Contraseña

Texto utilizado para la autenticación del usuario para demostrar la identidad.

Un campo de contraseña en un formulario de inicio de sesión

Una contraseña , a veces llamada código de acceso , es un dato secreto, típicamente una cadena de caracteres, que se usa habitualmente para confirmar la identidad de un usuario. Tradicionalmente, se esperaba que las contraseñas se memorizaran , [ ^1] pero la gran cantidad de servicios protegidos por contraseña a los que accede un individuo típico puede hacer que la memorización de contraseñas únicas para cada servicio sea poco práctica. ^[2] Usando la terminología de las Pautas de Identidad Digital del NIST, ^[3] el secreto lo guarda una parte llamada el reclamante mientras que la parte que verifica la identidad del reclamante se llama el verificador . Cuando el reclamante demuestra con éxito el conocimiento de la contraseña al verificador a través de un protocolo de autenticación establecido , ^[4] el verificador puede inferir la identidad del reclamante.

En general, una contraseña es una cadena arbitraria de caracteres que incluye letras, dígitos u otros símbolos. Si se limitan los caracteres permitidos a números, el secreto correspondiente se denomina a veces número de identificación personal (PIN).

A pesar de su nombre, una contraseña no tiene por qué ser necesariamente una palabra; de hecho, una palabra que no sea una palabra (en el sentido del diccionario) puede ser más difícil de adivinar, lo que es una propiedad deseable de las contraseñas. Un secreto memorizado que consiste en una secuencia de palabras u otro texto separado por espacios a veces se denomina frase de contraseña . Una frase de contraseña es similar a una contraseña en su uso, pero la primera suele ser más larga para mayor seguridad. ^[5]

Historia

Las contraseñas se han utilizado desde la antigüedad. Los centinelas pedían a quienes querían entrar en una zona que proporcionaran una contraseña o contraseña , y solo permitían el paso a una persona o grupo que conociera la contraseña. Polibio describe el sistema de distribución de contraseñas en el ejército romano de la siguiente manera:

El modo en que se asegura el paso de la consigna para la noche es el siguiente: del décimo manípulo de cada clase de infantería y caballería, el que está acampado en el extremo inferior de la calle, se elige un hombre que es relevado de la guardia, y se presenta todos los días al atardecer en la tienda del tribuno , y recibiendo de él la consigna, es decir, una placa de madera con la palabra inscrita en ella, se despide, y al regresar a su cuartel pasa la consigna y la placa ante testigos al comandante del siguiente manípulo, quien a su vez la pasa al que está a su lado. Todos hacen lo mismo hasta que llega a los primeros manípulos, los que están acampados cerca de las tiendas de los tribunos. Estos últimos están obligados a entregar la placa a los tribunos antes del anochecer. De modo que si todos los entregados son devueltos, el tribuno sabe que la consigna ha sido entregada a todos los manípulos, y ha pasado por todos en su camino de regreso a él. Si falta alguna de ellas, investiga inmediatamente, pues sabe por las marcas de qué parte no ha vuelto la tablilla, y quien sea responsable de la interrupción recibe el castigo que merece. ^[6]

Las contraseñas en el uso militar evolucionaron para incluir no solo una contraseña, sino una contraseña y una contracontraseña; por ejemplo, en los primeros días de la Batalla de Normandía , los paracaidistas de la 101.ª División Aerotransportada de los EE. UU. utilizaron una contraseña ( flash ) que se presentaba como un desafío y se respondía con la respuesta correcta ( thunder) . El desafío y la respuesta se cambiaban cada tres días. Los paracaidistas estadounidenses también utilizaron un dispositivo conocido como "cricket" en el Día D en lugar de un sistema de contraseña como un método de identificación temporal único; un clic metálico dado por el dispositivo en lugar de una contraseña debía ser correspondido con dos clics en respuesta. ^[7]

Las contraseñas se han utilizado en los ordenadores desde los primeros días de la informática. El Compatible Time-Sharing System (CTSS), un sistema operativo introducido en el MIT en 1961, fue el primer sistema informático en implementar el inicio de sesión con contraseña. ^{[8] [9]} CTSS tenía un comando LOGIN que solicitaba una contraseña de usuario. "Después de escribir PASSWORD, el sistema apaga el mecanismo de impresión, si es posible, para que el usuario pueda escribir su contraseña con privacidad". ^[10] A principios de la década de 1970, Robert Morris desarrolló un sistema de almacenamiento de contraseñas de inicio de sesión en forma de hash como parte del sistema operativo Unix . El sistema se basaba en una máquina criptográfica de rotor Hagelin simulada y apareció por primera vez en la sexta edición de Unix en 1974. Una versión posterior de su algoritmo, conocida como crypt(3) , utilizaba una sal de 12 bits e invocaba una forma modificada del algoritmo DES 25 veces para reducir el riesgo de ataques de diccionario precalculados . ^[11]

En la actualidad, los nombres de usuario y las contraseñas son de uso común por parte de las personas durante un proceso de inicio de sesión que controla el acceso a sistemas operativos de computadoras protegidos , teléfonos móviles , decodificadores de televisión por cable , cajeros automáticos (ATM), etc. Un usuario de computadora típico tiene contraseñas para muchos propósitos: iniciar sesión en cuentas, recuperar correo electrónico , acceder a aplicaciones, bases de datos, redes, sitios web e incluso leer el periódico matutino en línea.

Elegir una contraseña segura y fácil de recordar

Cuanto más fácil sea recordar una contraseña para el propietario, generalmente significa que será más fácil para un atacante adivinarla. ^[12] Sin embargo, las contraseñas que son difíciles de recordar también pueden reducir la seguridad de un sistema porque (a) los usuarios pueden necesitar escribir o almacenar electrónicamente la contraseña, (b) los usuarios necesitarán restablecer la contraseña con frecuencia y (c) los usuarios tienen más probabilidades de reutilizar la misma contraseña en diferentes cuentas. De manera similar, cuanto más estrictos sean los requisitos de la contraseña, como "tener una combinación de letras mayúsculas y minúsculas y dígitos" o "cambiarla mensualmente", mayor será el grado en que los usuarios subvertirán el sistema. ^[13] Otros argumentan que las contraseñas más largas brindan más seguridad (por ejemplo, entropía ) que las contraseñas más cortas con una amplia variedad de caracteres. ^[14]

En The Memorability and Security of Passwords ^[15] , Jeff Yan et al. examinan el efecto de los consejos que se dan a los usuarios sobre una buena elección de contraseña. Descubrieron que las contraseñas basadas en pensar en una frase y tomar la primera letra de cada palabra son tan memorables como las contraseñas elegidas ingenuamente y tan difíciles de descifrar como las contraseñas generadas aleatoriamente.

Combinar dos o más palabras no relacionadas y cambiar algunas de las letras por caracteres especiales o números es otro buen método, ^[16] pero una sola palabra del diccionario no lo es. Tener un algoritmo diseñado personalmente para generar contraseñas poco claras es otro buen método. ^[17]

Sin embargo, pedir a los usuarios que recuerden una contraseña que consiste en una "mezcla de caracteres en mayúsculas y minúsculas" es similar a pedirles que recuerden una secuencia de bits: difícil de recordar, y sólo un poco más difícil de descifrar (por ejemplo, sólo 128 veces más difícil de descifrar para contraseñas de 7 letras, menos si el usuario simplemente escribe en mayúscula una de las letras). Pedir a los usuarios que utilicen "tanto letras como dígitos" a menudo dará lugar a sustituciones fáciles de adivinar como 'E' → '3' e 'I' → '1', sustituciones que son bien conocidas por los atacantes. De manera similar, escribir la contraseña una fila más arriba en el teclado es un truco común conocido por los atacantes. ^[18]

En 2013, Google publicó una lista de los tipos de contraseñas más comunes, todas ellas consideradas inseguras porque son demasiado fáciles de adivinar (especialmente después de investigar a una persona en las redes sociales), que incluye: ^[19]

• El nombre de una mascota, un niño, un miembro de la familia o una persona importante.
• Fechas de aniversario y cumpleaños
• Lugar de nacimiento
• Nombre de una fiesta favorita
• Algo relacionado con un equipo deportivo favorito.
• La palabra "contraseña"

Alternativas a la memorización

El consejo tradicional de memorizar las contraseñas y nunca escribirlas se ha convertido en un desafío debido a la gran cantidad de contraseñas que se espera que mantengan los usuarios de computadoras e Internet. Una encuesta concluyó que el usuario promedio tiene alrededor de 100 contraseñas. ^[2] Para gestionar la proliferación de contraseñas, algunos usuarios emplean la misma contraseña para varias cuentas, una práctica peligrosa ya que una filtración de datos en una cuenta podría comprometer el resto. Las alternativas menos riesgosas incluyen el uso de administradores de contraseñas , sistemas de inicio de sesión único y simplemente mantener listas en papel de contraseñas menos críticas. ^[20] Tales prácticas pueden reducir la cantidad de contraseñas que se deben memorizar, como la contraseña maestra del administrador de contraseñas, a un número más manejable.

Factores en la seguridad de un sistema de contraseñas

La seguridad de un sistema protegido por contraseña depende de varios factores. El sistema en su conjunto debe estar diseñado para ofrecer una seguridad sólida, con protección contra virus informáticos , ataques de intermediarios y similares. Las cuestiones de seguridad física también son una preocupación, desde impedir que se espíe a los demás hasta amenazas físicas más sofisticadas, como cámaras de vídeo y rastreadores de teclado. Las contraseñas deben elegirse de forma que sean difíciles de adivinar para un atacante y difíciles de descubrir mediante cualquiera de los esquemas de ataque automáticos disponibles. Consulte la fortaleza de las contraseñas y la seguridad informática para obtener más información. ^[21]

En la actualidad, es una práctica habitual que los sistemas informáticos oculten las contraseñas a medida que se escriben. El objetivo de esta medida es evitar que personas ajenas puedan leer la contraseña; sin embargo, algunos sostienen que esta práctica puede provocar errores y estrés, lo que anima a los usuarios a elegir contraseñas débiles. Como alternativa, los usuarios deberían tener la opción de mostrar u ocultar las contraseñas a medida que las escriben. ^[21]

Las disposiciones de control de acceso eficaz pueden obligar a los delincuentes a tomar medidas extremas que intenten adquirir una contraseña o un token biométrico. ^[22] Las medidas menos extremas incluyen la extorsión , el criptoanálisis con manguera de goma y el ataque de canal lateral .

A continuación se presentan algunos aspectos específicos de la gestión de contraseñas que deben tenerse en cuenta al pensar, elegir y gestionar una contraseña.

Velocidad a la que un atacante puede intentar adivinar contraseñas

La velocidad a la que un atacante puede enviar contraseñas adivinadas al sistema es un factor clave para determinar la seguridad del sistema. Algunos sistemas imponen un tiempo de espera de varios segundos después de un pequeño número (por ejemplo, tres) de intentos fallidos de ingreso de contraseña, también conocido como limitación. ^{[3] : 63B Sec 5.2.2} En ausencia de otras vulnerabilidades, dichos sistemas pueden protegerse eficazmente con contraseñas relativamente simples si se han elegido bien y no se adivinan fácilmente. ^[23]

Muchos sistemas almacenan un hash criptográfico de la contraseña. Si un atacante obtiene acceso al archivo de contraseñas cifradas, puede adivinarlas sin conexión, y comparar rápidamente las contraseñas candidatas con el valor hash de la contraseña verdadera. En el ejemplo de un servidor web, un atacante en línea puede adivinar solo a la velocidad a la que responde el servidor, mientras que un atacante fuera de línea (que obtiene acceso al archivo) puede adivinar a una velocidad limitada solo por el hardware en el que se ejecuta el ataque y la fuerza del algoritmo utilizado para crear el hash.

Las contraseñas que se utilizan para generar claves criptográficas (por ejemplo, para el cifrado de discos o la seguridad de Wi-Fi ) también pueden ser objeto de una alta tasa de adivinación. Las listas de contraseñas comunes están ampliamente disponibles y pueden hacer que los ataques de contraseñas sean muy eficientes. (Véase Descifrado de contraseñas ). La seguridad en tales situaciones depende del uso de contraseñas o frases de contraseña de la complejidad adecuada, lo que hace que un ataque de este tipo sea computacionalmente inviable para el atacante. Algunos sistemas, como PGP y Wi-Fi WPA , aplican un hash de cálculo intensivo a la contraseña para ralentizar tales ataques. Véase estiramiento de claves .

Límites en el número de intentos de contraseña

Una alternativa para limitar la velocidad a la que un atacante puede adivinar una contraseña es limitar el número total de adivinanzas que se pueden hacer. La contraseña se puede desactivar, lo que requiere un restablecimiento, después de un pequeño número de adivinanzas incorrectas consecutivas (digamos 5); y se puede requerir que el usuario cambie la contraseña después de un número acumulado mayor de adivinanzas incorrectas (digamos 30), para evitar que un atacante haga una cantidad arbitrariamente grande de adivinanzas incorrectas intercalándolas entre adivinanzas correctas hechas por el propietario legítimo de la contraseña. ^[24] Los atacantes pueden, por el contrario, utilizar el conocimiento de esta mitigación para implementar un ataque de denegación de servicio contra el usuario al bloquear intencionalmente al usuario fuera de su propio dispositivo; esta denegación de servicio puede abrir otras vías para que el atacante manipule la situación en su beneficio a través de la ingeniería social .

Forma de las contraseñas almacenadas

Algunos sistemas informáticos almacenan las contraseñas de los usuarios en texto sin formato , con el que se pueden comparar los intentos de inicio de sesión de los usuarios. Si un atacante obtiene acceso a dicho almacén interno de contraseñas, todas las contraseñas (y, por lo tanto, todas las cuentas de usuario) se verán comprometidas. Si algunos usuarios utilizan la misma contraseña para cuentas en diferentes sistemas, estas también se verán comprometidas.

Los sistemas más seguros almacenan cada contraseña en una forma protegida criptográficamente, por lo que el acceso a la contraseña real seguirá siendo difícil para un espía que obtenga acceso interno al sistema, mientras que la validación de los intentos de acceso del usuario sigue siendo posible. Los más seguros no almacenan contraseñas en absoluto, sino una derivación unidireccional, como un polinomio , un módulo o una función hash avanzada . ^[14] Roger Needham inventó el enfoque ahora común de almacenar solo una forma "hash" de la contraseña de texto simple. ^{[25] [26]} Cuando un usuario escribe una contraseña en un sistema de este tipo, el software de manejo de contraseñas ejecuta un algoritmo hash criptográfico y, si el valor hash generado a partir de la entrada del usuario coincide con el hash almacenado en la base de datos de contraseñas, se le permite el acceso al usuario. El valor hash se crea aplicando una función hash criptográfica a una cadena que consiste en la contraseña enviada y, en muchas implementaciones, otro valor conocido como sal . Una sal evita que los atacantes creen fácilmente una lista de valores hash para contraseñas comunes y evita que los esfuerzos de descifrado de contraseñas se extiendan a todos los usuarios. ^[27] MD5 y SHA1 son funciones hash criptográficas de uso frecuente, pero no se recomiendan para el hash de contraseñas a menos que se utilicen como parte de una construcción más grande, como en PBKDF2 . ^[28]

Los datos almacenados, a veces llamados "verificador de contraseña" o "hash de contraseña", a menudo se almacenan en formato de cifrado modular o formato hash RFC 2307, a veces en el archivo /etc/passwd o en el archivo /etc/shadow . ^[29]

Los principales métodos de almacenamiento de contraseñas son texto simple, hash, hash y salt, y cifrado reversible. ^[30] Si un atacante obtiene acceso al archivo de contraseñas, entonces si está almacenado como texto simple, no es necesario descifrarlo. Si está hash pero no salteado, entonces es vulnerable a ataques de tabla arco iris (que son más eficientes que el descifrado). Si está cifrado reversiblemente, entonces si el atacante obtiene la clave de descifrado junto con el archivo no es necesario descifrarlo, mientras que si no logra obtener la clave, el descifrado no es posible. Por lo tanto, de los formatos de almacenamiento comunes para contraseñas, solo cuando las contraseñas han sido salteadas y hasheadas es necesario y posible descifrarlas. ^[30]

Si una función hash criptográfica está bien diseñada, es computacionalmente inviable invertir la función para recuperar una contraseña de texto simple . Sin embargo, un atacante puede usar herramientas ampliamente disponibles para intentar adivinar las contraseñas. Estas herramientas funcionan haciendo hashes de posibles contraseñas y comparando el resultado de cada intento con los hashes de contraseñas reales. Si el atacante encuentra una coincidencia, sabe que su intento es la contraseña real para el usuario asociado. Las herramientas de descifrado de contraseñas pueden operar por fuerza bruta (es decir, probando cada combinación posible de caracteres) o haciendo hashes de cada palabra de una lista; grandes listas de posibles contraseñas en muchos idiomas están ampliamente disponibles en Internet. ^[14] La existencia de herramientas de descifrado de contraseñas permite a los atacantes recuperar fácilmente contraseñas mal elegidas. En particular, los atacantes pueden recuperar rápidamente contraseñas que son cortas, palabras del diccionario, variaciones simples de palabras del diccionario o que usan patrones fácilmente adivinables. ^[31] Una versión modificada del algoritmo DES se utilizó como base para el algoritmo de hashes de contraseñas en los primeros sistemas Unix . ^[32] El algoritmo crypt utilizó un valor de sal de 12 bits para que el hash de cada usuario fuera único e iteró el algoritmo DES 25 veces para hacer que la función hash fuera más lenta, ambas medidas destinadas a frustrar los ataques de adivinación automática. ^[32] La contraseña del usuario se utilizó como clave para cifrar un valor fijo. Los sistemas Unix o similares a Unix más recientes (por ejemplo, Linux o los diversos sistemas BSD ) utilizan algoritmos de hash de contraseñas más seguros, como PBKDF2 , bcrypt y scrypt , que tienen sales grandes y un costo o número de iteraciones ajustable. ^[33] Una función hash mal diseñada puede hacer que los ataques sean factibles incluso si se elige una contraseña segura. Consulte LM hash para ver un ejemplo ampliamente implementado e inseguro. ^[34]

Métodos para verificar una contraseña a través de una red

Transmisión sencilla de la contraseña

Las contraseñas son vulnerables a la interceptación (es decir, al "espionaje") mientras se transmiten a la máquina o persona que realiza la autenticación. Si la contraseña se transmite como señales eléctricas a través de un cableado físico no seguro entre el punto de acceso del usuario y el sistema central que controla la base de datos de contraseñas, está sujeta a espionaje mediante métodos de escuchas telefónicas . Si se transmite como datos en paquetes a través de Internet, cualquiera que pueda ver los paquetes que contienen la información de inicio de sesión puede espiar con una probabilidad muy baja de detección.

El correo electrónico se utiliza a veces para distribuir contraseñas, pero por lo general se trata de un método inseguro. Dado que la mayoría de los correos electrónicos se envían como texto simple , cualquier espía puede leer sin esfuerzo un mensaje que contenga una contraseña durante su transporte. Además, el mensaje se almacenará como texto simple en al menos dos computadoras: la del remitente y la del destinatario. Si pasa por sistemas intermedios durante su viaje, probablemente también se almacenará allí, al menos durante algún tiempo, y puede copiarse en archivos de respaldo , caché o historial en cualquiera de estos sistemas.

El uso de cifrado del lado del cliente solo protegerá la transmisión desde el servidor del sistema de gestión de correo a la máquina del cliente. Las retransmisiones anteriores o posteriores del correo electrónico no estarán protegidas y el correo electrónico probablemente se almacenará en varias computadoras, sobre todo en la computadora de origen y la de destino, la mayoría de las veces en texto sin cifrar.

Transmisión a través de canales encriptados

El riesgo de interceptación de contraseñas enviadas a través de Internet se puede reducir, entre otras cosas, mediante el uso de protección criptográfica . La más utilizada es la función Transport Layer Security (TLS, anteriormente llamada SSL ) integrada en la mayoría de los navegadores de Internet actuales . La mayoría de los navegadores alertan al usuario de un intercambio protegido por TLS/SSL con un servidor mostrando un icono de candado cerrado, o algún otro signo, cuando TLS está en uso. Hay otras técnicas en uso; consulte criptografía .

Métodos de desafío-respuesta basados ​​en hash

Existe un conflicto entre las contraseñas almacenadas en hash y la autenticación de desafío-respuesta basada en hash ; esta última requiere que un cliente demuestre a un servidor que sabe cuál es el secreto compartido (es decir, la contraseña) y, para ello, el servidor debe poder obtener el secreto compartido de su forma almacenada. En muchos sistemas (incluidos los sistemas de tipo Unix ) que realizan autenticación remota, el secreto compartido generalmente se convierte en la forma en hash y tiene la grave limitación de exponer las contraseñas a ataques de adivinación fuera de línea. Además, cuando el hash se usa como un secreto compartido, un atacante no necesita la contraseña original para autenticarse de forma remota; solo necesita el hash.

Pruebas de contraseñas de conocimiento cero

En lugar de transmitir una contraseña o transmitir el hash de la contraseña, los sistemas de acuerdo de clave autenticados por contraseña pueden realizar una prueba de contraseña de conocimiento cero , que demuestra el conocimiento de la contraseña sin exponerla.

Yendo un paso más allá, los sistemas ampliados para el acuerdo de claves autenticado por contraseña (por ejemplo, AMP, B-SPEKE , PAK-Z, SRP-6 ) evitan tanto el conflicto como la limitación de los métodos basados ​​en hash. Un sistema ampliado permite que un cliente demuestre que conoce la contraseña a un servidor, donde el servidor solo conoce una contraseña (no exactamente) en hash, y donde la contraseña sin hash es necesaria para obtener acceso.

Procedimientos para cambiar contraseñas

Por lo general, un sistema debe proporcionar una forma de cambiar una contraseña, ya sea porque un usuario cree que la contraseña actual ha sido (o podría haber sido) comprometida, o como medida de precaución. Si se pasa una nueva contraseña al sistema en forma no cifrada, se puede perder la seguridad (por ejemplo, mediante escuchas telefónicas ) antes de que la nueva contraseña pueda incluso instalarse en la base de datos de contraseñas y si la nueva contraseña se proporciona a un empleado comprometido, no se gana mucho. Algunos sitios web incluyen la contraseña seleccionada por el usuario en un mensaje de correo electrónico de confirmación no cifrado , con la evidente mayor vulnerabilidad.

Los sistemas de gestión de identidad se utilizan cada vez más para automatizar la emisión de reemplazos de contraseñas perdidas, una función llamada restablecimiento de contraseña por cuenta propia . La identidad del usuario se verifica mediante la formulación de preguntas y la comparación de las respuestas con las que se habían almacenado previamente (es decir, cuando se abrió la cuenta).

Algunas preguntas para restablecer contraseñas solicitan información personal que podría encontrarse en las redes sociales, como el apellido de soltera de la madre. Por ello, algunos expertos en seguridad recomiendan inventar preguntas propias o dar respuestas falsas. ^[35]

Longevidad de la contraseña

El "envejecimiento de contraseñas" es una característica de algunos sistemas operativos que obliga a los usuarios a cambiar las contraseñas con frecuencia (por ejemplo, trimestralmente, mensualmente o incluso con mayor frecuencia). Estas políticas suelen provocar protestas y demoras por parte de los usuarios en el mejor de los casos y hostilidad en el peor. A menudo aumenta el número de personas que anotan la contraseña y la dejan en un lugar donde se pueda encontrar fácilmente, así como las llamadas al servicio de asistencia para restablecer una contraseña olvidada. Los usuarios pueden utilizar contraseñas más simples o desarrollar patrones de variación sobre un tema consistente para mantener sus contraseñas memorables. ^[36] Debido a estos problemas, existe cierto debate sobre si el envejecimiento de contraseñas es efectivo. ^[37] Cambiar una contraseña no evitará el abuso en la mayoría de los casos, ya que el abuso a menudo se notaría de inmediato. Sin embargo, si alguien puede haber tenido acceso a la contraseña a través de algún medio, como compartir una computadora o violar un sitio diferente, cambiar la contraseña limita la ventana de abuso. ^[38]

Número de usuarios por contraseña

Desde el punto de vista de la seguridad, es preferible asignar contraseñas independientes a cada usuario de un sistema que tener una única contraseña compartida por los usuarios legítimos del sistema. Esto se debe, en parte, a que los usuarios están más dispuestos a comunicar a otra persona (que puede no estar autorizada) una contraseña compartida que una que sea exclusivamente para su uso. Las contraseñas únicas también son mucho menos cómodas de cambiar porque es necesario comunicarlas a muchas personas al mismo tiempo y dificultan la eliminación del acceso de un usuario en particular, como por ejemplo en caso de graduación o renuncia. También se suelen utilizar inicios de sesión independientes para la rendición de cuentas, por ejemplo, para saber quién modificó un dato.

Arquitectura de seguridad de contraseñas

Las técnicas comunes utilizadas para mejorar la seguridad de los sistemas informáticos protegidos por una contraseña incluyen:

• No mostrar la contraseña en la pantalla mientras se ingresa u ocultarla mientras se escribe mediante asteriscos (*) o viñetas (•).
• Permitir contraseñas de longitud adecuada. (Algunos sistemas operativos antiguos , incluidas las primeras versiones ^{[ ¿cuáles? ]} de Unix y Windows, limitaban las contraseñas a un máximo de 8 caracteres, ^{[39] [40] [41]} lo que reducía la seguridad).
• Exigir a los usuarios que vuelvan a ingresar su contraseña después de un período de inactividad (una política de cierre de sesión parcial).
• Implementar una política de contraseñas para aumentar la seguridad y fortaleza de las mismas .
  • Asignar contraseñas elegidas aleatoriamente.
  • Exigir longitudes mínimas de contraseñas . ^[28]
  • Algunos sistemas requieren que las contraseñas contengan caracteres de distintas clases (por ejemplo, "debe tener al menos una letra mayúscula y al menos una minúscula"). Sin embargo, las contraseñas que solo contienen minúsculas son más seguras por pulsación de tecla que las contraseñas que usan mayúsculas y minúsculas. ^[42]
  • Utilice una lista negra de contraseñas para bloquear el uso de contraseñas débiles y fáciles de adivinar.
  • Proporcionar una alternativa a la entrada mediante teclado (por ejemplo, contraseñas habladas o identificadores biométricos ).
  • Requerir más de un sistema de autenticación, como la autenticación de dos factores (algo que el usuario tiene y algo que el usuario sabe).
• Utilizar túneles cifrados o acuerdos de clave autenticados con contraseña para evitar el acceso a las contraseñas transmitidas mediante ataques a la red
• Limitar la cantidad de errores permitidos dentro de un período de tiempo determinado (para evitar que se adivine la contraseña repetidamente). Una vez alcanzado el límite, los intentos posteriores fallarán (incluidos los intentos de ingresar la contraseña correcta) hasta el comienzo del siguiente período de tiempo. Sin embargo, esto es vulnerable a una forma de ataque de denegación de servicio .
• Introducción de un retraso entre los intentos de envío de contraseñas para ralentizar los programas de adivinación automática de contraseñas.

Algunas de las medidas de aplicación de políticas más estrictas pueden suponer el riesgo de alienar a los usuarios, lo que posiblemente reduzca la seguridad como resultado.

Reutilización de contraseñas

Es una práctica común entre los usuarios de computadoras reutilizar la misma contraseña en varios sitios. Esto presenta un riesgo de seguridad sustancial, porque un atacante solo necesita comprometer un solo sitio para obtener acceso a otros sitios que usa la víctima. Este problema se ve agravado por la reutilización de nombres de usuario y por los sitios web que requieren inicios de sesión con correo electrónico, ya que le facilita a un atacante rastrear a un solo usuario en varios sitios. La reutilización de contraseñas se puede evitar o minimizar utilizando técnicas mnemotécnicas , escribiendo las contraseñas en un papel o utilizando un administrador de contraseñas . ^[43]

Los investigadores de Redmond Dinei Florencio y Cormac Herley, junto con Paul C. van Oorschot de la Universidad de Carleton, Canadá, han sostenido que la reutilización de contraseñas es inevitable y que los usuarios deberían reutilizar las contraseñas para sitios web de baja seguridad (que contienen pocos datos personales y ninguna información financiera, por ejemplo) y, en su lugar, centrar sus esfuerzos en recordar contraseñas largas y complejas para unas pocas cuentas importantes, como las cuentas bancarias. ^[44] Forbes presentó argumentos similares al no cambiar las contraseñas con tanta frecuencia como muchos "expertos" aconsejan, debido a las mismas limitaciones de la memoria humana. ^[36]

Escribir contraseñas en papel

Históricamente, muchos expertos en seguridad pedían a la gente que memorizara sus contraseñas: "Nunca escribas una contraseña". Más recientemente, muchos expertos en seguridad como Bruce Schneier recomiendan que las personas utilicen contraseñas que sean demasiado complicadas de memorizar, las escriban en un papel y las guarden en una billetera. ^{[45] [46] [47] [48] [49] [50] [51]}

El software de gestión de contraseñas también puede almacenar contraseñas de forma relativamente segura, en un archivo cifrado sellado con una única contraseña maestra.

Después de la muerte

Para facilitar la administración de los bienes, es útil que las personas dispongan de un mecanismo para comunicar sus contraseñas a las personas que administrarán sus asuntos en caso de fallecimiento. Si se prepara un registro de cuentas y contraseñas, se debe tener cuidado de garantizar que los registros sean seguros, para evitar robos o fraudes. ^[52]

Autenticación multifactor

Los esquemas de autenticación multifactorial combinan contraseñas (como "factores de conocimiento") con uno o más medios de autenticación adicionales, para hacer que la autenticación sea más segura y menos vulnerable a contraseñas comprometidas. Por ejemplo, un inicio de sesión simple de dos factores podría enviar un mensaje de texto, correo electrónico, llamada telefónica automatizada o alerta similar cada vez que se realiza un intento de inicio de sesión, posiblemente proporcionando un código que debe ingresarse además de una contraseña. ^[53] Factores más sofisticados incluyen cosas como tokens de hardware y seguridad biométrica.

Rotación de contraseñas

La rotación de contraseñas es una política que se implementa comúnmente con el objetivo de mejorar la seguridad informática . En 2019, Microsoft declaró que la práctica es "antigua y obsoleta". ^{[54] [55]}

Reglas de contraseña

La mayoría de las organizaciones especifican una política de contraseñas que establece requisitos para la composición y el uso de contraseñas, que generalmente dictan la longitud mínima, las categorías requeridas (por ejemplo, mayúsculas y minúsculas, números y caracteres especiales), los elementos prohibidos (por ejemplo, el uso del propio nombre, fecha de nacimiento, dirección, número de teléfono). Algunos gobiernos tienen marcos nacionales de autenticación ^[56] que definen los requisitos para la autenticación de usuarios en los servicios gubernamentales, incluidos los requisitos para las contraseñas.

Muchos sitios web aplican reglas estándar, como la longitud mínima y máxima, pero también incluyen con frecuencia reglas de composición, como incluir al menos una letra mayúscula y al menos un número/símbolo. Estas últimas reglas, más específicas, se basaron en gran medida en un informe de 2003 del Instituto Nacional de Estándares y Tecnología (NIST), escrito por Bill Burr. ^[57] Originalmente proponía la práctica de usar números, caracteres oscuros y letras mayúsculas y actualizarlo periódicamente. En un artículo de 2017 en The Wall Street Journal , Burr informó que lamenta estas propuestas y cometió un error cuando las recomendó. ^[58]

Según una nueva versión de este informe del NIST en 2017, muchos sitios web tienen reglas que en realidad tienen el efecto opuesto en la seguridad de sus usuarios. Esto incluye reglas de composición complejas, así como cambios forzados de contraseña después de ciertos períodos de tiempo. Si bien estas reglas se han generalizado durante mucho tiempo, también han sido vistas como molestas e ineficaces tanto por los usuarios como por los expertos en ciberseguridad. ^[59] El NIST recomienda que las personas usen frases más largas como contraseñas (y aconseja a los sitios web que aumenten la longitud máxima de las contraseñas) en lugar de contraseñas difíciles de recordar con una "complejidad ilusoria" como "pA55w+rd". ^[60] Un usuario al que se le impide usar la contraseña "contraseña" puede simplemente elegir "Contraseña1" si se le solicita que incluya un número y una letra mayúscula. Combinado con cambios periódicos forzados de contraseña, esto puede dar lugar a contraseñas que son difíciles de recordar pero fáciles de descifrar. ^[57]

Paul Grassi, uno de los autores del informe del NIST de 2017, explicó con más detalle: “Todo el mundo sabe que un signo de exclamación es un 1, o una I, o el último carácter de una contraseña. $ es una S o un 5. Si utilizamos estos trucos bien conocidos, no engañamos a ningún adversario. Simplemente engañamos a la base de datos que almacena las contraseñas para que piense que el usuario hizo algo bueno”. ^[59]

Pieris Tsokkis y Eliana Stavrou fueron capaces de identificar algunas estrategias de construcción de contraseñas erróneas a través de su investigación y desarrollo de una herramienta generadora de contraseñas. Propusieron ocho categorías de estrategias de construcción de contraseñas basadas en listas de contraseñas expuestas, herramientas de descifrado de contraseñas e informes en línea que citan las contraseñas más utilizadas. Estas categorías incluyen información relacionada con el usuario, combinaciones y patrones de teclado, estrategia de colocación, procesamiento de textos, sustitución, uso de mayúsculas, fechas de anexión y una combinación de las categorías anteriores ^[61].

Descifrado de contraseñas

Intentar descifrar contraseñas probando tantas posibilidades como el tiempo y el dinero lo permitan es un ataque de fuerza bruta . Un método relacionado, bastante más eficiente en la mayoría de los casos, es un ataque de diccionario . En un ataque de diccionario, se prueban todas las palabras de uno o más diccionarios. También se suelen probar listas de contraseñas comunes.

La fortaleza de una contraseña es la probabilidad de que no se pueda adivinar ni descubrir, y varía según el algoritmo de ataque utilizado. Los criptólogos y los informáticos suelen referirse a la fortaleza o "dureza" en términos de entropía . ^[14]

Las contraseñas que se descubren fácilmente se denominan débiles o vulnerables ; las contraseñas muy difíciles o imposibles de descubrir se consideran seguras . Existen varios programas disponibles para atacar contraseñas (o incluso para realizar auditorías y recuperación por parte del personal de sistemas), como L0phtCrack , John the Ripper y Cain ; algunos de los cuales utilizan vulnerabilidades de diseño de contraseñas (como las que se encuentran en el sistema Microsoft LANManager) para aumentar la eficiencia. Estos programas a veces son utilizados por los administradores de sistemas para detectar contraseñas débiles propuestas por los usuarios.

Los estudios de sistemas informáticos de producción han demostrado de forma consistente que una gran parte de las contraseñas elegidas por los usuarios se adivinan automáticamente con facilidad. Por ejemplo, la Universidad de Columbia descubrió que el 22% de las contraseñas de los usuarios se podían recuperar con poco esfuerzo. ^[62] Según Bruce Schneier , al examinar los datos de un ataque de phishing de 2006 , el 55% de las contraseñas de MySpace se podrían descifrar en 8 horas utilizando un kit de herramientas de recuperación de contraseñas disponible comercialmente capaz de probar 200.000 contraseñas por segundo en 2006. ^[63] También informó que la contraseña más común era password1 , lo que confirma una vez más la falta general de cuidado informado a la hora de elegir contraseñas entre los usuarios. (Sin embargo, sostuvo, basándose en estos datos, que la calidad general de las contraseñas ha mejorado con los años; por ejemplo, la longitud media era de hasta ocho caracteres frente a menos de siete en las encuestas anteriores, y menos del 4% eran palabras del diccionario. ^[64] )

Incidentes

• El 16 de julio de 1998, el CERT informó de un incidente en el que un atacante había descubierto 186.126 contraseñas cifradas. En el momento en que se descubrió al atacante, ya se habían descifrado 47.642 contraseñas. ^[65]
• En septiembre de 2001, después de la muerte de 658 de sus 960 empleados de Nueva York en los ataques del 11 de septiembre , la firma de servicios financieros Cantor Fitzgerald a través de Microsoft rompió las contraseñas de los empleados fallecidos para obtener acceso a los archivos necesarios para dar servicio a las cuentas de los clientes. ^[66] Los técnicos utilizaron ataques de fuerza bruta y los entrevistadores contactaron a las familias para reunir información personalizada que pudiera reducir el tiempo de búsqueda de contraseñas más débiles. ^[66]
• En diciembre de 2009, se produjo una importante filtración de contraseñas en el sitio web Rockyou.com que dio lugar a la divulgación de 32 millones de contraseñas. El hacker filtró entonces la lista completa de las 32 millones de contraseñas (sin ninguna otra información identificable) a Internet. Las contraseñas se almacenaron en texto sin formato en la base de datos y se extrajeron mediante una vulnerabilidad de inyección SQL. El Centro de Defensa de Aplicaciones (ADC) de Imperva realizó un análisis sobre la solidez de las contraseñas. ^[67]
• En junio de 2011, la OTAN (Organización del Tratado del Atlántico Norte) sufrió una brecha de seguridad que llevó a la divulgación pública de nombres y apellidos, nombres de usuario y contraseñas de más de 11.000 usuarios registrados de su librería electrónica. Los datos se filtraron como parte de la Operación AntiSec , un movimiento que incluye a Anonymous , LulzSec , así como otros grupos e individuos de piratas informáticos. El objetivo de AntiSec es exponer información personal, sensible y restringida al mundo, utilizando cualquier medio necesario. ^[68]
• El 11 de julio de 2011, los servidores de Booz Allen Hamilton , una empresa de consultoría que trabaja para el Pentágono , fueron hackeados por Anonymous y se filtraron datos el mismo día. "La filtración, denominada 'Military Meltdown Monday', incluye 90.000 inicios de sesión de personal militar, incluidos personal de USCENTCOM , SOCOM , el Cuerpo de Marines , varias instalaciones de la Fuerza Aérea , Seguridad Nacional , personal del Departamento de Estado y lo que parecen ser contratistas del sector privado". ^[69] Estas contraseñas filtradas terminaron siendo codificadas en SHA1, y luego fueron descifradas y analizadas por el equipo ADC en Imperva , revelando que incluso el personal militar busca atajos y formas de evitar los requisitos de contraseña. ^[70]
• El 5 de junio de 2012, una vulneración de la seguridad en LinkedIn dio lugar al robo de 117 millones de contraseñas y correos electrónicos. Millones de contraseñas se publicaron posteriormente en un foro ruso. Un hacker llamado "Peace" ofreció posteriormente contraseñas adicionales a la venta. LinkedIn llevó a cabo un restablecimiento obligatorio de todas las cuentas comprometidas. ^[71]

Alternativas a las contraseñas para la autenticación

Las numerosas formas en que se pueden comprometer las contraseñas permanentes o semipermanentes han impulsado el desarrollo de otras técnicas. Algunas son inadecuadas en la práctica y, en cualquier caso, pocas se han vuelto universalmente disponibles para los usuarios que buscan una alternativa más segura. ^[72] Un artículo de 2012 ^[73] examina por qué las contraseñas han demostrado ser tan difíciles de reemplazar (a pesar de numerosas predicciones de que pronto serían cosa del pasado ^[74] ); al examinar treinta reemplazos representativos propuestos con respecto a la seguridad, la usabilidad y la facilidad de implementación, concluyen que "ninguna conserva siquiera el conjunto completo de beneficios que las contraseñas tradicionales ya brindan".

• Contraseñas de un solo uso . Tener contraseñas que solo son válidas una vez hace que muchos ataques potenciales sean ineficaces. La mayoría de los usuarios encuentran las contraseñas de un solo uso extremadamente incómodas. Sin embargo, se han implementado ampliamente en la banca en línea personal , donde se conocen como números de autenticación de transacciones (TAN). Como la mayoría de los usuarios domésticos solo realizan una pequeña cantidad de transacciones por semana, el problema de los números de un solo uso no ha provocado una insatisfacción intolerable por parte de los clientes en este caso.
• Las contraseñas de un solo uso sincronizadas en el tiempo son similares en algunos aspectos a las contraseñas de un solo uso, pero el valor que se debe ingresar se muestra en un elemento pequeño (generalmente de bolsillo) y cambia cada minuto aproximadamente.
• Las contraseñas de un solo uso de PassWindow se utilizan como contraseñas de un solo uso, pero los caracteres dinámicos que se deben ingresar solo son visibles cuando un usuario superpone una clave visual impresa única sobre una imagen de desafío generada por el servidor que se muestra en la pantalla del usuario.
• Controles de acceso basados ​​en criptografía de clave pública, por ejemplo, ssh . Las claves necesarias suelen ser demasiado grandes para memorizarlas (pero véase la propuesta de Passmaze) ^[75] y deben almacenarse en un ordenador local, un token de seguridad o un dispositivo de memoria portátil, como una unidad flash USB o incluso un disquete . La clave privada puede almacenarse en un proveedor de servicios en la nube y activarse mediante el uso de una contraseña o una autenticación de dos factores.
• Los métodos biométricos prometen una autenticación basada en características personales inalterables, pero actualmente (2008) tienen altas tasas de error y requieren hardware adicional para escanear, ^{[ necesita actualización ]} por ejemplo, huellas dactilares , iris , etc. Han demostrado ser fáciles de falsificar en algunos incidentes famosos al probar sistemas disponibles comercialmente, por ejemplo, la demostración de falsificación de huellas dactilares de gummie, ^[76] y, debido a que estas características son inalterables, no se pueden cambiar si se ven comprometidas; esta es una consideración muy importante en el control de acceso, ya que un token de acceso comprometido es necesariamente inseguro.
• Se afirma que la tecnología de inicio de sesión único elimina la necesidad de tener varias contraseñas. Estos esquemas no eximen a los usuarios y administradores de elegir contraseñas únicas razonables, ni a los diseñadores de sistemas o administradores de garantizar que la información de control de acceso privado que se transmite entre sistemas que permiten el inicio de sesión único sea segura contra ataques. Hasta el momento, no se ha desarrollado ninguna norma satisfactoria.
• La tecnología Envaulting es una forma de proteger los datos en dispositivos de almacenamiento extraíbles, como unidades flash USB, sin necesidad de contraseñas. En lugar de contraseñas de usuario, el control de acceso se basa en el acceso del usuario a un recurso de red.
• Contraseñas no basadas en texto, como contraseñas gráficas o contraseñas basadas en el movimiento del mouse. ^[77] Las contraseñas gráficas son un medio alternativo de autenticación para el inicio de sesión destinado a ser utilizado en lugar de la contraseña convencional; utilizan imágenes , gráficos o colores en lugar de letras , dígitos o caracteres especiales . Un sistema requiere que los usuarios seleccionen una serie de caras como contraseña, utilizando la capacidad del cerebro humano para recordar caras fácilmente. ^[78] En algunas implementaciones, se requiere que el usuario elija entre una serie de imágenes en la secuencia correcta para obtener acceso. ^[79] Otra solución de contraseña gráfica crea una contraseña de un solo uso utilizando una cuadrícula de imágenes generada aleatoriamente. Cada vez que se requiere que el usuario se autentique, busca las imágenes que se ajustan a sus categorías preseleccionadas e ingresa el carácter alfanumérico generado aleatoriamente que aparece en la imagen para formar la contraseña de un solo uso. ^{[80] [81]} Hasta ahora, las contraseñas gráficas son prometedoras, pero no se usan ampliamente. Se han realizado estudios sobre este tema para determinar su usabilidad en el mundo real. Aunque algunos creen que las contraseñas gráficas serían más difíciles de descifrar , otros sugieren que las personas tendrán la misma probabilidad de elegir imágenes o secuencias comunes que de elegir contraseñas comunes. ^{[ cita requerida ]}
• La clave 2D (clave bidimensional) ^[82] es un método de entrada de clave similar a una matriz 2D que tiene los estilos de clave de frase de contraseña multilínea, crucigrama, arte ASCII/Unicode, con ruidos semánticos textuales opcionales, para crear una contraseña/clave grande más allá de los 128 bits para realizar MePKC (criptografía de clave pública memorizable) ^[83] utilizando una clave privada completamente memorizable sobre las tecnologías de gestión de clave privada actuales como clave privada cifrada, clave privada dividida y clave privada móvil.
• Las contraseñas cognitivas utilizan pares de preguntas y respuestas para verificar la identidad.

"La contraseña está muerta"

"La contraseña ha muerto" es una idea recurrente en el ámbito de la seguridad informática . Las razones que se dan a menudo incluyen referencias a la usabilidad así como a los problemas de seguridad de las contraseñas. A menudo acompañan a los argumentos de que la sustitución de las contraseñas por un medio de autenticación más seguro es necesaria e inminente. Esta afirmación ha sido hecha por numerosas personas al menos desde 2004. ^{[74] [84] [85] [86] [87] [88] [89] [90]}

Las alternativas a las contraseñas incluyen la biometría , la autenticación de dos factores o inicio de sesión único , Cardspace de Microsoft , el proyecto Higgins , Liberty Alliance , NSTIC , FIDO Alliance y varias propuestas de Identidad 2.0. ^{[91] [92]}

Sin embargo, a pesar de estas predicciones y de los esfuerzos por reemplazarlas, las contraseñas siguen siendo la forma dominante de autenticación en la web. En "La persistencia de las contraseñas", Cormac Herley y Paul van Oorschot sugieren que se debe hacer todo lo posible para poner fin a la "suposición espectacularmente incorrecta" de que las contraseñas están muertas. ^[93] Argumentan que "ninguna otra tecnología iguala su combinación de costo, inmediatez y conveniencia" y que "las contraseñas son en sí mismas la opción más adecuada para muchos de los escenarios en los que se utilizan actualmente".

A continuación, Bonneau et al. compararon sistemáticamente las contraseñas web con 35 esquemas de autenticación de la competencia en términos de usabilidad, facilidad de implementación y seguridad. ^{[94] [95]} Su análisis muestra que la mayoría de los esquemas son mejores que las contraseñas en cuanto a seguridad, algunos esquemas son mejores y otros peores en cuanto a usabilidad, mientras que todos los esquemas son peores que las contraseñas en cuanto a facilidad de implementación. Los autores concluyen con la siguiente observación: "Las ganancias marginales a menudo no son suficientes para alcanzar la energía de activación necesaria para superar los costos de transición significativos, lo que puede proporcionar la mejor explicación de por qué es probable que vivamos considerablemente más tiempo antes de ver llegar al cementerio la procesión fúnebre de las contraseñas".

Véase también

• Código de acceso (desambiguación)
• Cerradura de combinación
• Juego de dados
• Cerradura electrónica
• Kerberos (protocolo)
• Archivo de claves
• Mapa de Pass
• Fatiga de contraseñas
• Notificación de contraseña por correo electrónico
• Psicología de las contraseñas
• Sincronización de contraseñas
• Clave precompartida
• Generador de contraseñas aleatorias
• Santo y seña
• Usabilidad de los sistemas de autenticación web

Referencias

1. Ranjan, Pratik; Om, Hari (6 de mayo de 2016). "Un esquema eficiente de autenticación de contraseñas de usuarios remotos basado en el criptosistema de Rabin". Comunicaciones personales inalámbricas . 90 (1): 217–244. doi :10.1007/s11277-016-3342-5. ISSN  0929-6212. S2CID  21912076.
2. Williams, Shannon (21 de octubre de 2020). «La persona promedio tiene 100 contraseñas, según un estudio». NordPass . Consultado el 28 de abril de 2021 .
3. Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (junio de 2017). "Publicación especial 800-63-3 del NIST: Directrices de identidad digital". Instituto Nacional de Estándares y Tecnología (NIST). doi : 10.6028/NIST.SP.800-63-3 . Consultado el 17 de mayo de 2019 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
4. "protocolo de autenticación". Centro de recursos de seguridad informática (NIST). Archivado desde el original el 17 de mayo de 2019. Consultado el 17 de mayo de 2019 .
5. "Frase de contraseña". Centro de recursos de seguridad informática (NIST) . Consultado el 17 de mayo de 2019 .
6. Polibio sobre el ejército romano Archivado el 7 de febrero de 2008 en Wayback Machine . Ancienthistory.about.com (13 de abril de 2012). Consultado el 20 de mayo de 2012.
7. Mark Bando (2007). 101.ª División Aerotransportada: Las águilas que gritaban en la Segunda Guerra Mundial. Mbi Publishing Company. ISBN 978-0-7603-2984-9Archivado desde el original el 2 de junio de 2013 . Consultado el 20 de mayo de 2012 .
8. McMillan, Robert (27 de enero de 2012). «¿La primera contraseña de ordenador del mundo? También era inútil». Revista Wired . Consultado el 22 de marzo de 2019 .
9. Hunt, Troy (26 de julio de 2017). «Passwords Evolved: Authentication Guidance for the Modern Era» (Las contraseñas evolucionaron: guía de autenticación para la era moderna) . Consultado el 22 de marzo de 2019 .
10. Guía del programador CTSS, 2.ª edición, MIT Press, 1965
11. Morris, Robert; Thompson, Ken (3 de abril de 1978). "Seguridad de contraseñas: un caso clínico". Bell Laboratories . CiteSeerX 10.1.1.128.1635 . 
12. Vance, Ashlee (10 de enero de 2010). "Si tu contraseña es 123456, simplemente haz que sea HackMe". The New York Times . Archivado desde el original el 11 de febrero de 2017.
13. "Administración de la seguridad de la red". Archivado desde el original el 2 de marzo de 2008 . Consultado el 31 de marzo de 2009 .{{cite web}}: CS1 maint: bot: estado de URL original desconocido ( enlace ). Fred Cohen and Associates. All.net. Consultado el 20 de mayo de 2012.
14. Lundin, Leigh (11 de agosto de 2013). "PIN y contraseñas, parte 2". Contraseñas . Orlando: SleuthSayers.
15. La memorabilidad y seguridad de las contraseñas Archivado el 14 de abril de 2012 en Wayback Machine (pdf). ncl.ac.uk. Recuperado el 20 de mayo de 2012.
16. Michael E. Whitman; Herbert J. Mattord (2014). Principios de seguridad de la información. Cengage Learning. pág. 162. ISBN 978-1-305-17673-7.
17. "Cómo crear un generador de contraseñas aleatorias". PCMAG . Consultado el 5 de septiembre de 2021 .
18. Lewis, Dave (2011). Ctrl-Alt-Delete. Lulu.com. pág. 17. ISBN 978-1471019111. Recuperado el 10 de julio de 2015 .
19. Techlicious / Fox Van Allen @techlicious (8 de agosto de 2013). "Google revela las 10 peores ideas de contraseñas | TIME.com". Techland.time.com. Archivado desde el original el 22 de octubre de 2013. Consultado el 16 de octubre de 2013 .
20. Fleishman, Glenn (24 de noviembre de 2015). "Escribe tus contraseñas para mejorar la seguridad: una idea contraintuitiva te hace menos vulnerable a ataques remotos, no más". MacWorld . Consultado el 28 de abril de 2021 .
21. Blog de Lyquix: ¿Necesitamos ocultar las contraseñas? Archivado el 25 de abril de 2012 en Wayback Machine . Lyquix.com. Recuperado el 20 de mayo de 2012.
22. Jonathan Kent Ladrones de coches en Malasia roban un dedo Archivado el 20 de noviembre de 2010 en Wayback Machine . BBC (31 de marzo de 2005)
23. Stuart Brown "Las diez contraseñas más utilizadas en el Reino Unido". Archivado desde el original el 8 de noviembre de 2006. Consultado el 14 de agosto de 2007 .. Modernlifeisrubbish.co.uk (26 de mayo de 2006). Recuperado el 20 de mayo de 2012.
24. Patente estadounidense 8046827 
25. Wilkes, MV Sistemas informáticos de tiempo compartido. American Elsevier, Nueva York, (1968).
26. Schofield, Jack (10 de marzo de 2003). "Roger Needham". The Guardian .
27. The Bug Charmer: Las contraseñas importan Archivado el 2 de noviembre de 2013 en Wayback Machine . Bugcharmer.blogspot.com (20 de junio de 2012). Consultado el 30 de julio de 2013.
28. Alexander, Steven. (20 de junio de 2012) The Bug Charmer: How long should passwords be? Archivado el 20 de septiembre de 2012 en Wayback Machine . Bugcharmer.blogspot.com. Consultado el 30 de julio de 2013.
29. "passlib.hash - Esquemas de hash de contraseñas" Archivado el 21 de julio de 2013 en Wayback Machine .
30. Florencio et al., An Administrator's Guide to Internet Password Research Archivado el 14 de febrero de 2015 en Wayback Machine . (pdf) Consultado el 14 de marzo de 2015.
31. Historia de crackeo: cómo descifré más de 122 millones de contraseñas con algoritmos hash SHA1 y MD5 « Blog de Thireus Archivado el 30 de agosto de 2012 en Wayback Machine . Blog.thireus.com (29 de agosto de 2012). Consultado el 30 de julio de 2013.
32. Morris, Robert y Thompson, Ken (1979). "Seguridad de contraseñas: un caso clínico". Comunicaciones de la ACM . 22 (11): 594–597. CiteSeerX 10.1.1.135.2097 . doi :10.1145/359168.359172. S2CID  207656012. Archivado desde el original el 22 de marzo de 2003. 
33. Protección de contraseñas para sistemas operativos modernos Archivado el 11 de marzo de 2016 en Wayback Machine (pdf). Usenix.org. Recuperado el 20 de mayo de 2012.
34. Cómo evitar que Windows almacene un hash de administrador de LAN de su contraseña en Active Directory y bases de datos SAM locales Archivado el 9 de mayo de 2006 en Wayback Machine . support.microsoft.com (3 de diciembre de 2007). Consultado el 20 de mayo de 2012.
35. "Por qué deberías mentir al configurar las preguntas de seguridad de contraseñas". Techlicious. 8 de marzo de 2013. Archivado desde el original el 23 de octubre de 2013. Consultado el 16 de octubre de 2013 .
36. Joseph Steinberg (12 de noviembre de 2014). «Forbes: Por qué debería ignorar todo lo que le han dicho sobre la elección de contraseñas». Forbes . Archivado desde el original el 12 de noviembre de 2014. Consultado el 12 de noviembre de 2014 .
37. "Los problemas de forzar la expiración regular de contraseñas". IA Matters . CESG: el brazo de seguridad de la información de GCHQ. 15 de abril de 2016. Archivado desde el original el 17 de agosto de 2016 . Consultado el 5 de agosto de 2016 .
38. Schneier on Security debate sobre el cambio de contraseñas Archivado el 30 de diciembre de 2010 en Wayback Machine . Schneier.com. Consultado el 20 de mayo de 2012.
39. Seltzer, Larry. (9 de febrero de 2010) "American Express: crédito sólido, contraseñas débiles" Archivado el 12 de julio de 2017 en Wayback Machine . Pcmag.com. Consultado el 20 de mayo de 2012.
40. "Diez mitos sobre las contraseñas de Windows": "Los cuadros de diálogo de NT... limitan las contraseñas a un máximo de 14 caracteres"
41. "Debe proporcionar una contraseña de entre 1 y 8 caracteres". Jira.codehaus.org. Consultado el 20 de mayo de 2012. Archivado el 21 de mayo de 2015 en Wayback Machine.
42. "¿Capitalizar o no capitalizar?" Archivado el 17 de febrero de 2009 en Wayback Machine . World.std.com. Consultado el 20 de mayo de 2012.
43. Thomas, Keir (10 de febrero de 2011). «La reutilización de contraseñas es demasiado común, según muestran las investigaciones». PC World . Archivado desde el original el 12 de agosto de 2014. Consultado el 10 de agosto de 2014 .
44. Pauli, Darren (16 de julio de 2014). «Microsoft: NECESITAS contraseñas malas y deberías reutilizarlas con frecuencia». The Register . Archivado desde el original el 12 de agosto de 2014. Consultado el 10 de agosto de 2014 .
45. Bruce Schneier: Boletín informativo Crypto-Gram Archivado el 15 de noviembre de 2011 en Wayback Machine 15 de mayo de 2001
46. "Diez mitos sobre las contraseñas de Windows": Mito n.° 7: nunca debe escribir su contraseña
47. Kotadia, Munir (23 de mayo de 2005) El gurú de la seguridad de Microsoft: anote sus contraseñas. News.cnet.com. Consultado el 20 de mayo de 2012.
48. "El dilema de la contraseña segura" Archivado el 18 de julio de 2010 en Wayback Machine por Richard E. Smith: "podemos resumir las reglas clásicas de selección de contraseñas de la siguiente manera: la contraseña debe ser imposible de recordar y nunca debe escribirse".
49. Bob Jenkins (11 de enero de 2013). «Elección de contraseñas aleatorias». Archivado desde el original el 18 de septiembre de 2010.
50. "La memorabilidad y seguridad de las contraseñas: algunos resultados empíricos" Archivado el 19 de febrero de 2011 en Wayback Machine (pdf)

    "su contraseña... en un lugar seguro, como la parte trasera de su billetera o bolso".

51. "¿Debo anotar mi contraseña?" Archivado el 17 de febrero de 2009 en Wayback Machine . World.std.com. Consultado el 20 de mayo de 2012.
52. Redding, David E.; Features, AEP publicado en (19 de abril de 2019). "Su patrimonio podría tener un problema grave de contraseñas". Kiplinger.com . Consultado el 17 de agosto de 2024 .
53. Autenticación de dos factores Archivado el 18 de junio de 2016 en Wayback Machine.
54. Goodin, Dan (3 de junio de 2019). "Microsoft dice que el cambio obligatorio de contraseñas es "antiguo y obsoleto"". Ars Technica . Consultado el 1 de noviembre de 2022 .
55. Kristen Ranta-Haikal Wilson (9 de marzo de 2020). "El debate sobre las políticas de rotación de contraseñas". SANS Institute . Consultado el 31 de octubre de 2022 .
56. AlFayyadh, Bander; Thorsheim, Per; Jøsang, Audun; Klevjer, Henning. "Mejorar la usabilidad de la gestión de contraseñas con políticas de contraseñas estandarizadas" (PDF) . Archivado (PDF) desde el original el 20 de junio de 2013. Consultado el 12 de octubre de 2012 .
57. Tung, Liam (9 de agosto de 2017). "¿Odias las reglas absurdas sobre contraseñas? También las odia el tipo que las creó". ZDNet . Archivado desde el original el 29 de marzo de 2018.
58. McMillan, Robert (7 de agosto de 2017). "El hombre que escribió esas reglas de contraseñas tiene un nuevo consejo: ¡N3v$r M1^d!" . The Wall Street Journal . Archivado desde el original el 9 de agosto de 2017.
59. Roberts, Jeff John (11 de mayo de 2017). "Los expertos dicen que finalmente podemos deshacernos de esas estúpidas reglas sobre contraseñas" . Fortune . Archivado desde el original el 28 de junio de 2018.
60. Wisniewski, Chester (18 de agosto de 2016). «Las nuevas reglas de contraseñas del NIST: lo que necesita saber». Naked Security . Archivado desde el original el 28 de junio de 2018.
61. P. Tsokkis y E. Stavrou, "Una herramienta generadora de contraseñas para aumentar la conciencia de los usuarios sobre las malas estrategias de construcción de contraseñas", Simposio Internacional sobre Redes, Computadoras y Comunicaciones (ISNCC) de 2018, Roma, 2018, págs. 1-5, doi :10.1109/ISNCC.2018.8531061.
62. "Contraseña". Archivado desde el original el 23 de abril de 2007. Consultado el 20 de mayo de 2012 .{{cite web}}: CS1 maint: bot: estado de URL original desconocido ( enlace ).cs.columbia.edu
63. Schneier, Real-World Passwords Archivado el 23 de septiembre de 2008 en Wayback Machine . Schneier.com. Consultado el 20 de mayo de 2012.
64. Las contraseñas de MySpace no son tan tontas Archivado el 29 de marzo de 2014 en Wayback Machine . Wired.com (27 de octubre de 2006). Consultado el 20 de mayo de 2012.
65. "CERT IN-98.03". 16 de julio de 1998. Consultado el 9 de septiembre de 2009 .
66. Urbina, Ian; Davis, Leslye (23 de noviembre de 2014). "La vida secreta de las contraseñas". The New York Times . Archivado desde el original el 28 de noviembre de 2014.
67. "Peores prácticas de contraseñas para consumidores (pdf)" (PDF) . Archivado (PDF) del original el 28 de julio de 2011.
68. "Hackean sitio web de la OTAN". The Register . 24 de junio de 2011. Archivado desde el original el 29 de junio de 2011 . Consultado el 24 de julio de 2011 .
69. "Anonymous filtra 90.000 cuentas de correo electrónico militares en el último ataque Antisec". 11 de julio de 2011. Archivado desde el original el 14 de julio de 2017.
70. "Análisis de contraseñas militares". 12 de julio de 2011. Archivado desde el original el 15 de julio de 2011.
71. "En la filtración de Linkedin de 2012 se robaron 117 millones de correos electrónicos y contraseñas, no 6,5 millones - Noticias de seguridad" www.trendmicro.com . 18 de mayo de 2016 . Consultado el 11 de octubre de 2023 .
72. "Las 12 principales técnicas de descifrado de contraseñas utilizadas por los piratas informáticos". IT PRO . 14 de octubre de 2019 . Consultado el 18 de julio de 2022 .
73. "La búsqueda para reemplazar las contraseñas (pdf)" (PDF) . IEEE. 15 de mayo de 2012. Archivado (PDF) desde el original el 19 de marzo de 2015 . Consultado el 11 de marzo de 2015 .
74. "Gates predice la muerte de la contraseña". CNET . 25 de febrero de 2004. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
75. Archivo de impresión electrónica de criptología: Informe 2005/434 Archivado el 14 de junio de 2006 en Wayback Machine . eprint.iacr.org. Recuperado el 20 de mayo de 2012.
76. T Matsumoto. H Matsumotot; K Yamada y S Hoshino (2002). Van Renesse, Rudolf L. (ed.). "Impacto de los dedos artificiales 'gomosos' en los sistemas de huellas dactilares". Proc SPIE . Técnicas de seguridad óptica y disuasión de falsificaciones IV. 4677 : 275. Bibcode :2002SPIE.4677..275M. doi :10.1117/12.462719. S2CID  16897825.
77. Uso de AJAX para contraseñas de imágenes – Seguridad AJAX Parte 1 de 3 Archivado el 16 de junio de 2006 en Wayback Machine . waelchatila.com (18 de septiembre de 2005). Consultado el 20 de mayo de 2012.
78. Butler, Rick A. (21 de diciembre de 2004) Face in the Crowd Archivado el 27 de junio de 2006 en Wayback Machine . mcpmag.com. Consultado el 20 de mayo de 2012.
79. Contraseña gráfica o autenticación gráfica de usuario (GUA) Archivado el 21 de febrero de 2009 en Wayback Machine . searchsecurity.techtarget.com. Consultado el 20 de mayo de 2012.
80. Ericka Chickowski (3 de noviembre de 2010). "Las imágenes podrían cambiar la imagen de la autenticación". Dark Reading. Archivado desde el original el 10 de noviembre de 2010.
81. "Confident Technologies ofrece autenticación multifactor basada en imágenes para reforzar las contraseñas en sitios web públicos". 28 de octubre de 2010. Archivado desde el original el 7 de noviembre de 2010.
82. Manual del usuario para el método y sistema de entrada de claves bidimensionales (clave 2D) Archivado el 18 de julio de 2011 en Wayback Machine . xpreeli.com. (8 de septiembre de 2008). Consultado el 20 de mayo de 2012.
83. Kok-Wah Lee "Métodos y sistemas para crear grandes secretos memorizables y sus aplicaciones" Patente US20110055585, WO2010010430. Fecha de presentación: 18 de diciembre de 2008
84. Kotadia, Munir (25 de febrero de 2004). «Gates predice la muerte de la contraseña». ZDNet . Consultado el 8 de mayo de 2019 .
85. "IBM revela cinco innovaciones que cambiarán nuestras vidas en cinco años". IBM. 19 de diciembre de 2011. Archivado desde el original el 17 de marzo de 2015. Consultado el 14 de marzo de 2015 .
86. Honan, Mat (15 de mayo de 2012). «Kill the Password: Why a String of Characters Can't Protect Us Anymore» (Eliminar la contraseña: por qué una cadena de caracteres ya no puede protegernos). Wired . Archivado desde el original el 16 de marzo de 2015. Consultado el 14 de marzo de 2015 .
87. "Ejecutivo de seguridad de Google: 'Las contraseñas están muertas'". CNET . 25 de febrero de 2004. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
88. "Autenticación a escala". IEEE. 25 de enero de 2013. Archivado desde el original el 2 de abril de 2015. Consultado el 12 de marzo de 2015 .
89. Mims, Christopher (14 de julio de 2014). «La contraseña finalmente está muriendo. Aquí está la mía». The Wall Street Journal . Archivado desde el original el 13 de marzo de 2015. Consultado el 14 de marzo de 2015 .
90. "El robo de credenciales ruso demuestra por qué la contraseña está muerta". Computer World . 14 de agosto de 2014. Archivado desde el original el 2 de abril de 2015 . Consultado el 14 de marzo de 2015 .
91. "Jeremy Grant, director del NSTIC, quiere acabar con las contraseñas". Fedscoop. 14 de septiembre de 2014. Archivado desde el original el 18 de marzo de 2015. Consultado el 14 de marzo de 2015 .
92. "Descripción general de las especificaciones". FIDO Alliance. 25 de febrero de 2014. Archivado desde el original el 15 de marzo de 2015 . Consultado el 15 de marzo de 2015 .
93. "Una agenda de investigación que reconoce la persistencia de las contraseñas". IEEE Security&Privacy. Enero de 2012. Archivado desde el original el 20 de junio de 2015 . Consultado el 20 de junio de 2015 .
94. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de los esquemas de autenticación web". Informe técnico - Universidad de Cambridge. Laboratorio de Computación . Cambridge, Reino Unido: Laboratorio de Computación de la Universidad de Cambridge. doi :10.48456/tr-817. ISSN  1476-2986 . Consultado el 22 de marzo de 2019 .
95. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de los esquemas de autenticación web". Simposio IEEE sobre seguridad y privacidad de 2012. San Francisco, CA. págs. 553–567. doi :10.1109/SP.2012.44. ISBN 978-1-4673-1244-8.

Enlaces externos

• Contraseñas gráficas: una encuesta
• Lista grande de contraseñas de uso común
• Gran colección de estadísticas sobre contraseñas
• Artículos de investigación sobre criptografía basada en contraseñas
• La conferencia internacional sobre contraseñas
• Asesoramiento procedimental para organizaciones y administradores (PDF)
• Centro de investigación en seguridad, comunicaciones y redes de la Universidad de Plymouth (PDF)
• Borrador de actualización de 2017 de los estándares de contraseñas del NIST para el gobierno federal de EE. UU.