Gestores de contraseñas. ¿Cómo administrar las claves convenientemente?

Interesantísimo enlace en una-al-dia servicio de boletines de seguridad informática de Hispasec, a los que suelo hacer bastante referencia.

Xavi Caballé hace una elemental pero no por ello poco rigurosa evaluación de los procedimientos correctos e incorrectos para gestionar la creación, conservación y diseminación de contraseñas en un sistema de la información.

Os dejo en el enlace ampliado la copia del boletín íntegro. Merece una lectura.

Saludos

PD: Me he dado cuenta que el enlace de noticia ampliada «more» y el contador de comentarios «comments» siguien en inglés, a ver si pulo esas traducciones :-O


—–BEGIN PGP SIGNED MESSAGE—–

——————————————————————-
Hispasec – una-al-día 19/06/2004
Todos los días una noticia de seguridad www.hispasec.com
——————————————————————-

Gestores de contraseñas
———————–

Uno de los principales problemas con los que se encuentra hoy en
día un administrador de sistemas es el gran número de contraseñas
que se ve obligado a recordar. Los gestores de contraseñas
ofrecen un sistema seguro para su almacenamiento.

La proliferación de contraseñas, debido al gran número de
sistemas y entornos que requieren de autenticación del usuario
que accede, se ha convertido en un auténtico problema. Un
problema por la imposibilidad material de recordar todas y cada
una de las contraseñas, especialmente en los momentos de crisis
que es cuando suele ser necesario acceder a un dispositivo al que
habitualmente no conectamos.

Los administradores de sistemas suelen recurrir a diversos trucos
para sortear este problema. El más clásico consiste en la
utilización de una contraseña común en todos los dispositivos.
Esto no siempre es viable, debido a la existencia de políticas
que obligan a la rotación o a la necesidad de restringir el
acceso a determinados dispositivos.

Otro sistema habitual consiste en mantener una hoja de cálculo o
una base de datos con las contraseñas. De esta forma, las
contraseñas se encuentran centralizadas… y, porque no decirlo,
desprotegidas. La mayoría de hojas de cálculo almacenan los datos
de una forma poco segura y cualquier persona con acceso al
archivo puede, con poco o nulo esfuerzo, acceder a su contenido.

El tercer método es todo un clásico: el típico post-it.
Evidentemente este no puede considerarse como seguro, ya que todo
el mundo puede leerlo… y además es muy fácil de perder.

En este boletín mostramos un método alternativo, más eficiente y
que puede considerarse más seguro para mantener catalogadas las
contraseñas que cualquier administrador de sistemas debe utilizar
para el desarrollo de su actividad profesional: la utilización de
gestores de contraseñas.

No voy a tratar sobre los sistemas de Single Sign-On ni de
sincronización de contraseñas, ya que estos generalmente se
aplican dentro de un ámbito corporativo para las aplicaciones y
entornos con un número importante de usuarios. Difícilmente se
aplican, por ejemplo, en servidores o dispositivos de red. Esto
sin olvidar el caso de aquellos que desarrollan su actividad en
múltiples redes de diferentes corporaciones.

Gestores de contraseñas

Los gestores de contraseñas son aplicaciones especializadas en
almacenar las credenciales (identificador de usuario y
contraseña) dentro de una base de datos. Una característica no
estrictamente imprescindible, aunque si muy deseable, es que la
información almacenada se encuentre cifrada con un algoritmo de
cifrado fuerte, debido a las características especiales de los
datos contenidos.

Otra característica habitual de estos gestores es que llevan
incorporados un generador de contraseñas. Librados de la
necesidad de recordar una contraseña, podemos utilizar
contraseñas especialmente complejas y, por tanto, más seguras.

El gestor de contraseñas no ha de ser necesariamente una
aplicación especializada. Las últimas versiones de los
navegadores web más populares llevan integrados sus propios
gestores de contraseñas, aunque su ámbito de utilización se
encuentra reducido a la autenticación de aplicaciones y recursos
que se acceden a través de la web.

Es preciso indicar, no obstante, que estos gestores integrados
dentro de los navegadores web almacenan las contraseñas de una
forma poco segura. En la actualidad, muchas empresas desaconsejan
a los usuarios la utilización de los mismos, debido justamente a
la facilidad con que esta información sensible puede ser
sustraída.

A continuación indicamos las características principales de
algunos gestores de contraseñas. No pretende ser una lista
exhaustiva sino simplemente mostrar algunos productos que
realizan esta función.

Password Safe

El primer gestor de contraseñas que comentamos está disponible
para los sistemas Windows (incluyendo Windows CE) y es una
aplicación de código abierto. Inicialmente desarrollada por Bruce
Schneier, almacena las contraseñas dentro de una base de datos
cifrada con el algoritmo Blowfish. Se distribuye con el código
fuente completo y su mecanismo de cifrado ha sido cuidadosamente
verificado por la empresa Counterpane.

SplashID

Esta es una aplicación comercial, especialmente dirigida a los
usuarios de asistentes personales (da soporte a los sistemas
operativos PalmOS y PocketPC), aunque también dispone de una
versión para Windows, que se sincroniza con los datos del
asistente personal. También cifra la información con el algoritmo
Blowfish.

Figaro’s Password Manager

Es otra aplicación de código abierto, para el entorno GNOME. Como
las anteriores, la base de datos se encuentra cifrada con el
algoritmo Blowfish. Se integra con el navegador web, actuando
como un gestor de favoritos y rellenando automáticamente los
campos de autenticación del usuario.

PasswordVault

Aplicación comercial (aunque está disponible una versión
gratuita) con versiones para Windows y Mac, que también puede
almacenar las contraseñas dentro de una base de datos
especializada cifrada con el algoritmo Blowfish.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2064/comentar

Más información:

Password Safe
http://www.schneier.com/passsafe.html
http://sourceforge.net/projects/passwordsafe/

SplashID
http://www.splashdata.com/splashid/index.htm
http://www.splashdata.com/ppc/splashid/index.htm

Figaro’s Password Manager
http://fpm.sourceforge.net/

PasswordVault
http://www.lavasoftware.com/passwordvault.html

Xavier Caballé
xavi@hispasec.com

Tal día como hoy:
—————–

19/06/2003: Burlar el antivirus de Hotmail por Cross-Site Scripting
http://www.hispasec.com/unaaldia/1698

19/06/2002: La XBOX al descubierto (II)
http://www.hispasec.com/unaaldia/1333

19/06/2001: Ampliación del curso de seguridad Internet
http://www.hispasec.com/unaaldia/968

19/06/2000: Vulnerabilidades en los archivos de ejemplo de Allaire JRun 2.3.x
http://www.hispasec.com/unaaldia/601

19/06/1999: Configuración segura del Registro en Windows NT
http://www.hispasec.com/unaaldia/235

——————————————————————-
Claves PGP en http://www.hispasec.com/directorio/contacto
——————————————————————-
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
——————————————————————-
(c) 2004 Hispasec http://www.hispasec.com/copyright
——————————————————————-

—–BEGIN PGP SIGNATURE—–
Version: PGP 6.5.8

iQEVAwUBQNXxwHhEfcD7VnHhAQE6fAf/dszBuCMQVPKkE1h/Lbo1LdzjrNlt0tnC
rkwbThV2pdDbG/Kcq+bOhy94MjfoNpTvqEnNGsCaLZk5YmOgn25Ys7K8WC6+/teQ
6QlSph+FuZ+idHRHTRktwXmjzSYY87I6L+ksNTJlgVWiI7yf3G14XOJG7Grny60d
D4Ilcv+jaV4PWQ3tH7qQwWInNkMiXGDCqV9C1Z4FHw9oP4levEecVo9BNPSFac2j
FDhcnbX+7bkdBXwR9p4ZGhwdQYe7NjiOMggLWN/BBwhKHDhfotXSEvuBvDjHMYYM
O1/m7Rfe2RxPPRXF1LKgfj2I11OrszpKgO+aVV2vnafePvwzK8Fm7g==
=pmBr
—–END PGP SIGNATURE—–