Contraseña

Se utiliza para la autenticación del usuario para demostrar la identidad o la aprobación del acceso.

Un campo de contraseña en un formulario de inicio de sesión

Una contraseña , a veces denominada código de acceso , son datos secretos, normalmente una cadena de caracteres, que normalmente se utilizan para confirmar la identidad de un usuario. Tradicionalmente, se esperaba que las contraseñas se memorizaran, ^[1] pero la gran cantidad de servicios protegidos con contraseña a los que accede un individuo típico puede hacer que la memorización de contraseñas únicas para cada servicio sea poco práctica. ^[2] Utilizando la terminología de las Pautas de identidad digital del NIST, ^[3] el secreto lo mantiene una parte llamada reclamante , mientras que la parte que verifica la identidad del reclamante se llama verificador . Cuando el reclamante demuestra con éxito el conocimiento de la contraseña al verificador a través de un protocolo de autenticación establecido , ^[4] el verificador puede inferir la identidad del reclamante.

En general, una contraseña es una cadena arbitraria de caracteres que incluye letras, dígitos u otros símbolos. Si los caracteres permitidos se limitan a ser numéricos, el secreto correspondiente a veces se denomina número de identificación personal (PIN).

A pesar de su nombre, una contraseña no necesita ser una palabra real; de hecho, una palabra que no es palabra (en el sentido del diccionario) puede ser más difícil de adivinar, lo cual es una propiedad deseable de las contraseñas. Un secreto memorizado que consta de una secuencia de palabras u otro texto separado por espacios a veces se denomina frase de contraseña . Una frase de contraseña es similar en uso a una contraseña, pero la primera generalmente es más larga para mayor seguridad. ^[5]

Historia

Las contraseñas se han utilizado desde la antigüedad. Los centinelas desafiarían a aquellos que desearan ingresar a un área a proporcionar una contraseña o consigna , y solo permitirían el paso a una persona o grupo si conocieran la contraseña. Polibio describe el sistema para la distribución de consignas en el ejército romano de la siguiente manera:

La manera como consiguen el paso de la consigna de la noche es la siguiente: del décimo manípulo de cada clase de infantería y caballería, el manípulo que está acampado en el extremo inferior de la calle, se escoge un hombre que es relevado de su servicio de guardia, y asiste todos los días al atardecer a la tienda del tribuno , y recibiendo de él la consigna, que es una tablilla de madera con la palabra escrita en ella, se despide y, al regresar a su alojamiento, pasa a la consigna y la tablilla ante testigos al comandante del siguiente manípulo, quien a su vez se la pasa al que está a su lado. Todos hacen lo mismo hasta llegar a los primeros manípulos, los que acampaban cerca de las tiendas de los tribunos. Estos últimos están obligados a entregar la tablilla a las tribunas antes de que oscurezca. De modo que si todos los expedidos son devueltos, el tribuno sabe que la consigna ha sido dada a todos los manípulos, y ha pasado por todos en su camino de regreso a él. Si alguno de ellos falta, inmediatamente lo investiga, pues sabe por las marcas de qué parte no ha regresado la tablilla, y el responsable de la interrupción recibe el castigo que merece. ^[6]

Las contraseñas de uso militar evolucionaron para incluir no sólo una contraseña, sino una contraseña y una contracontraseña; por ejemplo, en los primeros días de la Batalla de Normandía , los paracaidistas de la 101.ª División Aerotransportada de EE. UU. utilizaron una contraseña ( flash ) que se presentó como un desafío y respondieron con la respuesta correcta: trueno . El desafío y la respuesta se cambiaron cada tres días. Los paracaidistas estadounidenses también utilizaron un dispositivo conocido como "grillo" el Día D en lugar de un sistema de contraseña como método de identificación temporalmente único; un clic metálico dado por el dispositivo en lugar de una contraseña debía recibir dos clics como respuesta. ^[7]

Las contraseñas se han utilizado con las computadoras desde los primeros días de la informática. El Sistema de tiempo compartido compatible (CTSS), un sistema operativo introducido en el MIT en 1961, fue el primer sistema informático en implementar el inicio de sesión con contraseña. ^{[8] [9]} CTSS tenía un comando LOGIN que solicitaba una contraseña de usuario. "Después de escribir la CONTRASEÑA, el sistema apaga el mecanismo de impresión, si es posible, para que el usuario pueda escribir su contraseña con privacidad." ^[10] A principios de la década de 1970, Robert Morris desarrolló un sistema para almacenar contraseñas de inicio de sesión en formato hash como parte del sistema operativo Unix . El sistema se basó en una máquina criptográfica de rotor Hagelin simulada y apareció por primera vez en la sexta edición de Unix en 1974. Una versión posterior de su algoritmo, conocida como crypt(3) , utilizó una sal de 12 bits e invocó una forma modificada del DES. algoritmo 25 veces para reducir el riesgo de ataques de diccionario precalculados . ^[11]

En los tiempos modernos, las personas suelen utilizar nombres de usuario y contraseñas durante un proceso de inicio de sesión que controla el acceso a sistemas operativos informáticos protegidos , teléfonos móviles , decodificadores de televisión por cable , cajeros automáticos (ATM), etc. Un usuario típico de computadora tiene contraseñas para para muchos propósitos: iniciar sesión en cuentas, recuperar correos electrónicos , acceder a aplicaciones, bases de datos, redes, sitios web e incluso leer el periódico matutino en línea.

Elegir una contraseña segura y memorable

Cuanto más fácil sea recordar una contraseña para el propietario, generalmente significa que será más fácil de adivinar para un atacante . ^[12] Sin embargo, las contraseñas que son difíciles de recordar también pueden reducir la seguridad de un sistema porque (a) los usuarios podrían necesitar escribir o almacenar electrónicamente la contraseña, (b) los usuarios necesitarán restablecer la contraseña con frecuencia y (c) los usuarios Es más probable que reutilice la misma contraseña en diferentes cuentas. De manera similar, cuanto más estrictos sean los requisitos de contraseña, como "tener una combinación de letras y dígitos mayúsculas y minúsculas" o "cambiarla mensualmente", mayor será el grado en que los usuarios subvertirán el sistema. ^[13] Otros argumentan que las contraseñas más largas proporcionan más seguridad (por ejemplo, entropía ) que las contraseñas más cortas con una amplia variedad de caracteres. ^[14]

En La memorabilidad y seguridad de las contraseñas , ^[15] Jeff Yan et al. examinar el efecto de los consejos dados a los usuarios sobre una buena elección de contraseña. Descubrieron que las contraseñas basadas en pensar en una frase y tomar la primera letra de cada palabra son tan memorables como las contraseñas seleccionadas ingenuamente, y tan difíciles de descifrar como las contraseñas generadas aleatoriamente.

Combinar dos o más palabras no relacionadas y alterar algunas de las letras a caracteres especiales o números es otro buen método, ^[16] pero una sola palabra del diccionario no lo es. Tener un algoritmo diseñado personalmente para generar contraseñas oscuras es otro buen método. ^[17]

Sin embargo, pedir a los usuarios que recuerden una contraseña que consta de una "mezcla de caracteres en mayúsculas y minúsculas" es similar a pedirles que recuerden una secuencia de bits: difícil de recordar y sólo un poco más difícil de descifrar (por ejemplo, sólo 128 veces más difícil de descifrar). crack para contraseñas de 7 letras, menos si el usuario simplemente escribe en mayúscula una de las letras). Pedir a los usuarios que utilicen "tanto letras como dígitos" a menudo conducirá a sustituciones fáciles de adivinar, como 'E' → '3' y 'I' → '1', sustituciones que son bien conocidas por los atacantes. De manera similar, escribir la contraseña una fila del teclado más arriba es un truco común conocido por los atacantes. ^[18]

En 2013, Google publicó una lista de los tipos de contraseñas más comunes, todas las cuales se consideran inseguras porque son demasiado fáciles de adivinar (especialmente después de investigar a un individuo en las redes sociales), que incluye: [19 ^]

• El nombre de una mascota, niño, miembro de la familia u otra persona importante.
• Fechas de aniversario y cumpleaños.
• Lugar de nacimiento
• Nombre de una fiesta favorita
• Algo relacionado con un equipo deportivo favorito.
• La palabra "contraseña"

Alternativas a la memorización

El consejo tradicional de memorizar contraseñas y nunca escribirlas se ha convertido en un desafío debido a la gran cantidad de contraseñas que se espera que mantengan los usuarios de computadoras e Internet. Una encuesta concluyó que el usuario medio tiene alrededor de 100 contraseñas. ^[2] Para gestionar la proliferación de contraseñas, algunos usuarios emplean la misma contraseña para varias cuentas, una práctica peligrosa ya que una violación de datos en una cuenta podría comprometer el resto. Las alternativas menos riesgosas incluyen el uso de administradores de contraseñas , sistemas de inicio de sesión único y simplemente mantener listas en papel de contraseñas menos críticas. ^[20] Estas prácticas pueden reducir el número de contraseñas que deben memorizarse, como la contraseña maestra del administrador de contraseñas, a un número más manejable.

Factores en la seguridad de un sistema de contraseñas

La seguridad de un sistema protegido con contraseña depende de varios factores. El sistema general debe estar diseñado para ofrecer una seguridad sólida, con protección contra virus informáticos , ataques de intermediarios y similares. Los problemas de seguridad física también son motivo de preocupación, desde disuadir la navegación desde el hombro hasta amenazas físicas más sofisticadas, como cámaras de vídeo y rastreadores de teclado. Las contraseñas deben elegirse de manera que sean difíciles de adivinar para un atacante y difíciles de descubrir utilizando cualquiera de los esquemas de ataque automático disponibles. Consulte seguridad de la contraseña y seguridad informática para obtener más información. ^[21]

Hoy en día, es una práctica común que los sistemas informáticos oculten las contraseñas a medida que se escriben. El objetivo de esta medida es evitar que personas cercanas lean la contraseña; sin embargo, algunos argumentan que esta práctica puede provocar errores y estrés, lo que anima a los usuarios a elegir contraseñas débiles. Como alternativa, los usuarios deberían tener la opción de mostrar u ocultar contraseñas a medida que las escriben. ^[21]

Las disposiciones efectivas de control de acceso pueden imponer medidas extremas a los delincuentes que buscan adquirir una contraseña o un token biométrico. ^[22] Medidas menos extremas incluyen la extorsión , el criptoanálisis con mangueras de goma y el ataque por canal lateral .

A continuación se presentan algunos problemas específicos de administración de contraseñas que se deben considerar al pensar, elegir y manejar una contraseña.

Tasa a la que un atacante puede intentar adivinar contraseñas

La velocidad a la que un atacante puede enviar contraseñas adivinadas al sistema es un factor clave para determinar la seguridad del sistema. Algunos sistemas imponen un tiempo de espera de varios segundos después de un pequeño número (por ejemplo, tres) de intentos fallidos de ingreso de contraseña, lo que también se conoce como limitación. ^{[3] : 63B Sec 5.2.2} En ausencia de otras vulnerabilidades, dichos sistemas pueden ser efectivamente seguros con contraseñas relativamente simples si han sido bien elegidas y no son fáciles de adivinar. ^[23]

Muchos sistemas almacenan un hash criptográfico de la contraseña. Si un atacante obtiene acceso al archivo de contraseñas hash, se puede adivinar sin conexión, probando rápidamente las contraseñas candidatas con el valor hash de la contraseña verdadera. En el ejemplo de un servidor web, un atacante en línea sólo puede adivinar la velocidad a la que responderá el servidor, mientras que un atacante fuera de línea (que obtiene acceso al archivo) puede adivinar una velocidad limitada únicamente por el hardware del servidor. cuál se está ejecutando el ataque y la fuerza del algoritmo utilizado para crear el hash.

Las contraseñas que se utilizan para generar claves criptográficas (por ejemplo, para cifrado de disco o seguridad Wi-Fi ) también pueden estar sujetas a una alta tasa de adivinanzas. Las listas de contraseñas comunes están ampliamente disponibles y pueden hacer que los ataques a contraseñas sean muy eficientes. (Consulte Descifrar contraseñas ). La seguridad en tales situaciones depende del uso de contraseñas o frases de contraseña de complejidad adecuada, lo que hace que dicho ataque sea computacionalmente inviable para el atacante. Algunos sistemas, como PGP y Wi-Fi WPA , aplican un hash de cálculo intensivo a la contraseña para frenar dichos ataques. Ver estiramiento clave .

Límites en el número de intentos de contraseña

Una alternativa para limitar la velocidad a la que un atacante puede adivinar una contraseña es limitar el número total de conjeturas que se pueden realizar. La contraseña se puede desactivar, lo que requiere un restablecimiento, después de un pequeño número de intentos fallidos consecutivos (por ejemplo, 5); y es posible que se solicite al usuario que cambie la contraseña después de un mayor número acumulativo de conjeturas erróneas (por ejemplo, 30), para evitar que un atacante haga una cantidad arbitrariamente grande de conjeturas erróneas intercalándolas entre conjeturas correctas realizadas por el propietario legítimo de la contraseña. ^[24] Los atacantes pueden, por el contrario, utilizar el conocimiento de esta mitigación para implementar un ataque de denegación de servicio contra el usuario al bloquear intencionalmente al usuario fuera de su propio dispositivo; esta denegación de servicio puede abrir otras vías para que el atacante manipule la situación en su beneficio mediante la ingeniería social .

Forma de contraseñas almacenadas

Algunos sistemas informáticos almacenan las contraseñas de los usuarios como texto sin formato , con el que se comparan los intentos de inicio de sesión de los usuarios. Si un atacante obtiene acceso a dicho almacén interno de contraseñas, todas las contraseñas (y, por tanto, todas las cuentas de usuario) se verán comprometidas. Si algunos usuarios emplean la misma contraseña para cuentas en diferentes sistemas, esos también se verán comprometidos.

Los sistemas más seguros almacenan cada contraseña en un formato protegido criptográficamente, por lo que el acceso a la contraseña real seguirá siendo difícil para un fisgón que obtenga acceso interno al sistema, mientras que la validación de los intentos de acceso del usuario sigue siendo posible. Las más seguras no almacenan contraseñas en absoluto, sino una derivación unidireccional, como un polinomio , un módulo o una función hash avanzada . ^[14] Roger Needham inventó el enfoque ahora común de almacenar sólo una forma "hash" de la contraseña en texto plano. ^{[25] [26]} Cuando un usuario ingresa una contraseña en dicho sistema, el software de manejo de contraseñas se ejecuta a través de un algoritmo hash criptográfico, y si el valor hash generado a partir de la entrada del usuario coincide con el hash almacenado en la base de datos de contraseñas, el usuario está permitido el acceso. El valor hash se crea aplicando una función hash criptográfica a una cadena que consta de la contraseña enviada y, en muchas implementaciones, otro valor conocido como salt . Una sal evita que los atacantes creen fácilmente una lista de valores hash para contraseñas comunes y evita que los esfuerzos de descifrado de contraseñas se amplíen entre todos los usuarios. ^[27] MD5 y SHA1 son funciones hash criptográficas de uso frecuente, pero no se recomiendan para el hash de contraseñas a menos que se utilicen como parte de una construcción más grande, como en PBKDF2 . ^[28]

Los datos almacenados, a veces llamados "verificador de contraseñas" o "hash de contraseña", a menudo se almacenan en formato Modular Crypt o formato hash RFC 2307, a veces en el archivo /etc/passwd o /etc/shadow . ^[29]

Los principales métodos de almacenamiento de contraseñas son texto sin formato, hash, hash y salado y cifrado reversible. ^[30] Si un atacante obtiene acceso al archivo de contraseñas, entonces, si se almacena como texto sin formato, no es necesario descifrarlo. Si está hash pero no salado, entonces es vulnerable a los ataques de la tabla arcoíris (que son más eficientes que el craqueo). Si está cifrado de forma reversible, si el atacante obtiene la clave de descifrado junto con el archivo, no es necesario descifrarlo, mientras que si no logra obtener la clave, no es posible descifrarlo. Por lo tanto, de los formatos de almacenamiento comunes para contraseñas, solo cuando las contraseñas han sido saladas y codificadas es necesario y posible descifrarlo. ^[30]

Si una función hash criptográfica está bien diseñada, es computacionalmente inviable revertir la función para recuperar una contraseña de texto sin formato . Sin embargo, un atacante puede utilizar herramientas ampliamente disponibles para intentar adivinar las contraseñas. Estas herramientas funcionan mediante hash de posibles contraseñas y comparando el resultado de cada suposición con los hashes de contraseñas reales. Si el atacante encuentra una coincidencia, sabrá que su suposición es la contraseña real del usuario asociado. Las herramientas para descifrar contraseñas pueden funcionar mediante fuerza bruta (es decir, probando todas las combinaciones posibles de caracteres) o codificando cada palabra de una lista; En Internet se encuentran disponibles grandes listas de posibles contraseñas en muchos idiomas. ^[14] La existencia de herramientas para descifrar contraseñas permite a los atacantes recuperar fácilmente contraseñas mal elegidas. En particular, los atacantes pueden recuperar rápidamente contraseñas cortas, palabras del diccionario, variaciones simples de palabras del diccionario o que utilizan patrones fácilmente adivinables. ^[31] Se utilizó una versión modificada del algoritmo DES como base para el algoritmo de hash de contraseñas en los primeros sistemas Unix . ^[32] El algoritmo de cripta utilizó un valor de sal de 12 bits para que el hash de cada usuario fuera único e repitió el algoritmo DES 25 veces para hacer que la función hash fuera más lenta, ambas medidas destinadas a frustrar los ataques de adivinanzas automatizadas. ^[32] La contraseña del usuario se utilizó como clave para cifrar un valor fijo. Los sistemas Unix o similares más recientes (por ejemplo, Linux o los diversos sistemas BSD ) utilizan algoritmos de hash de contraseñas más seguros, como PBKDF2 , bcrypt y scrypt , que tienen sales grandes y un costo o número de iteraciones ajustable. ^[33] Una función hash mal diseñada puede hacer que los ataques sean factibles incluso si se elige una contraseña segura. Consulte LM hash para ver un ejemplo inseguro y ampliamente implementado. ^[34]

Métodos para verificar una contraseña a través de una red.

Transmisión simple de la contraseña

Las contraseñas son vulnerables a la interceptación (es decir, "espionaje") mientras se transmiten a la máquina o persona que las autentica. Si la contraseña se transmite como señales eléctricas en un cableado físico no seguro entre el punto de acceso del usuario y el sistema central que controla la base de datos de contraseñas, está sujeta a espionaje mediante métodos de escuchas telefónicas . Si se transportan como datos empaquetados a través de Internet, cualquiera que pueda observar los paquetes que contienen la información de inicio de sesión puede espiar con una probabilidad muy baja de detección.

A veces se utiliza el correo electrónico para distribuir contraseñas, pero generalmente es un método inseguro. Dado que la mayoría de los correos electrónicos se envían como texto sin formato , cualquier espía puede leer sin esfuerzo un mensaje que contenga una contraseña durante el transporte. Además, el mensaje se almacenará como texto sin formato en al menos dos computadoras: la del remitente y la del destinatario. Si pasa por sistemas intermedios durante sus viajes, probablemente también se almacenará allí, al menos durante algún tiempo, y podrá copiarse en archivos de respaldo , caché o historial en cualquiera de estos sistemas.

El uso del cifrado del lado del cliente solo protegerá la transmisión desde el servidor del sistema de manejo de correo a la máquina cliente. Las retransmisiones anteriores o posteriores del correo electrónico no estarán protegidas y el correo electrónico probablemente se almacenará en varias computadoras, ciertamente en las computadoras de origen y recepción, generalmente en texto sin cifrar.

Transmisión a través de canales cifrados

El riesgo de interceptación de contraseñas enviadas a través de Internet se puede reducir, entre otros métodos, utilizando protección criptográfica . La más utilizada es la función Transport Layer Security (TLS, anteriormente llamada SSL ) integrada en la mayoría de los navegadores de Internet actuales . La mayoría de los navegadores alertan al usuario de un intercambio protegido por TLS/SSL con un servidor mostrando un icono de candado cerrado, o algún otro signo, cuando TLS está en uso. Hay varias otras técnicas en uso; ver criptografía .

Métodos de desafío-respuesta basados ​​en hash

Desafortunadamente, existe un conflicto entre las contraseñas hash almacenadas y la autenticación de desafío-respuesta basada en hash ; este último requiere que un cliente demuestre a un servidor que sabe cuál es el secreto compartido (es decir, la contraseña) y, para hacerlo, el servidor debe poder obtener el secreto compartido de su forma almacenada. En muchos sistemas (incluidos los sistemas tipo Unix ) que realizan autenticación remota, el secreto compartido generalmente se convierte en formato hash y tiene la seria limitación de exponer las contraseñas a ataques de adivinación fuera de línea. Además, cuando el hash se utiliza como secreto compartido, un atacante no necesita la contraseña original para autenticarse de forma remota; sólo necesitan el hachís.

Pruebas de contraseña de conocimiento cero

En lugar de transmitir una contraseña o transmitir el hash de la contraseña, los sistemas de acuerdo de claves autenticados por contraseña pueden realizar una prueba de contraseña de conocimiento cero , que demuestra el conocimiento de la contraseña sin exponerla.

Yendo un paso más allá, los sistemas aumentados para el acuerdo de claves autenticado por contraseña (por ejemplo, AMP, B-SPEKE , PAK-Z, SRP-6 ) evitan tanto el conflicto como la limitación de los métodos basados ​​en hash. Un sistema aumentado permite que un cliente demuestre el conocimiento de la contraseña a un servidor, donde el servidor solo conoce una contraseña (no exactamente) con hash y donde se requiere la contraseña sin hash para obtener acceso.

Procedimientos para cambiar contraseñas

Por lo general, un sistema debe proporcionar una manera de cambiar una contraseña, ya sea porque un usuario cree que la contraseña actual ha sido (o podría haber sido) comprometida, o como medida de precaución. Si se pasa una nueva contraseña al sistema sin cifrar, se puede perder la seguridad (por ejemplo, mediante escuchas telefónicas ) antes de que la nueva contraseña pueda siquiera instalarse en la base de datos de contraseñas y si la nueva contraseña se le da a un empleado comprometido, poco se gana. . Algunos sitios web incluyen la contraseña seleccionada por el usuario en un mensaje de correo electrónico de confirmación no cifrado , con el evidente aumento de la vulnerabilidad.

Los sistemas de gestión de identidad se utilizan cada vez más para automatizar la emisión de reemplazos de contraseñas perdidas, una característica llamada restablecimiento de contraseña de autoservicio . La identidad del usuario se verifica haciendo preguntas y comparando las respuestas con las almacenadas previamente (es decir, cuando se abrió la cuenta).

Algunas preguntas para restablecer la contraseña solicitan información personal que se puede encontrar en las redes sociales, como el apellido de soltera de la madre. Como resultado, algunos expertos en seguridad recomiendan inventar sus propias preguntas o dar respuestas falsas. ^[35]

Longevidad de la contraseña

La "antigüedad de la contraseña" es una característica de algunos sistemas operativos que obliga a los usuarios a cambiar las contraseñas con frecuencia (por ejemplo, trimestralmente, mensualmente o incluso con mayor frecuencia). Estas políticas suelen provocar protestas de los usuarios y, en el mejor de los casos, dilación y, en el peor, hostilidad. A menudo hay un aumento en el número de personas que anotan la contraseña y la dejan en un lugar donde se pueda encontrar fácilmente, así como llamadas al servicio de asistencia técnica para restablecer una contraseña olvidada. Los usuarios pueden usar contraseñas más simples o desarrollar patrones de variación sobre un tema consistente para mantener sus contraseñas memorables. ^[36] Debido a estos problemas, existe cierto debate sobre si la caducidad de las contraseñas es efectiva. ^[37] Cambiar una contraseña no evitará el abuso en la mayoría de los casos, ya que el abuso a menudo sería inmediatamente perceptible. Sin embargo, si alguien pudo haber tenido acceso a la contraseña a través de algún medio, como compartir una computadora o ingresar a un sitio diferente, cambiar la contraseña limita la ventana de abuso. ^[38]

Número de usuarios por contraseña

Es preferible asignar contraseñas separadas a cada usuario de un sistema que tener una única contraseña compartida por usuarios legítimos del sistema, ciertamente desde el punto de vista de la seguridad. Esto se debe en parte a que los usuarios están más dispuestos a decirle a otra persona (que puede no estar autorizada) una contraseña compartida que una contraseña exclusiva para su uso. Las contraseñas únicas también son mucho menos cómodas de cambiar porque es necesario comunicarlas a muchas personas al mismo tiempo y dificultan la eliminación del acceso de un usuario en particular, como por ejemplo en caso de graduación o renuncia. Los inicios de sesión separados también se utilizan a menudo para la rendición de cuentas, por ejemplo para saber quién cambió un dato.

Arquitectura de seguridad de contraseña

Las técnicas comunes utilizadas para mejorar la seguridad de los sistemas informáticos protegidos por contraseña incluyen:

• No mostrar la contraseña en la pantalla mientras se ingresa u ocultarla mientras se escribe usando asteriscos (*) o viñetas (•).
• Permitir contraseñas de longitud adecuada. (Algunos sistemas operativos heredados , incluidas las primeras versiones ^{[¿ cuáles? ]} de Unix y Windows, limitaban las contraseñas a un máximo de 8 caracteres, ^{[39] [40] [41]} reduciendo la seguridad).
• Requerir que los usuarios vuelvan a ingresar su contraseña después de un período de inactividad (una política de cierre parcial de sesión).
• Aplicar una política de contraseñas para aumentar la seguridad y la seguridad de las mismas.
  • Asignación de contraseñas elegidas aleatoriamente.
  • Requerir longitudes mínimas de contraseña . ^[28]
  • Algunos sistemas requieren caracteres de varias clases de caracteres en una contraseña; por ejemplo, "debe tener al menos una letra mayúscula y una minúscula". Sin embargo, las contraseñas escritas exclusivamente en minúsculas son más seguras por pulsación de tecla que las contraseñas con mayúsculas mixtas. ^[42]
  • Utilice una lista negra de contraseñas para bloquear el uso de contraseñas débiles y fáciles de adivinar.
  • Proporcionar una alternativa a la entrada por teclado (por ejemplo, contraseñas habladas o identificadores biométricos ).
  • Requerir más de un sistema de autenticación, como la autenticación de dos factores (algo que un usuario tiene y algo que el usuario sabe).
• Usar túneles cifrados o acuerdos de clave autenticados por contraseña para evitar el acceso a contraseñas transmitidas a través de ataques de red
• Limitar la cantidad de fallas permitidas dentro de un período de tiempo determinado (para evitar adivinar repetidamente la contraseña). Una vez alcanzado el límite, los intentos posteriores fallarán (incluidos los intentos de contraseña correcta) hasta el comienzo del siguiente período de tiempo. Sin embargo, esto es vulnerable a una forma de ataque de denegación de servicio .
• Introducir un retraso entre los intentos de envío de contraseñas para ralentizar los programas automatizados de adivinación de contraseñas.

Algunas de las medidas de aplicación de políticas más estrictas pueden representar el riesgo de alienar a los usuarios y, como resultado, posiblemente disminuir la seguridad.

Reutilización de contraseña

Es una práctica común entre los usuarios de computadoras reutilizar la misma contraseña en varios sitios. Esto presenta un riesgo de seguridad sustancial, porque un atacante solo necesita comprometer un sitio para obtener acceso a otros sitios que utiliza la víctima. Este problema se ve agravado por la reutilización de nombres de usuario y por sitios web que requieren inicios de sesión por correo electrónico, ya que facilita que un atacante rastree a un solo usuario en varios sitios. La reutilización de contraseñas se puede evitar o minimizar mediante el uso de técnicas mnemotécnicas , anotando las contraseñas en papel o utilizando un administrador de contraseñas . ^[43]

Los investigadores de Redmond Dinei Florencio y Cormac Herley, junto con Paul C. van Oorschot de la Universidad Carleton, Canadá, han argumentado que la reutilización de contraseñas es inevitable y que los usuarios deberían reutilizar contraseñas para sitios web de baja seguridad (que contienen pocos datos personales y (sin información financiera, por ejemplo) y, en cambio, centran sus esfuerzos en recordar contraseñas largas y complejas para algunas cuentas importantes, como las cuentas bancarias. ^[44] Forbes presentó argumentos similares al no cambiar las contraseñas con tanta frecuencia como aconsejan muchos "expertos", debido a las mismas limitaciones en la memoria humana. ^[36]

Anotar contraseñas en papel

Históricamente, muchos expertos en seguridad pedían a las personas que memorizaran sus contraseñas: "Nunca escribas una contraseña". Más recientemente, muchos expertos en seguridad como Bruce Schneier recomiendan que las personas utilicen contraseñas que sean demasiado complicadas de memorizar, las escriban en un papel y las guarden en una billetera. ^{[45] [46] [47 ] [48] [49] [50] [51]}

El software de administración de contraseñas también puede almacenar contraseñas de manera relativamente segura, en un archivo cifrado sellado con una única contraseña maestra.

Después de la muerte

Según una encuesta realizada en 2011 por la Universidad de Londres , una de cada diez personas deja sus contraseñas en su testamento para transmitir esta importante información cuando muera. Según la encuesta, un tercio de las personas está de acuerdo en que sus datos protegidos con contraseña son lo suficientemente importantes como para transmitirlos en su testamento. ^[52]

Autenticación multifactor

Los esquemas de autenticación multifactor combinan contraseñas (como "factores de conocimiento") con uno o más medios de autenticación, para hacer que la autenticación sea más segura y menos vulnerable a contraseñas comprometidas. Por ejemplo, un simple inicio de sesión de dos factores puede enviar un mensaje de texto, un correo electrónico, una llamada telefónica automática o una alerta similar cada vez que se intenta iniciar sesión, posiblemente proporcionando un código que se debe ingresar además de una contraseña. ^[53] Factores más sofisticados incluyen cosas como tokens de hardware y seguridad biométrica.

Rotación de contraseña

La rotación de contraseñas es una política que comúnmente se implementa con el objetivo de mejorar la seguridad informática . En 2019, Microsoft afirmó que la práctica es "antigua y obsoleta". ^{[54] [55]}

Reglas de contraseña

La mayoría de las organizaciones especifican una política de contraseñas que establece requisitos para la composición y el uso de contraseñas, normalmente dictando la longitud mínima, las categorías requeridas (p. ej., mayúsculas y minúsculas, números y caracteres especiales), elementos prohibidos (p. ej., uso del propio nombre, fecha de nacimiento, dirección, número de teléfono). Algunos gobiernos tienen marcos de autenticación nacionales ^[56] que definen los requisitos para la autenticación de usuarios en los servicios gubernamentales, incluidos los requisitos para las contraseñas.

Muchos sitios web imponen reglas estándar, como la longitud mínima y máxima, pero también suelen incluir reglas de composición, como incluir al menos una letra mayúscula y al menos un número/símbolo. Estas últimas reglas, más específicas, se basaron en gran medida en un informe de 2003 del Instituto Nacional de Estándares y Tecnología (NIST), escrito por Bill Burr. ^[57] Originalmente propuso la práctica de utilizar números, caracteres oscuros y letras mayúsculas y actualizar periódicamente. En un artículo de 2017 en The Wall Street Journal , Burr informó que lamenta estas propuestas y cometió un error al recomendarlas. ^[58]

Según una reescritura de este informe del NIST de 2017, muchos sitios web tienen reglas que en realidad tienen el efecto opuesto en la seguridad de sus usuarios. Esto incluye reglas de composición complejas, así como cambios forzados de contraseña después de ciertos períodos de tiempo. Si bien estas reglas se han generalizado durante mucho tiempo, tanto los usuarios como los expertos en ciberseguridad las han considerado molestas e ineficaces. ^[59] El NIST recomienda que las personas utilicen frases más largas como contraseñas (y aconseja a los sitios web que aumenten la longitud máxima de la contraseña) en lugar de contraseñas difíciles de recordar con "complejidad ilusoria" como "pA55w+rd". ^[60] Un usuario al que se le impide usar la contraseña "contraseña" puede simplemente elegir "Contraseña1" si es necesario incluir un número y una letra mayúscula. Combinado con cambios de contraseña periódicos forzados, esto puede generar contraseñas que son difíciles de recordar pero fáciles de descifrar. ^[57]

Paul Grassi, uno de los autores del informe NIST de 2017, explicó con más detalle: "Todo el mundo sabe que un signo de exclamación es un 1, una I o el último carácter de una contraseña. $ es una S o un 5. Si los usamos bien "Con trucos conocidos, no estamos engañando a ningún adversario. Simplemente estamos engañando a la base de datos que almacena las contraseñas haciéndoles creer que el usuario hizo algo bueno". ^[59]

Pieris Tsokkis y Eliana Stavrou pudieron identificar algunas estrategias incorrectas para la construcción de contraseñas a través de su investigación y desarrollo de una herramienta generadora de contraseñas. Se les ocurrieron ocho categorías de estrategias de construcción de contraseñas basadas en listas de contraseñas expuestas, herramientas para descifrar contraseñas e informes en línea que citan las contraseñas más utilizadas. Estas categorías incluyen información relacionada con el usuario, combinaciones y patrones de teclado, estrategia de ubicación, procesamiento de textos, sustitución, uso de mayúsculas, fechas de adición y una combinación de las categorías anteriores ^[61].

Descifrando contraseñas

Intentar descifrar contraseñas probando tantas posibilidades como el tiempo y el dinero lo permitan es un ataque de fuerza bruta . Un método relacionado, bastante más eficaz en la mayoría de los casos, es un ataque de diccionario . En un ataque de diccionario, se prueban todas las palabras de uno o más diccionarios. Por lo general, también se prueban listas de contraseñas comunes.

La seguridad de la contraseña es la probabilidad de que no se pueda adivinar o descubrir una contraseña y varía según el algoritmo de ataque utilizado. Los criptólogos e informáticos suelen referirse a la fuerza o "dureza" en términos de entropía . ^[14]

Las contraseñas que se descubren fácilmente se denominan débiles o vulnerables ; Las contraseñas muy difíciles o imposibles de descubrir se consideran seguras . Hay varios programas disponibles para atacar contraseñas (o incluso auditar y recuperar por parte del personal de sistemas) como L0phtCrack , John the Ripper y Cain ; algunos de los cuales utilizan vulnerabilidades de diseño de contraseñas (como las que se encuentran en el sistema Microsoft LANManager) para aumentar la eficiencia. En ocasiones, los administradores de sistemas utilizan estos programas para detectar contraseñas débiles propuestas por los usuarios.

Los estudios de sistemas informáticos de producción han demostrado consistentemente que una gran fracción de todas las contraseñas elegidas por los usuarios se adivinan fácilmente y automáticamente. Por ejemplo, la Universidad de Columbia descubrió que el 22 % de las contraseñas de los usuarios se podían recuperar con poco esfuerzo. ^[62] Según Bruce Schneier , al examinar los datos de un ataque de phishing de 2006, el 55% de las contraseñas de MySpace se podrían descifrar en 8 horas utilizando un kit de herramientas de recuperación de contraseñas disponible comercialmente capaz de probar 200.000 contraseñas por segundo en 2006. ^[63] También informó que la contraseña más común era contraseña1 , lo que confirma una vez más la falta general de atención informada a la hora de elegir contraseñas entre los usuarios. (Sin embargo, sostuvo, basándose en estos datos, que la calidad general de las contraseñas ha mejorado a lo largo de los años; por ejemplo, la longitud promedio fue de hasta ocho caracteres, frente a menos de siete en encuestas anteriores, y menos del 4% eran palabras del diccionario. ^{[64 ]} )

Incidentes

• El 16 de julio de 1998, CERT informó de un incidente en el que un atacante había encontrado 186.126 contraseñas cifradas. En el momento en que se descubrió al atacante, ya se habían descifrado 47.642 contraseñas. ^{[sesenta y cinco]}
• En septiembre de 2001, después de la muerte de 658 de sus 960 empleados de Nueva York en los ataques del 11 de septiembre , la empresa de servicios financieros Cantor Fitzgerald, a través de Microsoft, rompió las contraseñas de los empleados fallecidos para obtener acceso a los archivos necesarios para atender las cuentas de los clientes. ^[66] Los técnicos utilizaron ataques de fuerza bruta y los entrevistadores se pusieron en contacto con las familias para recopilar información personalizada que podría reducir el tiempo de búsqueda de contraseñas más débiles. ^[66]
• En diciembre de 2009, se produjo una importante violación de contraseñas del sitio web Rockyou.com que provocó la liberación de 32 millones de contraseñas. Luego, el pirata informático filtró la lista completa de los 32 millones de contraseñas (sin otra información identificable) a Internet. Las contraseñas se almacenaron en texto sin cifrar en la base de datos y se extrajeron mediante una vulnerabilidad de inyección SQL. El Centro de Defensa de Aplicaciones (ADC) de Imperva realizó un análisis sobre la seguridad de las contraseñas. ^[67]
• En junio de 2011, la OTAN (Organización del Tratado del Atlántico Norte) experimentó una violación de seguridad que llevó a la divulgación pública de nombres y apellidos, nombres de usuario y contraseñas de más de 11.000 usuarios registrados de su librería electrónica. Los datos se filtraron como parte de la Operación AntiSec , un movimiento que incluye a Anonymous , LulzSec , así como otros grupos e individuos de hackers. El objetivo de AntiSec es exponer información personal, sensible y restringida al mundo, utilizando cualquier medio necesario. ^[68]
• El 11 de julio de 2011, Anonymous pirateó sus servidores y los filtró el mismo día. "La filtración, denominada 'Lunes de Fusión Militar', incluye 90.000 inicios de sesión de personal militar, incluido personal de USCENTCOM , SOCOM , la Infantería de Marina , varias instalaciones de la Fuerza Aérea , Seguridad Nacional , personal del Departamento de Estado y lo que parecen contratistas del sector privado". ^[69] Estas contraseñas filtradas terminaron siendo codificadas en SHA1, y luego fueron descifradas y analizadas por el equipo ADC en Imperva , revelando que incluso el personal militar busca atajos y formas de eludir los requisitos de contraseña. ^[70]
• El 5 de junio de 2012, una brecha de seguridad en Linkedin provocó el robo de 117 millones de contraseñas y correos electrónicos. Posteriormente, millones de contraseñas se publicaron en un foro ruso. Más tarde, un hacker llamado "Peace" puso a la venta contraseñas adicionales. LinkedIn llevó a cabo un reinicio obligatorio de todas las cuentas comprometidas. ^[71]

Alternativas a las contraseñas para la autenticación

Las numerosas formas en que pueden verse comprometidas las contraseñas permanentes o semipermanentes han impulsado el desarrollo de otras técnicas. Algunas son inadecuadas en la práctica y, en cualquier caso, pocas han llegado a estar universalmente disponibles para los usuarios que buscan una alternativa más segura. ^[72] Un artículo de 2012 ^[73] examina por qué las contraseñas han resultado tan difíciles de suplantar (a pesar de numerosas predicciones de que pronto serían cosa del pasado ^[74] ); Al examinar treinta reemplazos propuestos representativos con respecto a la seguridad, usabilidad y capacidad de implementación, concluyen que "ninguno conserva el conjunto completo de beneficios que las contraseñas heredadas ya brindan".

• Contraseñas de un solo uso . Tener contraseñas que sólo son válidas una vez hace que muchos ataques potenciales sean ineficaces. La mayoría de los usuarios encuentran las contraseñas de un solo uso extremadamente inconvenientes. Sin embargo, se han implementado ampliamente en la banca personal en línea , donde se les conoce como Números de autenticación de transacciones (TAN). Como la mayoría de los usuarios domésticos sólo realizan un pequeño número de transacciones cada semana, el problema del uso único no ha provocado en este caso una insatisfacción intolerable del cliente.
• Las contraseñas de un solo uso sincronizadas con el tiempo son similares en algunos aspectos a las contraseñas de un solo uso, pero el valor que se debe ingresar se muestra en un elemento pequeño (generalmente de bolsillo) y cambia aproximadamente cada minuto.
• Las contraseñas de un solo uso de PassWindow se utilizan como contraseñas de un solo uso, pero los caracteres dinámicos que se deben ingresar solo son visibles cuando un usuario superpone una clave visual impresa única sobre una imagen de desafío generada por el servidor que se muestra en la pantalla del usuario.
• Controles de acceso basados ​​en criptografía de clave pública, por ejemplo, ssh . Las claves necesarias suelen ser demasiado grandes para memorizarlas (pero consulte la propuesta Passmaze) ^[75] y deben almacenarse en una computadora local, un token de seguridad o un dispositivo de memoria portátil, como una unidad flash USB o incluso un disquete . La clave privada puede almacenarse en un proveedor de servicios en la nube y activarse mediante el uso de una contraseña o autenticación de dos factores.
• Los métodos biométricos prometen una autenticación basada en características personales inalterables, pero actualmente (2008) tienen altas tasas de error y requieren hardware adicional para escanear ^{[ necesita actualización ]} , por ejemplo, huellas dactilares , iris , etc. Han demostrado ser fáciles de falsificar en algunas pruebas de incidentes famosos. sistemas disponibles comercialmente, por ejemplo, la demostración de parodia de huellas dactilares de goma, ^[76] y, debido a que estas características son inalterables, no se pueden cambiar si se ven comprometidas; Esta es una consideración muy importante en el control de acceso, ya que un token de acceso comprometido es necesariamente inseguro.
• Se afirma que la tecnología de inicio de sesión único elimina la necesidad de tener varias contraseñas. Dichos esquemas no eximen a los usuarios y administradores de elegir contraseñas únicas razonables, ni a los diseñadores o administradores de sistemas de garantizar que la información de control de acceso privado transmitida entre sistemas que permiten el inicio de sesión único esté segura contra ataques. Hasta el momento no se ha desarrollado ninguna norma satisfactoria.
• La tecnología Envaulting es una forma sin contraseña de proteger datos en dispositivos de almacenamiento extraíbles, como unidades flash USB. En lugar de contraseñas de usuario, el control de acceso se basa en el acceso del usuario a un recurso de red.
• Contraseñas que no están basadas en texto, como contraseñas gráficas o contraseñas basadas en el movimiento del mouse. ^[77] Las contraseñas gráficas son un medio alternativo de autenticación para el inicio de sesión destinado a ser utilizado en lugar de la contraseña convencional; utilizan imágenes , gráficos o colores en lugar de letras , dígitos o caracteres especiales . Un sistema requiere que los usuarios seleccionen una serie de rostros como contraseña, utilizando la capacidad del cerebro humano para recordar rostros fácilmente. ^[78] En algunas implementaciones se requiere que el usuario elija entre una serie de imágenes en la secuencia correcta para poder acceder. ^[79] Otra solución gráfica de contraseña crea una contraseña de un solo uso utilizando una cuadrícula de imágenes generada aleatoriamente. Cada vez que se requiere que el usuario se autentique, busca las imágenes que se ajustan a sus categorías preseleccionadas e ingresa el carácter alfanumérico generado aleatoriamente que aparece en la imagen para formar la contraseña de un solo uso. ^{[80] [81]} Hasta ahora, las contraseñas gráficas son prometedoras, pero no se utilizan ampliamente. Se han realizado estudios sobre este tema para determinar su usabilidad en el mundo real. Mientras que algunos creen que las contraseñas gráficas serían más difíciles de descifrar , otros sugieren que será tan probable que las personas elijan imágenes o secuencias comunes como contraseñas comunes. ^{[ cita necesaria ]}
• Clave 2D (Clave bidimensional) ^[82] es un método de entrada de clave similar a una matriz 2D que tiene los estilos de clave de frase de contraseña multilínea, crucigrama, arte ASCII/Unicode, con ruidos semánticos textuales opcionales, para crear una contraseña/clave grande de más de 128 bits. realizar MePKC (criptografía de clave pública memorizable) ^[83] utilizando una clave privada totalmente memorizable sobre las tecnologías actuales de gestión de claves privadas, como clave privada cifrada, clave privada dividida y clave privada itinerante.
• Las contraseñas cognitivas utilizan pares de preguntas y respuestas, pistas/respuestas para verificar la identidad.

"La contraseña está muerta"

"La contraseña ha muerto" es una idea recurrente en seguridad informática . Las razones dadas a menudo incluyen referencias a la usabilidad así como a problemas de seguridad de las contraseñas. A menudo va acompañado de argumentos de que la sustitución de las contraseñas por un medio de autenticación más seguro es necesaria e inminente. Esta afirmación ha sido hecha por numerosas personas al menos desde 2004. ^{[74] [84] [85] [86] [87] [88] [89] [90]}

Las alternativas a las contraseñas incluyen la biometría , la autenticación de dos factores o el inicio de sesión único , Cardspace de Microsoft , el proyecto Higgins , Liberty Alliance , NSTIC , FIDO Alliance y varias propuestas de Identity 2.0. ^{[91] [92]}

Sin embargo, a pesar de estas predicciones y los esfuerzos por reemplazarlas, las contraseñas siguen siendo la forma dominante de autenticación en la web. En "La persistencia de las contraseñas", Cormac Herley y Paul van Oorschot sugieren que se deben hacer todos los esfuerzos posibles para poner fin a la "suposición espectacularmente incorrecta" de que las contraseñas están muertas. ^[93] Argumentan que "ninguna otra tecnología iguala su combinación de costo, inmediatez y conveniencia" y que "las contraseñas son en sí mismas la mejor opción para muchos de los escenarios en los que se utilizan actualmente".

A continuación, Bonneau et al. comparó sistemáticamente contraseñas web con 35 esquemas de autenticación de la competencia en términos de usabilidad, implementación y seguridad. ^{[94] [95]} Su análisis muestra que la mayoría de los esquemas funcionan mejor que las contraseñas en cuanto a seguridad, algunos esquemas funcionan mejor y otros peor con respecto a la usabilidad, mientras que todos los esquemas funcionan peor que las contraseñas en cuanto a la capacidad de implementación. Los autores concluyen con la siguiente observación: "Las ganancias marginales a menudo no son suficientes para alcanzar la energía de activación necesaria para superar los importantes costos de transición, lo que puede proporcionar la mejor explicación de por qué es probable que vivamos mucho más antes de ver llegar la procesión fúnebre en busca de contraseñas. en el cementerio."

Ver también

• Código de acceso (desambiguación)
• Autenticación
• CAPTCHA
• Ciencia cognitiva
• Cerradura de combinación
• dados
• cerradura electrónica
• Kerberos (protocolo)
• Archivo de clave
• frase de contraseña
• Descifrando contraseñas
• Fatiga de contraseña
• Parámetro de longitud de contraseña
• Administrador de contraseñas
• Correo electrónico de notificación de contraseña
• Política de contraseñas
• Psicología de contraseñas
• Seguridad de la contraseña
• Sincronización de contraseñas
• Acuerdo de clave autenticado por contraseña
• Número de identificación personal
• Clave previamente compartida
• mesa arcoiris
• Generador de contraseñas aleatorias
• Restablecimiento de contraseña de autoservicio
• Santo y seña
• Usabilidad de los sistemas de autenticación web.

Referencias

1. Ranjan, Pratik; Om, Hari (6 de mayo de 2016). "Un esquema eficiente de autenticación de contraseñas de usuarios remotos basado en el criptosistema de Rabin". Comunicaciones personales inalámbricas . 90 (1): 217–244. doi :10.1007/s11277-016-3342-5. ISSN  0929-6212. S2CID  21912076.
2. Williams, Shannon (21 de octubre de 2020). "Una persona promedio tiene 100 contraseñas: estudio". NordPass . Consultado el 28 de abril de 2021 .
3. Grassi, Paul A.; García, Michael E.; Fenton, James L. (junio de 2017). "Publicación especial del NIST 800-63-3: Directrices de identidad digital". Instituto Nacional de Estándares y Tecnología (NIST). doi : 10.6028/NIST.SP.800-63-3 . Consultado el 17 de mayo de 2019 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
4. "protocolo de autenticación". Centro de recursos de seguridad informática (NIST). Archivado desde el original el 17 de mayo de 2019 . Consultado el 17 de mayo de 2019 .
5. "Frase de contraseña". Centro de recursos de seguridad informática (NIST) . Consultado el 17 de mayo de 2019 .
6. Polibio sobre el ejército romano Archivado el 7 de febrero de 2008 en la Wayback Machine . Ancienthistory.about.com (13 de abril de 2012). Recuperado el 20 de mayo de 2012.
7. Mark Bando (2007). 101st Airborne: The Screaming Eagles en la Segunda Guerra Mundial. Compañía editorial Mbi. ISBN 978-0-7603-2984-9. Archivado desde el original el 2 de junio de 2013 . Consultado el 20 de mayo de 2012 .
8. McMillan, Robert (27 de enero de 2012). "¿La primera contraseña de computadora del mundo? También fue inútil". Revista cableada . Consultado el 22 de marzo de 2019 .
9. Hunt, Troy (26 de julio de 2017). "Las contraseñas evolucionaron: orientación de autenticación para la era moderna" . Consultado el 22 de marzo de 2019 .
10. Guía de programadores CTSS, 2.ª edición, MIT Press, 1965
11. Morris, Robert; Thompson, Ken (3 de abril de 1978). "Seguridad de contraseñas: un caso histórico". Laboratorios Bell . CiteSeerX 10.1.1.128.1635 . 
12. Vance, Ashlee (10 de enero de 2010). "Si su contraseña es 123456, hágala HackMe". Los New York Times . Archivado desde el original el 11 de febrero de 2017.
13. "Gestión de la seguridad de la red". Archivado desde el original el 2 de marzo de 2008 . Consultado el 31 de marzo de 2009 .{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace ). Fred Cohen y asociados. Todo.net. Recuperado el 20 de mayo de 2012.
14. Lundin, Leigh (11 de agosto de 2013). "PIN y contraseñas, parte 2". Contraseñas . Orlando: SleuthSayers.
15. La memorabilidad y seguridad de las contraseñas Archivado el 14 de abril de 2012 en Wayback Machine (pdf). ncl.ac.uk. Recuperado el 20 de mayo de 2012.
16. Michael E. Whitman; Herbert J. Mattord (2014). Principios de Seguridad de la Información. Aprendizaje Cengage. pag. 162.ISBN _ 978-1-305-17673-7.
17. "Cómo crear un generador de contraseñas aleatorio". PCMAG . Consultado el 5 de septiembre de 2021 .
18. Lewis, Dave (2011). Ctrl-Alt-Suprimir. Lulu.com. pag. 17.ISBN _ 978-1471019111. Consultado el 10 de julio de 2015 .
19. Techlicious / Fox Van Allen @techlicious (8 de agosto de 2013). "Google revela las 10 peores ideas para contraseñas | TIME.com". Techland.time.com. Archivado desde el original el 22 de octubre de 2013 . Consultado el 16 de octubre de 2013 .
20. Fleishman, Glenn (24 de noviembre de 2015). "Escriba sus contraseñas para mejorar la seguridad: una noción contraria a la intuición lo deja menos vulnerable, no más, a ataques remotos". MacWorld . Consultado el 28 de abril de 2021 .
21. Blog de Lyquix: ¿Necesitamos ocultar contraseñas? Archivado el 25 de abril de 2012 en Wayback Machine . Lyquix.com. Recuperado el 20 de mayo de 2012.
22. Jonathan Kent Ladrones de autos en Malasia roban el dedo Archivado el 20 de noviembre de 2010 en Wayback Machine . BBC (31 de marzo de 2005)
23. Stuart Brown "Diez contraseñas principales utilizadas en el Reino Unido". Archivado desde el original el 8 de noviembre de 2006 . Consultado el 14 de agosto de 2007 .. Modernlifeisrubbish.co.uk (26 de mayo de 2006). Recuperado el 20 de mayo de 2012.
24. Patente estadounidense 8046827 
25. Wilkes, MV Sistemas informáticos de tiempo compartido. American Elsevier, Nueva York, (1968).
26. Schofield, Jack (10 de marzo de 2003). "Roger Needham". El guardián .
27. The Bug Charmer: Las contraseñas importan Archivado el 2 de noviembre de 2013 en Wayback Machine . Bugcharmer.blogspot.com (20 de junio de 2012). Recuperado el 30 de julio de 2013.
28. Alejandro, Steven. (20 de junio de 2012) The Bug Charmer: ¿Qué longitud deben tener las contraseñas? Archivado el 20 de septiembre de 2012 en Wayback Machine . Bugcharmer.blogspot.com. Recuperado el 30 de julio de 2013.
29. "passlib.hash - Esquemas de hash de contraseñas" Archivado el 21 de julio de 2013 en Wayback Machine .
30. Florencio et al., Guía del administrador para la investigación de contraseñas de Internet Archivado el 14 de febrero de 2015 en Wayback Machine . (pdf) Recuperado el 14 de marzo de 2015.
31. Historia descifradora: cómo descifré más de 122 millones de contraseñas hash SHA1 y MD5 «Thireus' Bl0g Archivado el 30 de agosto de 2012 en Wayback Machine . Blog.thireus.com (29 de agosto de 2012). Recuperado el 30 de julio de 2013.
32. Morris, Robert y Thompson, Ken (1979). "Seguridad de contraseñas: un caso histórico". Comunicaciones de la ACM . 22 (11): 594–597. CiteSeerX 10.1.1.135.2097 . doi :10.1145/359168.359172. S2CID  207656012. Archivado desde el original el 22 de marzo de 2003. 
33. Protección con contraseña para sistemas operativos modernos Archivado el 11 de marzo de 2016 en Wayback Machine (pdf). Usenix.org. Recuperado el 20 de mayo de 2012.
34. Cómo evitar que Windows almacene un hash del administrador de LAN de su contraseña en Active Directory y bases de datos SAM locales Archivado el 9 de mayo de 2006 en Wayback Machine . support.microsoft.com (3 de diciembre de 2007). Recuperado el 20 de mayo de 2012.
35. "Por qué debería mentir al configurar preguntas de seguridad de contraseña". Técnico. 8 de marzo de 2013. Archivado desde el original el 23 de octubre de 2013 . Consultado el 16 de octubre de 2013 .
36. Joseph Steinberg (12 de noviembre de 2014). "Forbes: por qué debería ignorar todo lo que le han dicho sobre la elección de contraseñas". Forbes . Archivado desde el original el 12 de noviembre de 2014 . Consultado el 12 de noviembre de 2014 .
37. "Los problemas de forzar la caducidad regular de la contraseña". Asuntos IA . CESG: el brazo de seguridad de la información del GCHQ. 15 de abril de 2016. Archivado desde el original el 17 de agosto de 2016 . Consultado el 5 de agosto de 2016 .
38. Schneier sobre debate sobre seguridad sobre el cambio de contraseñas Archivado el 30 de diciembre de 2010 en Wayback Machine . Schneier.com. Recuperado el 20 de mayo de 2012.
39. Seltzer, Larry. (9 de febrero de 2010) "American Express: crédito sólido, contraseñas débiles" Archivado el 12 de julio de 2017 en Wayback Machine . PCmag.com. Recuperado el 20 de mayo de 2012.
40. "Diez mitos sobre las contraseñas de Windows" Archivado el 28 de enero de 2016 en Wayback Machine : "Cuadros de diálogo de NT... contraseñas limitadas a un máximo de 14 caracteres"
41. "Debe proporcionar una contraseña de entre 1 y 8 caracteres". Jira.codehaus.org. Recuperado el 20 de mayo de 2012. Archivado el 21 de mayo de 2015 en Wayback Machine.
42. "¿Capitalizar o no capitalizar?" Archivado el 17 de febrero de 2009 en Wayback Machine . Mundo.std.com. Recuperado el 20 de mayo de 2012.
43. Thomas, Keir (10 de febrero de 2011). "La reutilización de contraseñas es demasiado común, según muestra una investigación". Mundo PC . Archivado desde el original el 12 de agosto de 2014 . Consultado el 10 de agosto de 2014 .
44. Pauli, Darren (16 de julio de 2014). "Microsoft: NECESITA contraseñas incorrectas y debería reutilizarlas mucho". El registro . Archivado desde el original el 12 de agosto de 2014 . Consultado el 10 de agosto de 2014 .
45. Bruce Schneier: boletín informativo Crypto-Gram Archivado el 15 de noviembre de 2011 en Wayback Machine el 15 de mayo de 2001
46. "Diez mitos sobre las contraseñas de Windows" Archivado el 28 de enero de 2016 en Wayback Machine : Mito n.º 7. Nunca debes escribir tu contraseña
47. Kotadia, Munir (23 de mayo de 2005) Gurú de la seguridad de Microsoft: anote sus contraseñas. Noticias.cnet.com. Recuperado el 20 de mayo de 2012.
48. "El dilema de la contraseña segura" Archivado el 18 de julio de 2010 en Wayback Machine por Richard E. Smith: "podemos resumir las reglas clásicas de selección de contraseñas de la siguiente manera: la contraseña debe ser imposible de recordar y nunca escribirse".
49. Bob Jenkins (11 de enero de 2013). "Elegir contraseñas aleatorias". Archivado desde el original el 18 de septiembre de 2010.
50. "La memorabilidad y seguridad de las contraseñas: algunos resultados empíricos" Archivado el 19 de febrero de 2011 en Wayback Machine (pdf)

    "tu contraseña... en un lugar seguro, como la parte posterior de tu billetera o bolso".

51. "¿Debo escribir mi contraseña?" Archivado el 17 de febrero de 2009 en Wayback Machine . Mundo.std.com. Recuperado el 20 de mayo de 2012.
52. Jaffery, Saman M. (17 de octubre de 2011). "Encuesta: el 11% de los británicos incluyen contraseñas de Internet en el testamento". Casco y casco LLP. Archivado desde el original el 25 de diciembre de 2011 . Consultado el 16 de julio de 2012 .
53. Autenticación de dos factores Archivado el 18 de junio de 2016 en Wayback Machine.
54. Goodin, Dan (3 de junio de 2019). "Microsoft dice que el cambio de contraseña obligatorio es" antiguo y obsoleto"". Ars Técnica . Consultado el 1 de noviembre de 2022 .
55. Kristen Ranta-Haikal Wilson (9 de marzo de 2020). "El debate sobre las políticas de rotación de contraseñas". Instituto SANS . Consultado el 31 de octubre de 2022 .
56. AlFayyadh, Bander; Thorsheim, Per; Jøsang, Audun; Klevjer, Henning. "Mejora de la usabilidad de la gestión de contraseñas con políticas de contraseñas estandarizadas" (PDF) . Archivado (PDF) desde el original el 20 de junio de 2013 . Consultado el 12 de octubre de 2012 .
57. Tung, Liam (9 de agosto de 2017). "¿Odias las tontas reglas de contraseñas? También lo hace el tipo que las creó". ZDNet . Archivado desde el original el 29 de marzo de 2018.
58. McMillan, Robert (7 de agosto de 2017). "El hombre que escribió esas reglas de contraseña tiene un nuevo consejo: ¡N3v$r M1^d!" . El periodico de Wall Street . Archivado desde el original el 9 de agosto de 2017.
59. Roberts, Jeff John (11 de mayo de 2017). "Los expertos dicen que finalmente podemos deshacernos de esas estúpidas reglas de contraseñas" . Fortuna . Archivado desde el original el 28 de junio de 2018.
60. Wisniewski, Chester (18 de agosto de 2016). "Nuevas reglas de contraseñas del NIST: lo que necesita saber". Seguridad desnuda . Archivado desde el original el 28 de junio de 2018.
61. P. Tsokkis y E. Stavrou, "Una herramienta generadora de contraseñas para aumentar la conciencia de los usuarios sobre estrategias de construcción de contraseñas incorrectas", Simposio internacional sobre redes, computadoras y comunicaciones (ISNCC) de 2018, Roma, 2018, págs. 1-5, doi :10.1109/ISNCC.2018.8531061.
62. "Contraseña". Archivado desde el original el 23 de abril de 2007 . Consultado el 20 de mayo de 2012 .{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace ). cs.columbia.edu
63. Schneier, Contraseñas del mundo real Archivado el 23 de septiembre de 2008 en Wayback Machine . Schneier.com. Recuperado el 20 de mayo de 2012.
64. Las contraseñas de MySpace no son tan tontas Archivado el 29 de marzo de 2014 en Wayback Machine . Wired.com (27 de octubre de 2006). Recuperado el 20 de mayo de 2012.
65. "CERT IN-98.03". 16 de julio de 1998 . Consultado el 9 de septiembre de 2009 .
66. Urbina, Ian; Davis, Leslye (23 de noviembre de 2014). "La vida secreta de las contraseñas". Los New York Times . Archivado desde el original el 28 de noviembre de 2014.
67. "Peores prácticas de contraseñas de consumidores (pdf)" (PDF) . Archivado (PDF) desde el original el 28 de julio de 2011.
68. "Sitio de la OTAN pirateado". El registro . 24 de junio de 2011. Archivado desde el original el 29 de junio de 2011 . Consultado el 24 de julio de 2011 .
69. "Anonymous filtra 90.000 cuentas de correo electrónico militares en el último ataque antisec". 11 de julio de 2011. Archivado desde el original el 14 de julio de 2017.
70. "Análisis de contraseñas militares". 12 de julio de 2011. Archivado desde el original el 15 de julio de 2011.
71. "En la infracción de Linkedin de 2012 se robaron 117 millones de correos electrónicos y contraseñas, no 6,5 millones - Noticias de seguridad". www.trendmicro.com . 18 de mayo de 2016 . Consultado el 11 de octubre de 2023 .
72. "Las 12 técnicas principales para descifrar contraseñas utilizadas por los piratas informáticos". TI PRO . 14 de octubre de 2019 . Consultado el 18 de julio de 2022 .
73. "La búsqueda para reemplazar las contraseñas (pdf)" (PDF) . IEEE. 15 de mayo de 2012. Archivado (PDF) desde el original el 19 de marzo de 2015 . Consultado el 11 de marzo de 2015 .
74. "Gates predice la muerte de la contraseña". CNET . 25 de febrero de 2004. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
75. Cryptology ePrint Archive: Informe 2005/434 Archivado el 14 de junio de 2006 en Wayback Machine . eprint.iacr.org. Recuperado el 20 de mayo de 2012.
76. T Matsumoto. H. Matsumotot; K Yamada y S Hoshino (2002). Van Renesse, Rudolf L. (ed.). "Impacto de los dedos artificiales 'gomosos' en los sistemas de huellas dactilares". Proc SPIE . Técnicas ópticas de seguridad y disuasión de falsificaciones IV. 4677 : 275. Código bibliográfico : 2002SPIE.4677..275M. doi : 10.1117/12.462719. S2CID  16897825.
77. Uso de AJAX para contraseñas de imágenes: seguridad de AJAX, parte 1 de 3 Archivado el 16 de junio de 2006 en Wayback Machine . waelchatila.com (18 de septiembre de 2005). Recuperado el 20 de mayo de 2012.
78. Butler, Rick A. (21 de diciembre de 2004) Cara a cara entre la multitud Archivado el 27 de junio de 2006 en Wayback Machine . mcpmag.com. Recuperado el 20 de mayo de 2012.
79. contraseña gráfica o autenticación gráfica de usuario (GUA) Archivado el 21 de febrero de 2009 en Wayback Machine . searchsecurity.techtarget.com. Recuperado el 20 de mayo de 2012.
80. Ericka Chickowski (3 de noviembre de 2010). "Las imágenes podrían cambiar la imagen de autenticación". Lectura oscura. Archivado desde el original el 10 de noviembre de 2010.
81. "Confident Technologies ofrece autenticación multifactor basada en imágenes para fortalecer las contraseñas en sitios web públicos". 28 de octubre de 2010. Archivado desde el original el 7 de noviembre de 2010.
82. Manual de usuario para el método y sistema de entrada de clave bidimensional (clave 2D) Archivado el 18 de julio de 2011 en Wayback Machine . xpreeli.com. (8 de septiembre de 2008). Recuperado el 20 de mayo de 2012.
83. Kok-Wah Lee "Métodos y sistemas para crear grandes secretos memorizables y sus aplicaciones", patente US20110055585 Archivada el 13 de abril de 2015 en Wayback Machine , WO2010010430. Fecha de presentación: 18 de diciembre de 2008
84. Kotadia, Munir (25 de febrero de 2004). "Gates predice la muerte de la contraseña". ZDNet . Consultado el 8 de mayo de 2019 .
85. "IBM revela cinco innovaciones que cambiarán nuestras vidas dentro de cinco años". IBM. 19 de diciembre de 2011. Archivado desde el original el 17 de marzo de 2015 . Consultado el 14 de marzo de 2015 .
86. Honan, Mat (15 de mayo de 2012). "Elimine la contraseña: por qué una cadena de caracteres ya no puede protegernos". Cableado . Archivado desde el original el 16 de marzo de 2015 . Consultado el 14 de marzo de 2015 .
87. "Ejecutivo de seguridad de Google: 'Las contraseñas están muertas'". CNET . 25 de febrero de 2004. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
88. "Autenticación a escala". IEEE. 25 de enero de 2013. Archivado desde el original el 2 de abril de 2015 . Consultado el 12 de marzo de 2015 .
89. Mims, Christopher (14 de julio de 2014). "La contraseña finalmente está muriendo. Aquí está la mía". El periodico de Wall Street . Archivado desde el original el 13 de marzo de 2015 . Consultado el 14 de marzo de 2015 .
90. "El robo de credenciales ruso muestra por qué la contraseña está muerta". Mundo de la informática . 14 de agosto de 2014. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
91. "Jeremy Grant, director de NSTIC, quiere eliminar las contraseñas". Fedscoop. 14 de septiembre de 2014. Archivado desde el original el 18 de marzo de 2015 . Consultado el 14 de marzo de 2015 .
92. "Descripción general de las especificaciones". Alianza FIDO. 25 de febrero de 2014. Archivado desde el original el 15 de marzo de 2015 . Consultado el 15 de marzo de 2015 .
93. "Una agenda de investigación que reconoce la persistencia de las contraseñas". Seguridad y privacidad IEEE. Enero de 2012. Archivado desde el original el 20 de junio de 2015 . Consultado el 20 de junio de 2015 .
94. Bonneau, José; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de esquemas de autenticación web". Informe técnico - Universidad de Cambridge. Laboratorio de computación . Cambridge, Reino Unido: Laboratorio de Computación de la Universidad de Cambridge. doi :10.48456/tr-817. ISSN  1476-2986 . Consultado el 22 de marzo de 2019 .
95. Bonneau, José; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de esquemas de autenticación web". Simposio IEEE 2012 sobre seguridad y privacidad . Simposio IEEE 2012 sobre seguridad y privacidad. San Francisco, CA. págs. 553–567. doi :10.1109/SP.2012.44. ISBN 978-1-4673-1244-8.

enlaces externos

• Contraseñas gráficas: una encuesta
• Gran lista de contraseñas de uso común
• Gran colección de estadísticas sobre contraseñas.
• Artículos de investigación sobre criptografía basada en contraseñas
• La conferencia internacional de contraseñas
• Asesoramiento procesal para organizaciones y administradores (PDF)
• Centro de Investigación de Seguridad, Comunicaciones y Redes, Universidad de Plymouth (PDF)
• Borrador de actualización de 2017 de los estándares de contraseñas del NIST para el gobierno federal de EE. UU.