Blog Laboratorio Hispasec

Hace algún tiempo encontré un documento en el que abordaba este tema. El título es significativo:"Simple Formula for Strong Password". Podeis acceder a él en enlace http://www.sans.org/rr/whitepapers/authentication/1636.php

El administrador de ese sistema debe haber llorado de alegria al ver esta foto.......

Recuerdo un día un tio realizando una presentación sobre sistemas de SSO, explicando que las contraseñas eran un problema por que los usuarios no las recordaban y todo eso. El tio este trabajaba en una empresa de seguridad y... en su Mac portatil llevaba un post-it pegado con los datos de acceso al correo anotados: "servidor: XXXXX", "usuario correo: XXXXX" y "contraseña: XXXXX".

También recuerdo el caso de otro vendedor, también de una empresa de seguridad y que también utilizaba un Mac. Nadie supo que cambio había realizado en la configuración, pero cualquier mensaje que enviaba llevaba, como BCC la dirección de un cliente... este cliente recibia todos los mensajes, incluyendo las bromas, ofertas a otros clientes, datos en bruto de costes...

Mis usuarios son mas cachondos todavia, todo el departamento tiene la misma contraseña, asi si uno se olvida lo puede decir cualquiera de ellos, incluso la tienen puesta en la pizarra en una esquina, me llevo cada cabreo, cada vez que llaman por virus me dan ganas de decirles que se aguanten. Es que cualquiera puede acceder a esos ordenadores, es una guerra perdida.

No saben ni el nombre de usuario, como entre otro usuario en su ordenador te llaman diciendote que no les deja entrar que contraseña erronea.

En fin paciencia, saludos y enhorabuena por Carmen.

Anécdotas graciosas tenemos todos, y tras muchos años de experiencia he visto que cada vez que se añade un nivel más de seguridad (contraseñas complejas, caducidad con periodicidad corta de la contraseña, recertificación anual de accesos, etc...) los usuarios lo captan como una agresión y/o intromisión en su forma de trabajar con el resultado del consabido Post-It.

En algunas empresas se esta empezando a plantear el tema de la identificación biométrica, pero desde mi punto de vista de una forma que no soluciona el problema, ya que están sustituyendo el ID de usuario por, por ejemplo, la huella dactilar, manteniendo la contraseña como segundo elemento del actual binomio ID/Contraseña.

Yo entiendo que con el dato biométrico debería ser suficiente, aunque los puristas insisten en que uno de los elementos de la identificación debe ser memorizado. Cual será el resultado, la contraseña estará en un Post-It y no servirá para nada, aunque eso si, tendremos la seguridad de que el usuario identificado es quien debe ser, pero gracias tan sólo al elemento biométrico.

JLFT.-

Igual el tal CVC era un usuario con muchos privilegios, o no... pero en una epoca en la que me dedicaba a reparar hardware, en un centro comercial de cuyo nombre no quiero acordarme, recabé la siguiente información:

.- En la sala de equipos, NRI
.- En una mesa de un lechoncillo que estaba de vacaciones, que es donde me instalé para reparar la impresora, un postit de estos de 12x6 cm en el cual rezaba lo siguiente:" USUARIO: root CONTRASEÑA:123"

Secreta y robusta, como debe ser ;)

Ole los webos del usuario... ¡y del administrador!

Un saludo.
PAGB

Bueno no creo que sea una guerra perdida, todo es cuestión de paciencia, concienciación de los usuarios mediante formación sobre seguridad, sobre las consecuencias que puede tener y de vez en cuando dar algún que otro palo, pues el usuario que modifica un expediente es el que se queda registrado en el log, si ese usuario ha cedido su usuario y contraseña a otro, esa es su responsabilidad. Es como si le prestamos la tarjeta de crédito a alguien y luego le digamos al banco que porque nos falta dinero, que nos lo devuelva porque no hemos sido nosotros los que hemos sacado el dinero. Como decía Cdaae paciencia y no desesperar, poco a poco se van consiguiendo cosas.

Un saludo a todos.

En mi estancia currando de becario en una universidad de cuyo nombre tampoco quiero acordarme... un joven y riguroso profesor, conocido por lo estrictos de sus métodos, dio aviso de que le cambiaran el teclado que tenía estropeado...

En mi turno, viene todo sudoroso al despacho y pregunta qué hacemos con los teclados rotos.
--->> basura En mi estancia currando de becario en una universidad de cuyo nombre tampoco quiero acordarme... un joven y riguroso profesor, conocido por lo estrictos de sus métodos, dio aviso de que le cambiaran el teclado que tenía estropeado...

En mi turno, viene todo sudoroso al despacho y pregunta qué hacemos con los teclados rotos.
--->> basura

uis, problemas por no ver la previa. SORRY

Decia... que vino a buscar el teclado y lo encontró en la chatarra, tenía
detrás un monton de postit con el mail, banco, messenger, iberia...

Es ingeniero Informático ahí donde le vemos.

salu2 y disculpas por el comentario defectuso de antes.

Creo recordar que hace unos meses un importante directivo de Ms reconocio que lo mejor era escribir las contraseñas en papel.....

El problema que yo le veo al tema de las contraseñas, es que para nosotros es facil (o relativamente facil recordar) unas cuantas contraseñas, ya que el usuario suele ser admin, root o algo similar....... pero para el usuario final.. es cosa distinta....

En donde yo trabajo hay muchos sistemas diferentes y cada uno tiene uno usuario y una contraseña diferente.... y esto es porque las competencias de cada sistema son diferentes y las reglas de contraseñas y usuarios son diferentes.

Si eres un usuario, al cual la seguridad le da igual, solo es un estorbo, y te dicen que para iniciar tu sesion de windows el usuario es pepe y tu clave pepe1, que para el correo es pepe@dominio y la contraseña es pepe123, que para la intranet tu usuario es ppp y tu clave marzo, que para el banco tu usuario es 123455 y la contraseña 1234 y la operativa 389rhfe..... te vuelves loco.

Asi que estiendo perfectamente a los usuarios.......¿quien no tiene apuntada alguna contraseña en papel?....

Si, puedo entenderlo, pero no lo comparto, y es la guerra de siempre...

A mí me gusta establecer paralelismos entre el mundo real y el mundo de las redes y seguridad informática en general. A ver. Si un usuario usa una contraseña débil y la repite en todas las máquinas, es como si pone todas las cerraduras (casa, coche, trastero, cajones, y todo lo que se os ocurra) iguales, y no contento con eso, en vez de usar cerraduras y llaves seguras, la llave consiste en una barra sin dientes o con un diente. ¿A que es una barbaridad?

La solución es educar a los usuarios, pero también y sobre todo responsabilizarles de lo que se haga usando su nombre de usuario. Y además, si algo pasa, aplicar al usuario en cuestión la penalización que corresponda para que otros escarmienten en cabeza ajena.

Se que es un tostón, pero para mi es igual de tostón llevar en el bolsillo 8 llaves distintas y sin embargo me aguanto. Y sólo está en juego mi patrimonio, no el de los demás.

Y si, vale, mi punto de vista es el de responsable de administración (y antes administrador) de varias máquinas...

¡Y usuario normal y corriente de muchas otras!

¿Os acordáis del follón de la Comunidad de Madrid, Tamayo, y la lista de llamadas efectuadas por algunos de los implicados? El acusado de proporcionar las listas de llamadas alegó eso de "es que alguien usó mi usuario" Pues bien empleado le está, por "pasota" (en el mal sentido) :)

Un saludo,
PAGB

Al hilo de lo que comentais sobre la cantidad de contraseñas que hay que manejar hoy día, estaría bien recomendarles a los usuarios algún gestor de contraseñas. Xavi publicó una una-al-dia sobre este tema http://www.hispasec.com/unaaldia/2064

Claro, que para utilizar el gestor de contraseñas hay que entrar al PC (probablemente ya tengas que meter una contraseña), y después meter la propia contraseña para abrir el gestor... ya van dos ;)

Otro handicap es que necesitas contraseñas para los cajeros automáticos... casi que mejor sería tener el gestor de contraseñas en el móvil, que solemos llevarlo más a mano, de hecho he visto alguna utilidad en ese sentido para Symbian.

También comentais el tema de la facilidad con que los usuarios comparten las contraseñas. Además de la formación/concienciación, que nunca sobra, he visto casos en los que al final se ha implantado mecanismos de autenticación basándose en objetos "preciados" para los usuarios.

Con lo de "preciados" no me refiero a que sean joyas ;), sino que los usuarios no se quieren desprender de ellos ni prestarlos. Por ejemplo, se han montado tarjetas de acceso que además eran tarjetas de crédito.
Ese principio podría aplicarse al DNI digital, es algo que sueles llevar encima, que normalmente (remarco lo de normalmente) no pierdes, ni tampoco se suele prestar ni compartir.

En mi empresa el 90% de los usuarios tienen de contraseña la misma que el usuario o el nombre de la empresa. Y para hacer las cosas mas faciles, no es que dejen un folio A4 con las contraseñas.. tienen una pizarra de 2metros de ancho x 1 de alto, donde tienen cada uno de los usuarios y sus correspondientes contraseñas escritas en rotulador y segun las cambian, ya como costumbre, lo actualizan en la pizarra (para que cambiar la contraseña entonces?).

La verdad es que esto de las contraseñas es un buen tema para escribir un libro. Seguro que todos tenemos miles de historias que contar.

En mi caso, cada vez que estoy arreglando un equipo y le digo al usuario: "Por favor, pon aquí tu contraseña de correo y dale a aceptar" En ese momento me doy la vuelta para no tener la tentación de verla. Y va el usuario y me espeta tan tranquilamente: "Ponla tu, es xxxx, si yo no tengo nada esconder, sólo es el correo"

Como podeís suponer, mi cara en ese momento es todo un poema. Menos mal que uno es honrado y se autolava la memoria de vez en cuando.

Sin comentarios

Cesar, un muy buen amigo mio contaba:

"En mi oficina había una programadora que nunca se acordaba cual era su contraseña .... cada mañana, cuando encendía su computadora, hacía la misma pregunta y en voz alta: ¿cual es mi contraseña?. Todos, en coro y en voz alta respondián: XXXX..."

..siempre tuve coriosidad por conocerla.

Qué maravillosos recuerdos! me ha alegrado el día leyendo los hilos referentes a la seguridad de las contraseñas, ya que todos esos casos se me han dado en mi labor profesional.

Desde hace unos añitos llevo dedicándome a instalar los Terminal Services a servicios oficiales de automoción en su gran mayoría de una marca que mantengo en el anonimato. Y si es difícil que el usuario de "oficina" el cual suele ser el "Ser" que posee una mayor inteligencia para hacer frente a este tipo de problemas, imaginen el animalito de bellota armado con llave inglesa, martillo y su mono de grasa cuando le pones delante de una conexión TS para fichar su jornada de trabajo o buscar la nota técnica de fabrica.

En muchos talleres tuve que migrar al 2003 debido que ya todos empezaron a usar solo la misma contraseña para acceder al servidor no pudiendo luego controlar quien hizo qué o quién lo rompió ya que los 8, 10 ó 20 usuarios están solo con una clave para usar el TS. Eso sin contar luego con los "Listos" que se pasan días enteros intentando saltarse la seguridad del servidor para instalarse el jueguecito de turno, o su programita de p2p o mirar las fotos de Pamela Anderson.

En fin, como ya se ha dicho hay que armarse de paciencia y de vez en cuando (solo si es necesario) dar un pequeño susto a los usuarios para que escarmienten y se mentalicen de estas reglas básicas. ;)