Impedir la piratería con medidas de descifrado de contraseñas

Tomando algunas medidas generales puede evitar la piratería de sus contraseñas importantes. Una contraseña para un sistema generalmente es igual contraseñas para muchos otros sistemas debido a que muchas personas utilizan la misma contraseña en todos los sistemas que utilizan. Por esta razón, es posible que desee considerar instruir a los usuarios crear diferentes contraseñas para diferentes sistemas, especialmente en los sistemas que protegen la información que es más sensible.

La única desventaja de esto es que los usuarios tienen que mantener múltiples contraseñas y, por lo tanto, podría estar tentado a escribirlas, lo que puede negar cualquier beneficio.

El almacenamiento de contraseñas

Si tiene que elegir entre contraseñas débiles que sus usuarios pueden memorizar y contraseñas fuertes que sus usuarios deben anotar, que los lectores escriban contraseñas y almacenar la información de forma segura. Formar a los usuarios almacenar sus contraseñas escritas en un lugar seguro - no en los teclados o en archivos informáticos protegidos con contraseña fácilmente agrietados. Los usuarios deben almacenar una contraseña escrita en cualquiera de estos lugares:

• Un gabinete de archivo bloqueado o segura de oficina

• (Conjunto) de cifrado de disco completo que puede evitar que un intruso nunca acceder al sistema operativo y las contraseñas almacenadas en el sistema.

• Una herramienta de gestión de contraseñas seguras como

• LastPass

• Password Safe, un software de código abierto desarrollado originalmente por Counterpane

Las directivas de contraseña

Como un hacker ético, debe mostrar a los usuarios la importancia de asegurar sus contraseñas. Aquí hay algunos consejos sobre cómo hacerlo:

• Demostrar cómo crear contraseñas seguras. Consulte a ellos como frases de contraseña porque la gente tiende a tomar contraseñas literalmente, y utilizar sólo palabras, que pueden ser menos seguro.

• Mostrar lo que puede suceder cuando se utilizan contraseñas débiles o contraseñas son compartidos.

• Diligentemente crear conciencia del usuario de los ataques de ingeniería social.

Hacer cumplir (o al menos fomentar el uso de) una política de contraseñas de creación de fuerte, que incluye los siguientes criterios:

• Utilice letras mayúsculas y minúsculas, caracteres especiales y números. Nunca utilice sólo números. Estas contraseñas pueden ser rotas rápidamente.

• Escribir mal las palabras o crear acrónimos de una cita o una frase. Por ejemplo, ASCII es un acrónimo de Código Estándar Americano para Intercambio de Información que también se puede utilizar como parte de una contraseña.

• Utilice caracteres de puntuación para separar palabras o acrónimos.

• Cambie las contraseñas cada 6 a 12 meses o inmediatamente si son sospechosos de estar comprometida. Algo más frecuente presenta el inconveniente de que sólo sirve para crear más vulnerabilidades.

• Utilice contraseñas diferentes para cada sistema. Esto es especialmente importante para los ejércitos de infraestructura de red, tales como servidores, firewalls y routers. Está bien usar contraseñas similares - sólo hacerlos ligeramente diferente para cada tipo de sistema, tales como SummerInTheSouth-Win7 para sistemas Windows y Linux +SummerInTheSouth para los sistemas Linux.

• Utilice contraseñas de longitud variable. Este truco puede deshacerse de los atacantes, ya que no sabrán el mínimo requerido o la longitud máxima de las contraseñas y deben probar todas las combinaciones de longitud de contraseña.

• No utilice palabras de argot comunes o las palabras que se encuentran en un diccionario.

• No confíe completamente en los personajes de aspecto similar, como 3 en lugar de E, 5 en lugar de S, o ! en lugar de 1. Programas de descifrado de contraseñas puede comprobar esto.

• No vuelva a utilizar la misma contraseña dentro de al menos cuatro o cinco cambios de contraseña.

• Utilice protectores de pantalla protegidos por contraseña. Pantallas desbloqueadas son una gran manera para que los sistemas de verse comprometidos incluso si se cifran sus discos duros.

• No comparta contraseñas. ¡A cada uno su propio!

• Evite almacenar las contraseñas de usuario en una ubicación central sin garantía, tales como una hoja de cálculo sin protección en un disco duro. Esta es una invitación al desastre. Use Password Safe o un programa similar para almacenar contraseñas de usuario.

Otras contramedidas

Aquí están algunas otras contramedidas contraseña piratería:

• Habilitar la auditoría de seguridad para ayudar a monitorear y rastrear los ataques de contraseña.

• Pon a prueba tus aplicaciones para asegurarse de que no son el almacenamiento de contraseñas de forma indefinida en la memoria o escribirlos en el disco. Una buena herramienta para ello es WinHex.

• Mantenga sus sistemas de parcheado. Las contraseñas se restablecen o comprometidas durante desbordamientos de búfer u otra denegación de servicio (DoS) condiciones.

• Conozca sus identificadores de usuario. Si una cuenta nunca se ha utilizado, eliminar o desactivar la cuenta hasta que sea necesario. Puede determinar las cuentas no utilizadas por la inspección manual o mediante el uso de una herramienta como DumpSec, una herramienta que puede enumerar el sistema operativo de Windows y reunir los ID de usuario y otra información.

A medida que el administrador de seguridad de su organización, puede activar bloqueo de cuentas para evitar intentos de contraseña de craqueo. Bloqueo de cuenta es la capacidad de bloquear las cuentas de usuario durante un cierto tiempo después de haberse producido un cierto número de intentos de conexión fallidos. La mayoría de los sistemas operativos tienen esta capacidad.

No lo puso demasiado bajo, y no puso demasiado alto para dar a un usuario malintencionado una mayor posibilidad de romper en. En algún lugar entre el 5 y el 50 podría funcionar para usted. Considere lo siguiente al configurar el bloqueo de cuentas en sus sistemas:

• Para utilizar el bloqueo de cuentas para evitar cualquier posibilidad de una condición de denegación de usuario, requieren dos contraseñas diferentes, y no establecer un tiempo de bloqueo para el primero si esa función está disponible en su sistema operativo.

• Si permite autoreset de la cuenta después de un cierto período - denominado a menudo bloqueo de intrusos - no establezca un corto período de tiempo. Treinta minutos menudo funciona bien.

Un contador de entrada no puede aumentar la seguridad de las contraseñas y minimizar los efectos globales de bloqueo de cuentas si la cuenta experimenta un ataque automatizado. Un contador de inicio de sesión puede forzar un cambio de contraseña después de varios intentos fallidos. Si el número de intentos de conexión fallidos es alta y se produjo en un período corto, la cuenta probablemente ha experimentado un ataque de contraseña automatizado.

Otras medidas de protección de contraseña incluyen

• Métodos de autenticación más fuerte. Ejemplos de estos son de desafío / respuesta, tarjetas inteligentes, tokens, biometría, o certificados digitales.

• Restablecimiento de contraseña automatizada. Esta funcionalidad permite a los usuarios gestionar la mayor parte de sus problemas de contraseña sin obtener otros involucrados. De lo contrario, este problema de soporte se vuelve caro, especialmente para las organizaciones más grandes.

• Proteger con contraseña el BIOS del sistema. Esto es especialmente importante en los servidores y portátiles que son susceptibles a las amenazas y vulnerabilidades de seguridad física.