Al conectarse a un sistema informático, generalmente se debe ingresar: un nombre de registro o nombre de usuario y una contraseña para acceder. Este par nombre de registro/contraseña forma la clave para tener acceso al sistema.
Mientras que al nombre de registro generalmente lo brinda el sistema o el administrador de forma automática, el usuario casi siempre tiene la libertad de elegir la contraseña. La mayoría de los usuarios, como piensan que no tienen ninguna información secreta que proteger, usan una contraseña fácil de recordar (por ejemplo, su nombre de registro, el nombre de su pareja o su fecha de nacimiento).
Y aunque los datos en la cuenta de un usuario puedan no ser estratégicos, tener acceso a la cuenta puede significar una puerta abierta a todo el sistema. Cuando un hacker tiene acceso a la cuenta de un equipo, puede extender su campo de acción al obtener la lista de usuarios autorizados a conectarse al equipo. Un hacker puede probar un gran número de contraseñas generadas al azar con herramientas destinadas a tal fin o con un diccionario (o puede combinar ambos). Si consigue la contraseña del administrador, obtiene todos los permisos sobre el equipo.
Además, es posible que el hacker tenga acceso a la red local desde la red de un equipo, lo que significa que puede trazar un mapa de los otros servidores al trabajar desde el equipo al que tiene acceso.
Las contraseñas de los usuarios son la primera línea de defensa contra los ataques, por eso es necesario definir una política de contraseñas para que los usuarios elijan contraseñas lo suficientemente seguras.
Muchos sistemas están configurados para bloquear transitoriamente la cuenta de un usuario después de haber intentado conectarse sin éxito una cierta cantidad de veces. En consecuencia, es difícil para un hacker infiltrarse en un sistema de esta manera.
Sin embargo, puede usar este mecanismo de autodefensa para bloquear todas las cuentas de usuario para accionar una denegación de servicio.
En la mayoría de los sistemas, las contraseñas se guardan cifradas en un archivo o una base de datos.
Sin embargo, si un hacker tiene acceso al sistema y a este archivo, puede tratar de craquear una contraseña de usuario en particular o las contraseñas de todas las cuentas de usuario.
El término "ataque de fuerza bruta" se usa para referirse al craqueo de una contraseña al probar todas las posibles combinaciones. Existe una variedad de herramientas para todos los sistemas operativos que permite realizar este tipo de procedimiento. Los administradores de sistema usan estas herramientas para probar la solidez de sus contraseñas de usuario, pero a veces los hackers las usurpan para infiltrarse en sus sistemas informáticos.
Las herramientas para el ataque de fuerza pueden demorar horas o hasta días de cálculos, incluso con equipos que cuentan con potentes procesadores. Una solución alternativa es llevar a cabo un "ataque de diccionario". En la práctica, los usuarios generalmente eligen contraseñas que tengan un significado. Con este tipo de ataque, tales contraseñas se pueden craquear en sólo unos minutos.
El último ataque de este tipo, el "ataque híbrido", específicamente apunta a contraseñas compuestas por una palabra tradicional seguida de un número o una letra (como "marshal6"). Es una combinación entre el ataque de fuerza bruta y el de diccionario.
Existen métodos que también permiten que un hacker obtenga contraseñas de usuario:
Mientras más larga sea la contraseña, más difícil será craquearla. Asimismo, una contraseña compuesta sólo por números será mucho más fácil de craquear que una que contenga letras:
Una contraseña de 4 números corresponde a 10.000 posibilidades (104). Aunque esta cifra parezca elevada, un ordenador equipado con una configuración modesta puede craquearla en cuestión de minutos.
Es conveniente usar una contraseña de 4 letras, para la que existen 456.972 posibilidades (264). Con esta misma lógica, una contraseña que combine números y letras o que use mayúsculas y caracteres especiales, será aun más difícil de craquear.
Evite las siguientes contraseñas:
El acceso a la cuenta de un solo empleado de una empresa puede poner en riesgo la seguridad general de toda la organización. Por lo tanto, todas las empresas que deseen garantizar un nivel de seguridad óptimo deben establecer una verdadera política de protección de contraseña. Esto implica, particularmente, que los empleados elijan las contraseñas a partir de ciertos requisitos, por ejemplo:
Además, se puede afianzar la política de seguridad si se pone una fecha de expiración en las contraseñas para hacer que los usuarios las modifiquen periódicamente. Esto dificulta el trabajo de los hackers que tratan de craquear las contraseñas con el correr del tiempo. También es una excelente forma de limitar la duración de la contraseña craqueada.
Por último, es aconsejable que los administradores usen software que craquea contraseñas en sus contraseñas de usuario para probar su solidez. Sin embargo, se debe hacer dentro del marco de la política de protección y con discreción para tener el apoyo de la gerencia y los usuarios.
No es bueno tener sólo una contraseña, como tampoco es bueno usar en su tarjeta bancaria el mismo código que usa para su teléfono móvil y para la entrada a su edificio.
En consecuencia, es aconsejable tener varias contraseñas para cada categoría de uso, dependiendo de la confidencialidad de los secretos que proteja. Por lo tanto, el código de su tarjeta bancaria sólo debe usarse para ese propósito. Sin embargo, puede usar el mismo código PIN que usa en su teléfono para el candado de una maleta.
De la misma manera, si se subscribe a un servicio en línea que solicita una dirección de correo electrónico (por ejemplo, el boletín de noticias de Kioskea), se recomienda que no elija la misma contraseña que usa para esta dirección de mensajería ya que un administrador inescrupuloso podría acceder fácilmente a su vida privada.