26. Autenticación de los usuarios

Los métodos de autenticación, en nuestro caso, son los mecanismos que una máquina tiene para comprobar que el usuario que intenta acceder es quien dice ser.

Estos métodos se pueden clasificar en tres grupos, en función de los medios que se vayan a utilizar para identificarse:

• Algo que el usuario sobe y que el resto de las personas desconocen: es lo más utilizado. Lo usamos poro acceder a nuestra cuenta de correo electrónico, para conectarnos a Tuenti. .. (utilizamos un nombre de usuario y una contraseña que solo conocemos nosotros).

• Algo que el usuario posee, por ejemplo, una tarjeta de identidad.

• Alguna característica propia del usuario, rasgos físicos o comportamientos. Ejemplos: la huella dactilar, característica utilizada en el DNI para identificarnos; la retina, la manera de teclear ... A este tipo de medidas se le conoce como mecanismos biométricos.

Hay sistemas de autenticación que combinan distintos métodos para alcanzar un mayor grado de seguridad; pensemos cuando vamos a sacar dinero de un cajero automático, que primero debemos insertar nuestra tarjeta de crédito (algo que poseo) y luego solicita el número de identificación, PIN (algo que conozco).

Políticas de contraseñas

En la mayaría de los equipos informáticos, la autenticación de los usuarios se realiza introduciendo un nombre y una contraseña. Cada usuario tiene asignado un identificador y una clave, que permitirán comprobar la identidad del mismo en el momento de la autenticación.

A continuación, vamos a estudiar las características que debe cumplir una buena contraseña:

• No deben estar formadas por palabras que encontremos en diccionarios, ni en español ni en ningún otro idioma, ya que cualquier programa de fuerza bruta lo descubriría con facilidad.

• No deben usarse sólo letras mayúsculas o minúsculas, porque se reducirían las combinaciones en un alto grado; ejemplos rechazables: ANA, avestruz, abcdef.

• No deben estar formadas exclusivamente por números, por el mismo motivo que en el caso anterior. Ejemplos: 273456, 373009.

• No debemos utilizar información personal: nombre de nuestros familiares, fecha de nacimiento, número de teléfono ... ya que cualquier persona cercana a nosotros podría descubrirla. Ejemplos: cp28007, 06/06/1965. Este fallo es muy habitual en las preguntas que te realizan determinadas páginas (correos electrónicos) cuando no recuerdas la contraseña.

• No debemos invertir palabras reconocibles, como atatap, zurtseva. Cualquier programa creado para este fin lo descubriría en un corto espacio de tiempo.

• No debemos repetir los mismos caracteres en la misma contraseña.

• No debemos escribir lo contraseño en ningún sitio, ni en papel ni en documentos electrónicos que no hayan sido encriptodos.

• No debemos enviarlo en ningún correo electrónico que nos la solicite.

• No debemos comunicarla a nadie por teléfono. 

• Debemos limitar el número de intentos fallidos. Si excede el número máximo de intentos permitidos, el usuario debe quedar bloqueado, par lo que tendrá que ponerse en contacto con el técnico de seguridad. Es lo que ocurre en los cajeros automáticos, si te equivocas tres veces al introducir la clave, el cajero se queda con la tarjeta. Con ello evitamos que se puedan seguir haciendo intentos indefinidamente y al final se descubra el número secreto.

• Debemos cambiar las contraseñas de acceso, dadas por defecto por los fabricantes de routers y otros periféricos, que nos permiten el acceso a la red.

• No debemos utilizar la misma contraseña en las distintas máquinas o sistemas, ya que si nos la descubren, haríamos vulnerables el resto de equipos a los que tenemos acceso.

• Las contraseñas deben caducar y exigir que se cambien cada cierto tiempo, al menos una vez al año.

• No debemos permitir que las aplicaciones recuerden las contraseñas.