Seguridad

Mostrando Preguntas frecuentes sobre Seguridad para PAS

Preguntas frecuentes sobre Concienciación en materia de ciberseguridad

Consejos para buenas contraseñas

Es muy importante que elijas contraseñas robustas pero fáciles de recordar. No las anotes en lugares que puedan estar bajo el alcance de otras personas y, si puedes,  utiliza un programa de gestión de claves para evitar memorizar demasiadas contraseñas.

Las siguientes recomendaciones están basadas en el Guía del esquema nacional de seguridad CCN. Idealmente, una contraseña debería:

  • Ser fácil de recordar.
  • Utilizar la concatenación de varias palabras para construir contraseñas largas
    (passphrases) cuya deducción, automática o no, no sea simple. Por ejemplo:
    “elefanteneumáticocarpeta”, incluso contemplando la presencia de espacios
    en blanco o caracteres locales como «ñ». Por ejemplo: “cocina televisor ventana” o  “caña barça 23!”.
  • Las contraseñas no deberán estar compuestas de datos propios que otra
    persona pueda adivinar u obtener fácilmente (nombre, apellidos, fecha de
    nacimiento, número de teléfono, etc.), ni ser frases famosas o refranes, ni ser
    estrofas de canciones o frases impactantes de películas o de obras de
    literatura.
  • La contraseña así formada no deberá ser igual a ninguna de las últimas
    contraseñas usadas, ni estar formada por una concatenación de ellas.
  • No debe apuntarse la contraseña en papel o en otro soporte no seguro (como un DOC o Excel sin proteger).
  • Es especialmente importante mantener el carácter secreto de la contraseña.
  • No debe entregarse ni comunicarse a nadie. En caso de haber tenido necesidad de hacerlo, el usuario deberá proceder a cambiarla de forma inmediata.
  • No utilizar la misma contraseña para distintos servicios web o en el acceso a
    distintos dispositivos.

Llaveros o gestores de contraseñas

Una de las fuentes de fortaleza más importante es que la contraseña debe ser fácil de recordar y de introducir. Pero también tienen que ser difíciles de adivinar y de descubrir por fuerza bruta (prueba exhaustiva de todas las posibilidades) lo que las puede hacer difícil de recordar. Es un problema serio encontrar un buen equilibrio entre ambos requisitos.

Está claro que la contraseña más robusta es una generada aleatoriamente por un ordenador, por ejemplo: «PaHLQÉçvñ7&=B%Ótzué~», pero no es una contraseña práctica ni para recordarla ni para escribirla a mano.

Por eso es recomendable utilizar un programa «llavero» para guardar y utilizar las claves protegidas.

Hoy en día hay muchos sistemas de gestión de claves que nos permiten almacenar cientos de claves distintas memorizando únicamente una clave maestra. Algunos ejemplos son:

Gestores de contraseñas integrados en los navegadores Web y teléfonos móviles:

  • Llavero de ICloud del iPhone: Permite almacenar claves sincronizadas entre dispositivos de Apple.
  • Gestor de contraseñas de Google: Gestiona las contraseñas que se usan en el navegador Chrome y se sincronizan en los equipos a través de una cuenta de Google.
  • Wallet de Microsoft Egde: Gestiona las contraseñas y otros datos sensibles que se usan en el navegador Edge y sincroniza con los dispositivos a través de la cuenta en Microsoft.

Aplicaciones externas a los navegadores Web. Estas aplicaciones permiten utilizar las contraseñas en otras aplicaciones (no solo en páginas Web) y tienen funcionalidades avanzadas. Algunas de ellas pueden ser:

  • Bitwarden es una de las más populares. El de código abierto y su seguridad está bien auditada. Utiliza su propio servicio de almacenamiento en la nube. Es gratis para uso individual funciona en escritorio y teléfonos y tiene extensiones para los navegadores.
  • Keepass es de código abierto, gratuito y almacena el fichero de contraseñas fuertemente protegido en tu disco duro o en la nube de tu elección. Hay Keepass para windows, Keepass para Android, Keepass para IOS.
  • Microsoft Authenticator: Para teléfonos móviles Android e IOs. Principalmente, es un generador de códigos de un único uso, muy útil para la autenticación de múltiples factores, pero también incorpora un sencillo gestor de contraseñas con autocompletado.

Esta información es divulgativa y se refiere a software de dominio público para su uso personal. La UVa no puede ofrecer soporte técnico sobre estos programas.