Errores frecuentes sobre las contraseñas
Ayer asistí a una universidad para dar una charla y me topé con este cartel, que deja en evidencia muchos errores cometidos por la institución respecto a las contraseñas:
Error 1: podríamos decir que el error más básico (y no el más grave, para nada) es hacer tan público y evidente el criterio para utilización de usuarios y contraseñas válidos en la red. Encima, como se lee en el cartel, esto tiene vigencia desde el 2007, pero el cartel sigue allí para recordar a cualquiera que quiera intentar loguearse con un usuario impropio cómo debería armar usuario y contraseña.
Error 2: encima de estar público, el criterio de selección es muy malo. Los datos son fácilmente “adivinables” u obtenibles. Usuario: número de legajo. Contraseña: fecha de nacimiento. En mi caso particular, cuando estudiaba, sabía el legajo de varios de mis amigos, y obviamente también su fecha de nacimiento. Incluso de no saberlo, hubiera sido muy fácil obtenerlos. Es muy probable que alguien pueda obtener datos de acceso válidos con este criterio. No hay que ser Sherlok Holmes para averiguar datos tan sencillos.
Error 3: La contraseña está compuesto solo por números. En ese caso, aún sin conocer la misma, está claro que cualquier aplicación, ataque o malware intentando vulnerar un recurso protegido por contraseña, podrá con un sencillo ataque de fuerza bruta obtener la contraseña. Ya hablé mil veces de contraseñas fuertes, y esta justamente no es una de ellas.
En resumen, cualquier persona que realmente se proponga ingresar en la red con un usuario válido (que no sea el suyo, obviamente), seguramente con algo de ingenio podrá lograrlo en poco tiempo. Tomar decisiones respecto a las políticas de contraseñas es una tarea que no debería hacerse a la ligera, ni debe quedar a cargo de alguien que no conozca la importancia de su seguridad, como parece haber sido el caso.
Durante la charla, hablando de seguridad en contraseñas, les mencioné el hecho de que yo mismo había observado lo fácil que podría ser vulnerar sus contraseñas, y me miraban con caras de asombro. Veremos si hacen algo al respecto. Bah… en realidad no lo veré porque no se cuándo volveré, pero confío en que así sea. 
Bueno, no sé, no estoy tan seguro.
Habría que cerrar los comentarios de este post. Dice todo lo que podría decir al respecto en el año 2009
Esto muestra la necesidad que hay de seguir concientizando y que aunque haya esfuerzos en múltiples niveles todavía son insuficientes.
Tremendo fail que se mandaron!
No se si la rápida lectura que le pegué al texto me hizo saltear una parte, o tal vez como lo leí hace un par de horas ya, se me olvidó, pero..
¿De qué tipo de universidad estamos hablando?
Es decir, si es una privada o una pública, si trata de temas de informática o no.. Por ejemplo, algo como eso lo veo como un error común en una universidad del tipo “biologia”, “quimica”, o alguna de ciencias sociales, pero sería un error inadmisible en una universidad con algun tema relacionado a la informática
Yo en particular no asisitiría a una universidad así
En la uba te crean el user y vos ponés la pass que querés, nadie te pone restricciones :p
Hola Marco! Es una universidad que posee carrera de Informática.
Qué locura :S!!
Qué facultad fue? jajaja
a decir verdad, no estoy seguro de que en la UBA sea tan así, por ejemplo, en el pabellón 2 y pabellón 1 o en las otras sedes, no tengo ni idea de cómo se manejan
Hice algo raro para ver si podía seguir el hilo de la conver.. a ver cómo salió..
probablemente es muy facil hacerlo….pero para la utilidad que tiene (acceso a unos pcs de laboratorio) no creo que sea de tanta importancia el tema de seguridad…..probablemente es para que no acceda gente que no tiene que ver con la universidad esa…..aunque si sirviera para hacer algo más sería un asco
Hola felipexcore,
Lo que tú dices podría ser cierto, pero asumo que el laboratorio es parte de la red de la facultad. Por lo tanto, no tenemos conocimiento de hasta dónde puede llegar alguien que logre entrar en dicha red.
Además hay un tema de educación que es fundamental. Si la red no es importante, ¡igual las contraseñas tienen que ser secretas! Es una cuestión de educación, porque tenemos que acostumbrarnos.