• Sugerencias para la selección del password
• ¿Cómo elegir un buen password?
  • ¿Qué no debe hacer?
  • ¿Qué debe hacer?
• ¿Cómo cambiar de password?

Sin ninguna duda, uno de los métodos mas populares utilizados por los crackers de computadoras para ingresar a un sistema es mediante el robo de password.

Un intruso puede, mediante el robo de su login y su password, ganar acceso a su sistema con muy pocas posibilidades de ser detectado, y una vez adentro modificar el sistema para sus propios propósitos y utilizar el sistema como punto de arranque para comenzar ataques hacia otros sistemas a través del mundo y todo en su nombre.

La protección mediante password es uno de los principios de seguridad mas importantes.

Es igualmente importante para TODOS los usuarios, sin importar sus privilegios o conocimientos de Computación.

Depende de todos y cada uno de los usuarios asegurarse de que su password es seguro.

No subestime la facilidad con la cual puede ser robado su password. Hay muchas técnicas posibles para hacerlo.

Una técnica sencilla y sorprendentemente exitosa de robo de password es simplemente la adivinación de password (o sea ingresar su login y simplemente adivinar cual puede ser su password).

Las siguientes reglas lo deben ayudar a seleccionar un password que sea lo suficientemente robusto que evite que crackers puedan adivinar su password en la mayoría de los casos.

Que NO DEBE hacer:

* NO USE password sencillos que son fáciles de recordar y típicamente inseguros. Ejemplos de este tipo de password son:

• Un login (una práctica común pero extremadamente peligrosos)

• Una palabra que pueda ser asociada con Ud.

  • Por ejemplo: La marca, modelo o placa de su carro

  • El nombre de sus hijos

  • Nombres asociados con su direccion

  • Su número de cédula o de teléfono

  • Alguna de sus números de cuentas bancarias

* NO es suficiente que incluya un solo número en el password, o que sustituya todas las O por ceros y las I o L por unos, o escribir la palabra al reves.

* NO USE su login como password

* NO USE ninguna palabra que aparezca en un diccionario (en ingles o español) puesto que la mayoria de los ataques usan diccionarios para adivinar el password.

* NO USE cumpleanos, placas de carros, número de habitación o apartamentos, nombres de máquinas, nombres de esposas/esposos, de mascotas, de hijos y cosas por el estilo. Esta informacion puede ser ubicada puesto que esta información no suele ser confidencial.

* NO USE patrones de teclados o caracteres duplicados como "qwerty" o "aabbccdd".

* NO USE el mismo password en multiples cuentas. Si Ud. tiene varias cuentas, no use el mismo password en todas las cuentas. Si una es descubierta, entonces todas estan descubiertas. Además, no se contente con cambiar solo una letra en el password porque puede ser adivinado fácilmente si uno de los password es descubierto.

* NO REGISTRE su password on-line. NO escriba su password.

* NO LE DIGA a nadie cual es su password. No comparta su password con su pareja, sus hijos, sus amigos. No lo haga verbalmente, ni por correo electrónico ni por ningún otro medio.

* Recuerde que si alguien tiene su password, puede cometer actos criminales en su nombre.

Que DEBE hacer:

* USE entre 5 y 8 caracteres.

* USE letras minúsculas y mayúsculas. NO USE solo la primera letra en mayúsculas (por ejemplo Mich37bo no es tan bueno como MicH37Bo).

* USE al menos dos digitos o caracteres especiales (puntos, parentesis, etc). NO se contente con sustituir "o" y "O" con ceros e "I", "l" o "L" con unos. (por ejemplo fl0pp1mp no es tan bueno como fL0$p*Mp).

* CAMBIE su password con frecuencia, no reuse los password viejos. Con suficiente tiempo, un algoritmo de detección de password puede descubrir cualquier password.

* El aplicar las reglas descritas arriba hace que el tiempo requerido para descubrir un password sea prohibitivamente largo. No obstante, el tiempo requerido para descubrir un password disminuye sensiblemente con cada letra que se adivine o si se conoce otra información sobre el password. Los password deben ser cambiados regularmente, de manera de que aun si el password es finalmente adivinado, haya sido descartado hace tiempo atrás. Los password ya usados no deben ser nunca reusados.

* Existen técnicas generales para generar password seguros:

usar dos o tres palabras cortas no relacionadas; siempre incluir caracteres especiales (parentesis, numeral, comas, etc.) deliberadamente cometa errores de ortografía; tomar la primera letra de cada palabra de una frase;

Finalmente, un ejemplo de como se podria generar un buen password:

Escoja dos palabras cortas no relacionadas: "voz" y "casas": vozcasas coloque algunas letras en mayusculas (1 de cada 3): voZcaSas cometa errores de ortografia: boZkaSas sustituya letras por numeros y simbolos: boZk4Sa$

Para cambiar el password tienes que tener instalado una aplicación de seguridad que permite la conexión entre computadoras de forma segura.

¿Dónde obtener esta aplicación? El software lo puedes descargar de la siguiente direccion http://www.atencion.ula.ve/ssh . Allí encontrarás información de como descargar, instalar y configurar el secure shell (ssh). Después de configurado el ssh Ud. podrá establecer conexiones seguras con cualquier maquina que tenga disponible el servidor SSH.

Para cambiar de password debe: conectarse con ssh al servidor publico.ula.ve .

Una vez que te has conectado al servidor anterior descrito se debe ejecutar el comando "passwd". El sistema le solicitara que introduzca el password viejo , y que ingrese el password nuevo 2 veces, de la siguiente forma:

%passwd
passwd: Changing password for cherrym
Enter login(NIS) password:
New password: Re-enter new password:

NIS passwd/attributes changed on avalon

El mensaje NIS passwd/attributes changed on avalon indica que se ha cambiado el password exitosamente. Ud no podrá ver en ningún momento el password que ha introducido, ni el viejo ni el nuevo.

• Si recibe un mensaje de error como el siguiente:

That password cannot be used because it is too short (minimum length is 8 characters). Try a different password.

Es porque esta intentando utilizar un password demasiado pequeño. Los passwords deben tener 8 caracteres (de hecho puede tener mas de 8, pero el método de conversión de password solo toma en cuenta los primeros 8 caracteres, asi que si estos no constituyen un buen password, el resto no sirve de nada).

• Si recibe un mensaje de error como el siguiente:

That password cannot be used because lower case only passwords not allowed. Try a different password.

Es porque esta intentando utilizar un password que solo emplea letras minúsculas. Su password debe tener letras mayúsculas y minúsculas.

• Si recibe un mensaje de error como el siguiente:

That password cannot be used because it can be derived from the word 'casaca'. Try a different password.

Es porque su password se puede derivar de una palabra que existe en un diccionario de la lengua castellana o inglesa. Revise las sugerencias anteriores sobre la escogencia de un password adecuado.

• Si recibe un mensaje de error como el siguiente:

They don't match; try again.

Significa que las 2 veces que introdujo su nuevo password, Ud. escribio passwords diferentes. Vuelva a intentarlo.

• Si recibe la advertencia:

passwd: Only the first 8 characters of this password will be used

Esta indicando que Ud. ingreso mas de 8 caracteres, de los cuales solo se utilizaran los primeros 8. Esto no es un error, solo una advertencia.

• Si le aparece un mensaje como:

Error from avalon.ula.ve: Password file busy -- try again later

Vuelva a intentar cambiar el password unos minutos mas tarde. Si al intentarlo repetidamente aparece este mensaje, solicite ayuda al Centro de Atención al Usuario (CAU).