SFSP: En busca de la contraseña perfecta

La costumbre de utilizar contraseñas para la autenticación de usuarios expone los datos de organizaciones y particulares a una posible alteración o destrucción. Sin embargo, gran parte de los asuntos de seguridad que subyacen a esa realidad pueden ser satisfactoriamente manejados utilizando un sencillo método, que se presenta en este documento bajo la denominación SFSP (Simple Formula for Strong Passwords, Fórmula Sencilla para Contraseñas Fuertes).

Este método manual crea contraseñas muy fuertes conteniendo unos 10-14 caracteres de media, con mayúsculas y minúsculas, caracteres especiales y números. Para lograrlo se utiliza un método fácil de recordar, que elimina la necesidad de guardar las contraseñas de forma inapropiada (bajo el teclado, tras el calendario, en una nota adhesiva, etc)...

También permite a los usuarios recordar con facilidad y ajustarse a los cambios obligatorios de contraseñas, y al requisito de que diferentes aplicaciones tengan contraseñas únicas.

Con SFSP la tendencia a crear contraseñas débiles como john es reemplazada por una técnica repetible y fácil de recordar que produce contraseñas fuertes como 1;j718Ohn; or ^j7O1h8N^.

SFSP puede utilizarse para crear nuevas contraseñas fuertes o para fortalecer las ya familiares. Su característica más valiosa es que permite a los usuarios rescatar contraseñas de su memoria incluso tras largos períodos sin utilizarlas.

SFSP Tutorial

(PDF, 360 KB)

7 comentarios sobre SFSP: En busca de la contraseña perfecta

¿Qué opinais de Access Manager?
Mr_Marshall
21 Mayo 2005 - 4:14am
Yo particularmente lo uso para generar las contraseñas poco importantes (registros en webs y cosas por el estilo) con una longitud de 20 carácteres (no importa mucho que sea larga por que no hay que recordarla). Como todos estos productos de seguridad gratuitos me dan repelús no voy a usarlo para guardar las contraseñas de acceso a los bancos o el número de visa, pero para las cuentas que considero de bajo riesgo es un sistema fracamente cómodo (arrastrar y soltar sobre los campos de usuario y contraseña).

Contraseñas no tan unicas
xbx
21 Mayo 2005 - 12:41am
Si las claves que generamos son del estilo *627/hot777MAil**7% para hotmail y *627/web777Porno**7% para www.webporno.com cualquiera que nos pille un password (una web falsa, por ejemplo) sabrá nuestros passwords en todos los sitios.
Yo uso un metodo de generar passwords diferentes. Un algoritmo d cifrado vía web (el TEA, que ocupa un par de Ks, y cabe en un diskette o un srvidor público), una clave comun, y la palabra sencilla de cada sitio (hotmail, para www.hotmail.com)
Cifro 'hotmail' dos veces con la misma clave siempre, y el resultado, que sale en base64 sirve como clave para lso sitios, de 10 a 16 caracteres en base 64 dan muchas combinaciones, es facil de recordar como se genera, y si te descubren una clave no comprometen las demás.

Passwords vs Pass Phrases
siilex
19 Mayo 2005 - 3:09pm
No sé por qué se sigue insistiendo en ello.

Todos sabemos cuales son los consejos para generar strong passwords...
y que el problema no es generarlos, sinó recordarlos.

Desde hace años hay artículos comentando la evidencia de que los humanos y los passwords no se llevan bién.

Ultimately, we can summarize classical password selection rules as follows:
"The password must be impossible to remember and never written down."

http://www.smat.us/sanity/pwdilemma.html

Por suerte, también hay otros artículos en los que, sin complejos, te explican que un password 'simple' pero largo es MUCHO mejor que uno '31337' pero corto.

O sea, pass phrases mejor que passwords.
http://www.windowsitpro.com/Articles/Print.cfm?ArticleID=44937

Concretamente, un ejemplo extremo;
un password usando un alfabeto de 30 letras (sólo minúsculas),
para ser tan seguro como uno que use 230 (tooodo ascii extendido),
sólo tiene que ser un log(230)/log(30) = 1.6,
un 50% más largo !!!

O sea, "h&%r?á3." es tan segura como "murzielagozzz",
y mucho menos que "a quien madruga, dios le compadece"

Esto es correcto si usamos en una frase al menos una palabra que no esté en algun diccionario.
Sinó, también se pueden usar tantas palabras en la frase como letras en el password, para que sea igual de segura.

No estés tan seguro/a

Shevek
19 Mayo 2005 - 4:57pm

O sea, "h&%r?á3." es tan segura como "murzielagozzz",
y mucho menos que "a quien madruga, dios le compadece"

No está tan claro como pretendes. Es cierto que a mayor longitud mayor seguridad y que cuanto mayor es el alfabeto, menos símbolos son necesarios para igual seguridad... siempre que los símbolos estén elegidos al azar.

Una contraseña (frase o palabra, me da igual) que sea fácil de recordar es, generalmente, porque los símbolos de que se compone NO son en absoluto aleatorios, sino que forman un ente con sentido para el propietario. Esto es, hay una fuerte correlación entre ellos y un sesgo que favorece unos símbolos frente a otros (por ejemplo, la letra "a" es más frecuente que otras).

Por eso "h&%r?á3." puede ser mucho más segura que "a quien madruga, dios le compadece". Es el problema de la baja entropía por símbolo de los lenguajes humanos.

Frente a esta incertidumbre acerca de la verdadera potencia de una contraseña, yo propongo diceware, como un método de generar contraseñas fáciles de recordar y con un nivel de seguridad con una cota mínima garantizada y medible en bits de entropía. Diceware usa un alfabeto de 7776 símbolos en cantidades de 5,6,7.. a gusto del usuario; estos 7776 símbolos representan palabras de uso común. Así de fácil.

SKS, criptografía de curva elíptica de bolsillo
http://pagina.de/sks

Ya

siilex
23 Mayo 2005 - 12:57pm

Estoy de acuerdo, lo importante es la entropía.

Sin embargo, las frases tienen unas relaciones que son evidentes para los humanos, pero muy difíciles de capturar para las máquinas.

Las frases serían fácilmente crackeables si tuviéramos un generador de frases.
Alguno habrá, pero dudo de que sea muy eficaz.
Hay miles de informáticos trabajando en procesamiento del lenguaje natural desde hace años, y sus progresos son... lentos, por desgracia de todos, porque es un problema intrínsecamente difícil.
Tomemos por ejemplo la poesía, llena de metáforas, sinécdotes, ironías...

Además está el tema del 'grano de sal'.
Una pequeña falta de ortografía, un sólo caracter raro en una posición cualquiera, sirve para invalidar la mayor parte de crackeadores 'inteligentes', y deben acabar usando la fuerza bruta.

No desprecio los demás sistemas.
Es más, en muchas ocasiones no se puede hacer nada más porque la longitud de la contraseña está limitada a pocos caracteres, (cosa que por cierto considero una mala práctica de programación).

Salud.

Otra alternativa
Shevek
18 Mayo 2005 - 5:22pm
Desde hace ya varios años, hay una alternativa para componer buenas contraseñas. Lo malo que tiene es que la contraseña te la elige un dado (bueno, 5 dados), aunque es fácilmente memorizable; y lo bueno es que te garantiza un mínimo de casi 13 bits por palabra que contenga la contraseña.

El método se llama diceware y sólo necesita 5 dados y una lista que se puede descargar tranquilamente.

SKS, criptografía de curva elíptica de bolsillo
http://pagina.de/sks

La contraseña perfecta
tigrezno (no verificado)
17 Mayo 2005 - 9:23pm
seria algo como: "fernandoalonsovaaganareldomingoyraikonensevaaestrellaryschumackerpincharadenuevo"

Creo ke es bastante fuerte y contundente

-----------------------------------------
http://www.log01.org - Robolog!

Kriptópolis

Criptografía y Seguridad