Ir al contenido

Inicio
ETSIINF en Twitter ETSIINF en Facebook
Inicio > La escuela > Recursos > Normas de utilización de recursos informáticos > Password

Recomendaciones para la selección de password

¿Por qué debo tener cuidado?
¿Qué se entiende por un buen password?
¿Cómo puedo elegir un buen password?
El password en los distintos entornos
¿Por qué debo cambiar mi password?
¿Puedo usar el mismo password para todas mis cuentas?

Como muchos saben, uno de los primeros puntos por donde se intenta el acceso ilegal a un ordenador es mediante la obtención de passwords de cuentas de usuarios.

El password es, por consiguiente, una parte importante en el entramado de seguridad que rodea a todo ordenador. Si un intruso descubre el password de un usuario, podrá entrar al sistema sin llamar la atención, por lo que puede que sea difícil su detección o se tarde mucho tiempo en descubrir.

Este problema se multiplica si los ordenadores, como es el caso de la Facultad, están conectados en red.

En este documento se pretende proporcionar unas recomendaciones básicas de comportamiento respecto a los passwords a emplear en los diversos entornos.

1.- ¿Por qué debo tener cuidado?

En las Normas de Acceso a las Salas de Usuarios, y que en la Solicitud de Apertura de Cuenta se firma conocer y aceptar, se dice:

"Dado que el usuario dispone de los mecanismos suficientes para garantizar la inviolabilidad de sus cuentas, éste se hace responsable del uso indebido que se haga de las mismas"

La palabra clave: RESPONSABLE. Por injusto que pueda parecer en situaciones anómalas, el usuario debe asumir su responsabilidad. Esta normativa se está aplicando en todos los Centros de Investigación, tanto nacionales como internacionales. Por lo que no se ha inventado nada nuevo. Es lógico que el Centro de Cálculo no puede asumir la responsabilidad de lo que ocurra por dejadez, desidia o desinterés de alguno de sus usuarios.

Se debe tener cuidado, entre otras razones, porque si alguien utiliza su cuenta de forma incorrecta, posteriormente tendrá dificultades para demostrar que no ha sido él el infractor.

2.- ¿Qué se entiende por un buen password?

Un buen password debe cumplir los siguientes requisitos:

Aunque parezca difícil, es muy fácil tener un buen password.

3.- ¿Cómo puedo elegir un buen password?

Los programas que tratan de adivinar passwords no intentan todas las posibles combinaciones, sino que los hacen sobre un gran número de "passwords posibles". Si su password está fuera del espacio de búsqueda, entonces puede estar tranquilo.

Pero veamos qué es lo que no se debe hacer:

Entonces los passwords a usar deben cumplir las siguientes recomendaciones:

Por otra parte, existen métodos que ayudan a elegir un buen password:

Recuerde, si usa únicamente mayúsculas y minúsculas, no utilice los siguientes métodos:

4.- El password en los distintos entornos

Cada sistema operativo tiene sus limitaciones a la hora del juego de caracteres a emplear:

5.- ¿Por qué debo cambiar mi password?

A pesar de que tenga el mejor password, puede que se lo descubran : se lo han podido ver teclear, o capturar mediante programas de escucha de la red. Es posible que hayan dispuesto un programa simulador del Servidor de Terminales y estén capturándolos, o dispuesto un programa residente en el ordenador personal que intercepte las interrupciones del teclado y almacene los password. En muchas ocasiones se descubre por causa de "logins fallidos", puesto que muchos usuarios se equivocan y escriben el password en vez del Nombre de Usuario.

Por estas y otras muchas razones, se recomienda cambiar el password de vez en cuando, con una frecuencia no inferior a los tres meses.

6.- ¿Puedo usar el mismo password para todas mis cuentas?

El problema que implica usar el mismo password para todas las cuentas es que si le descubren el password de una cuenta le han descubierto el de todas.

Una cosa si debe tener clara: no use algoritmos elementales para generar sus passwords. Por ejemplo: MhCfg101, MhCfg102, ... esto no es lo más idóneo. Cualquiera podría deducirlos fácilmente.

Por otra parte, si alguien entra en su cuenta, es posible que le instale un falso Telnet, de forma que le capture sus passwords cuando lo utilice.

Por consiguiente, en principio se recomienda usar distinto password para todas las cuentas, cuidando que no exista similitud entre ellos. Si por algún motivo no le es posible tener passwords distintos, preste mucho cuidado al password que utiliza, y procure cambiarlo con elevada frecuencia (una vez al mes como mínimo).

Centro de Cálculo