas de dicionarios para atacar sistemas.

O método máis efectivo para xerar contrasinais é seleccionar suficientes caracteres ao chou, aínda que este tipo de contrasinais son as máis difíciles de recordar. Algúns usuarios desenvolven frases ou palabras compostas que teñen letras ao chou como iniciais de varias palabras. Outro xeito de elaborar contrasinais ao chou que sexan máis memorables é usar palabras ao chou ou sílabas no canto de letras ao chou.

Memorias persoais son recomendables en ocasións, é dicir, cousas que sexan memorables a unha persoa en particular, pero non para outras, por exemplo: o contrasinal et21cvpppv, é difícil de recordar, pero se deriva da frase "Eu tiña 21 cando visitei París por primeira vez", posiblemente fácil de recordar. Con todo, se a primeira visita a París foi un feito moi transcendente para un usuario en particular, pode ser posible que o contrasinal se adiviñe do coñecemento do usuario, e polo tanto este non sería unha opción sensata para utilizarse como contrasinal.

Segundo Bruce Schneier o contrasinal máis utilizada é password1.

Probabilidade que un contrasinal poida ser recordado

Os contrasinais máis seguros son longos, e con caracteres ao chou. Cun mesmo número de caracteres, o contrasinal é máis forte se inclúe unha mestura de maiúsculas e minúsculas, números, e outros símbolos (cando é permitido). Desafortunadamente, desde a perspectiva de seguridade, estes tipos de contrasinal son os máis difíciles de recordar.

O forzar aos usuarios a utilizar contrasinais creados 'ao chou' polo sistema, asegura que o contrasinal non terá conexión co usuario e polo tanto non poderá ser atopado en dicionario ningún. Varios sistemas operativos inclúen esta opción. Aínda que é proveitoso desde o punto de vista de seguridade, moitos usuarios evitan tales medidas e a cooperación do usuario é xeralmente esencial para un sistema de seguridade.

Os usuarios de computadoras son normalmente advertidos sobre "nunca escribir o contrasinal en ningures, sen importar que" e que "nunca usen o contrasinal para máis dunha conta". Estas declaracións, aínda que soan ben en teoría, ignoran a realidade de que un usuario de computadoras pode ter ducias de contas protexidas por contrasinal. Teñen a consecuencia involuntaria de que moitos usuarios seleccionan contrasinais débiles, ata para contas importantes, e terminan por utilizar o mesmo contrasinal en todas elas.

Se as contrasinais son escritas nalgún lugar para un posterior recordatorio, non se deben manter en lugares obvios como axendas, baixo os teclados, ou detrás de fotografías. A peor localización (pero a máis común), é nunha nota pegada na computadora. As caixas con cadeado para obxectos valiosos son unha mellor opción para o resgardo de información importante como as contrasinais. Existe software dispoñible para computadoras portables (palm, ou hand-held computers) que almacenan os contrasinal de numerosas contas dunha forma cifrada. Outra opción pode ser elixir un só contrasinal para contas de pouca importancia, e elixir contrasinais máis rigorosas para un menor número de aplicacións relevantes como as contas de banco en liña.

Nunha conferencia de seguridade en 2005, un experto de Microsoft declarou: "creo que a política sobre contrasinais debería dicir que vostedes deban escribir as súas contrasinais nalgún lugar para recordalas posteriormente. Eu teño 68 contrasinais diferentes. Se non se me permite escribilas nalgún lugar, adiviñen que é o que vou facer? Vou usar o mesmo contrasinal en cada unhas das miñas contas."

Xa sexa que fose peor utilizar contrasinais débiles fáciles ou contrasinais fortes pero que son escritas nalgún lugar visible, pode provocar un gran debate entre expertos. A seguridade práctica require a miúdo estar en balance entre os requisitos de conflito e factores humanos.

Probabilidade de que un contrasinal sexa descuberto

As contrasinais poden ser descubertas mediante navegación na rede, roubo, extorsión, violación, ameazas ou outros métodos. A procura nos colectores de lixo probou ser frutífera en situacións onde datos importantes son refugados sen suficiente precaución (como se probou recentemente co recente roubo de identidades). O número de caracteres dun contrasinal non só pode ser determinado ao espiar a pantalla do usuario senón tamén ao contar o número de clics ao teclear un contrasinal. Unha investigación publicada por IBM en 2004 mostra que cada tecla dun teclado ten un son distintivo, permitindo tonalizar datos, incluíndose as contrasinais, para que poidan ser recuperadas ao analizar gravacións dun dispositivo de son ou "bug".

O obter contrasinais mediante manipulación psicolóxica dos usuarios é un exemplo de enxeñería social. Un atacante pode telefonar a un usuario e dicir: "Ola, falámoslle de Control de Sistemas. Estamos facendo unha proba de seguridade. Pode proporcionarme o seu contrasinal para que poidamos proceder?" Os administradores de sistema e demais persoal de soporte técnico raramente necesitan coñecer o contrasinal dun usuario para poder realizar os seus traballos. Os administradores de sistema con privilexios de "raíz" ou ata superiores poden cambiar as contrasinais dos usuarios sen o seu permiso, así que non teñen necesidade de requirilas. Adicionalmente, estes evitasen pedir as contrasinais, precisamente porque estes non desexan crear o hábito de revelar as contrasinais a calquera.

Outras alternativas para control de acceso

Os numerosos xeitos nas que as contrasinais reusables poden comprometer a seguridade impulsou o desenvolvemento doutras técnicas. Desafortunadamente, ningunha converteuse tan dispoñible universalmente para os usuarios que buscan unha alternativa máis segura.

• Contrasinais dun só uso: Ter contrasinais que soamente son validas nunha ocasión fan que os ataques potenciais sexan ineficaces. Pero a maioría dos usuarios atopan as contrasinais dun só uso extremadamente inconvenientes. Estas con todo, foron implementadas extensivamente na banca persoal en liña, onde se lles coñece como TANs. Xa que a maioría dos usuarios só realizan un pequeno número de transaccións cada semana, o uso de contrasinais dun só uso non creou a insatisfacción dos usuarios nestes casos.
• Símbolos de Seguridade: son similares ás contrasinais dun só uso, pero o valor para ser ingresado é mostrado nun pequeno F.O.B. e este cambia cada minuto.
• Controis de Acceso: baséanse na criptografía pública dominante e.g. SSH. As claves necesarias son demasiado grandes para memorizar e deben almacenarse nunha computadora local, nun símbolo de seguridade ou nun dispositivo de memoria portable, tal como unha memoria flash ou un disco flexible.
• Métodos biométricos: permiten a autenticación baseándose en características persoais inalterables, aínda que na actualidade teñen altas taxas de erro e requiren hardware adicional para escáneo de trazos corporais, por exemplo, pegadas dixitais, iris ocular etc.

Notas

1. "Este Día Mundial de la Contraseña consideren deshacerse de las contraseñas por completo". News Center Microsoft Latinoamérica (en castelán). 5 de maio de 2022. Consultado o 30 de marzo de 2023. 

Véxase tamén

Outros artigos

• Hacker
• Criptografía