Cada día, cuando encemos nuestro PC en la empresa encontramos una pantalla de bienvenida en la que se nos solicita que introduzcamos nuestro usuario y nuestro password, si no es así y no hay otro tipo de mecanismo de autenticación, basado en biométría o en tarjeta inteligente, o en cualquier otro método, mal vamos.
Lo cierto es que nos hemos acostumbrado a este método de autenticación y se nos ha hecho tan familiar que lo tenemos presente en nuestro DNI-electrónico, en las tarjetas de los bancos, en los portales de trasnferencias bancarias, en el acceso a páginas web con contenidos restringidos a usuarios registrados, en el correo electrónico, etc, etc, etc.
Tanto nombre de usuario y password ha dado lugar a que estas cuentas de usuario deban ser administradas, necesidad que así recoge la ISO 27001 en los 3 primeros controles pertenecientes al objetivo de control 11.5 "Prevenir el acceso no autorizado a los sitemas operativos". Si bien, lo que me gustaría recalcar en este post es la inmensa cantidad de passwords y cuentas de usuario que tenemos repartidas por internet y los problemas que esto puede generar, entre los que podemos encontrar:
- Pérdida de password: "aquí me registré, pero no me acuerdo ni del nombre de usuario y mucho menos del password".
- Mismo password y nombre de usuario en todos sitios: "estoy harto de tener que registrarme, voy a poner usuairo 'otrah' y password '1234' y además lo voy a emplear en todas partes.
- Password débiles: "cada vez que tengo que acceder a cualquier parte tengo que estar metiendo el password, voy a poner uno facilito y así me acuerdo, por ejemplo, 'Miguel'.
A todo lo anterior hay que unirle que cada vez son más los sitios en los que necesitamos realizar un registro. ¿Cual es el resutlado? como comentábamos anteriormente, acabamos utilizando el mismo nombre de usuario y password en todos sitios, nuestras cuentas de correo, el foro al que accedemos de vez en cuando y la página a la que acudimos una vez en busca de la solución a nuestro problema, en algunos casos incluso la misma que tenemos para acceder a nuestro sistema. Las últimas cifras hablan del 33%. Para prevenir esto podemos hacer uso de la herramienta keepass.
Esta herramienta es un gestor de contraseñas que nos permite almacenar en una base de datos de forma cifrada todas nuestras cuentas de usuario (nombre de usuario y password). Para poder acceder a esta información se utiliza un password maestro o un fichero clave.
Cada vez que accedemos a un sitio podemos introducir una nueva entrada en la aplicación con la URL en donde se encuentra nuestra cuenta, nuestro usuario y nuestro password, incluso podemos pedirle que nos genere uno con determinada fortaleza de forma que garantizamos que el password es robusto y posteriormente lo introducimos en la página de registro en el momento de creación de la cuenta. Las entradas quedan ahí almacenadas y cuando al cabo del tiempo entras a una página en al que tienes una cuenta, keepass te avisa de que allí tienes ya una cuenta creada ;).
Keepass es una solución opensource y muy práctica para gestionar los numerosos passwords que tenemos repartidos por el mundo.
En un post futuro ahondaremos desde el punto de vista organizacional en cómo resulta de imprescindible una buena administración de contraseñas.
PD: Lamento la tardanza en actualizar pero he tenido algún que otro problema (leve eso si).
martes, 17 de marzo de 2009
Las copias... de tus passwords
Suscribirse a:
Enviar comentarios (Atom)
3 comentarios:
Me alegra que el problema sea leve..
Por cierto, ese programa del que hablas, consume muchos recursos? necesita tener una base de datos por debajo?, ¿actua al estilo delicious (es decir como un plugin en tu navegador)?
Yo soy de los de la misma en todos sitios...
Saludos!!
Hasta donde yo lo he probado, no consume muchos recursos, se queda alojado en el systray y es bastante considerado con el sistemas.
Si tiene la opción de integrarse con el navegador si bien yo esta opción no la he llegado a probar.
Con respecto a la base de datos, no hace falta instalar nada más por debajo. Él crea un fichero con su extensión propia y lo usa como almacén de datos. De este fichero no se puede recuperar contenido ya que se encuentra cifrado con AES.
Gracias por tus comentarios.
Un saludo :)
Publicar un comentario