Consejos útiles para tus claves
Diariamente hay miles de intentos para conseguir entrar en dominios, cuentas de correo y paneles de control. Estos intentos, en su gran mayoría, se producen por “brute force” (fuerza bruta) probando combinaciones de usuarios y claves.
- ¿En qué consisten?
La técnica no es más que probar, probar y volver a probar, desde los más sofisticados scrips automáticos (generando combinaciones de palabras en el diccionario o algunas de las más habituales como admin, god, pass, el mismo nombre del dominio, etc) hasta los intentos “a mano” de ir probando poco a poco.
- ¿Es una amenaza real?
Estos intentos en determinados sitios con control de seguridad no tienen casi ninguna posibilidad de éxito, ya que al tercer intento fallido se le bloquea el acceso durante un tiempo determinado,etc. Pero en el caso de las cuentas de correo hay muchos casos en los que si han tenido éxito. Las claves de FTP también están comprometidas, pero es un poco más complicado porque han de acertar el usuario también (aunque hay veces que no es mucho más difícil).
*No comprometa la seguridad de su dominio*
Se tarda muy poco en poner una clave segura que podría evitar muchos disgustos a los usuarios de un dominio o una cuenta de correo. Es un pequeño detalle lleno de importancia, una buena política de seguridad no cuesta nada. ¿Cuántas veces ha usado una palabra del diccionario para poner una clave? Cada vez que lo haya hecho ha dado posibilidad a alguien para entrar en sus cuentas.
*Algunos consejos muy fáciles de seguir y bastante efectivos* (por supuesto se pueden usar métodos más complejos, pero esto será suficiente para una seguridad media):
1.- NUNCA use palabras que estén en el diccionario, ni que sea el mismo nombre del
dominio, ni que sea el nombre de la persona que use esa cuenta y, por supuesto, nunca
menos de 6 caracteres.
2.- No guarde las claves en un fichero. En caso de ser necesario guardar las claves,
hacerlo siempre en un lugar bajo llave.
3.- Si usa un gestor de correo (ej: Outlook): Vacíe la papelera si borra ficheros con claves,
no guarde claves en él, ya que la seguridad de este gestor será lo único que necesitarán
saltar para entrar a sus cuentas.
4.- Si puede usar GnuPG o PGP para cifrar sus correos, mucho mejor.
5.- Usar reglas nemotécnicas para no tener que apuntarlas. Nuestros consejo para generar claves:
Un buen sistema para crear claves fácilmente, es el de hacer una pequeña frase con letras y números, por ejemplo (esta clave ya no es segura al ser un ejemplo):
No me fío nada-> N0M3F10N4d4:
Esta clave “leída” puede ser como nuestra frase, pero es una clave en la que se combinan mayúsculas, minúsculas y las vocales que han sido cambiadas a números.
Para terminar, el signo de puntuación “:” le aportará un poco más de seguridad, ya que estos rara vez se incluyen en los scripts de fuerza bruta. Sin duda una clave bastante segura, pero fácil de recordar. (Véase que la primera letra de las palabras es mayúscula y las demás minúscula)
6.- Evitar las claves cortas. Es muy frecuente que se usen claves cortas, teniendo cierto rechazo por una clave de más de 10 caracteres. Cada letra que se añada, cada símbolo, cada cambio de mayúscula a minúscula, acarrea un enorme aumento de seguridad. La clave “MisDominios->AlojaliA.com” es segura y sencilla.
Espero que este texto sea de utilidad... y que se ponga en práctica ;)