Professional Documents
Culture Documents
Llicncia ds
El contingut de la present guia s titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya i resta subjecta
a la llicncia de Creative Commons BY-NC-ND. L'autoria de lobra es reconeixer mitjanant la inclusi de la segent
menci:
Reconeixement: s'ha de reconixer l'autoria de lobra de la manera especificada per l'autor o el llicenciador (en tot
cas, no de manera que suggereixi que gaudeix del seu suport o que dna suport a la seva obra).
Sense obres derivades: no es pot alterar, transformar o generar una obra derivada a partir d'aquesta obra.
2
Qui fem aquesta guia
www.cesicat.cat
3
I aquesta guia, per a qui s?
Aquesta guia tamb est pensada per als administradors de sistemes, ja que ells sn
els encarregats de configurar els perfils daccs i les poltiques de seguretat en els
sistemes dinformaci.
Les organitzacions que en un futur prxim vulguin implantar un Sistema de Gesti per
a la Seguretat de la Informaci (SGSI), poden tenir en compte les recomanacions
daquesta guia durant la implantaci prvia a la superaci del procs de certificaci.
4
Introduint les idees bsiques
Avui dia necessitem contrasenyes per a moltes accions gaireb diries. Tots sabem
que les paraules de pas o contrasenyes sn un mecanisme de control destinat a evitar
que una persona accedeixi de manera illegtima a uns recursos o a una rea als quals
no t accs ni autoritzaci.
Normalment, quan volem accedir a un servei dInternet hem domplir dos camps
dinformaci (traduint en llenguatge visual, dues caselles en blanc):
- Lidentificador dusuari, que permet saber qui est intentant accedir al recurs
privat
- La contrasenya
5
Perills que podem crrer amb contrasenyes dbils
Estrenant ordinador
Quan comprem un ordinador, el programari que ja hi ha installat inclou identificadors
dusuari i contrasenyes fcils dendevinar que ha introdut el mateix fabricant. Com que
el fabricant necessita crear aquesta informaci per installar cadascun dels programes
que hi haur a lordinador, acostuma a fer servir paraules que no costin dimaginar. De
fet, moltes daquestes contrasenyes es poden trobar sense gaire esfor a travs de la
xarxa. Aix, per exemple, se sap que les bases de dades SQL Server inclouen de
fbrica lidentificador dusuari sa i la contrasenya en blanc.
El mateix passa amb els equips configurats in situ pels provedors. Posem un exemple:
la installaci dun encaminador (en angls, router) sense fils. Aquests dispositius
utilitzen una configuraci bsica, un identificador dusuari i una contrasenya comuns
associats al model del dispositiu. Aquestes dades sn de lliure distribuci a Internet i
permeten al propietari de lencaminador disposar de la informaci pertinent per accedir
i modificar els parmetres de configuraci del dispositiu. Si no modifiquem aquesta
informaci, correm el risc que qualsevol persona pugui utilitzar lliurement el dispositiu
per navegar a Internet o per accedir a la xarxa privada on es trobi el dispositiu.
Si voleu un exemple real, us podem parlar dels encaminadors sense fils de la marca
Zyxel. Aquests aparells sn installats pels tcnics de les operadores amb identificador
dusuari 1234 o admin i la contrasenya 1234.
6
Qu pot passar si no canviem les contrasenyes que provenen de
fbrica?
Accs no autoritzat
Si un equip sinstalla en un entorn de producci corporatiu sense que se nhagin
modificat les contrasenyes que provenen de fbrica o sense haver inhabilitat els
comptes daccs associats a aquestes contrasenyes, qualsevol internauta o treballador
de lorganitzaci que aconsegueixi contactar amb aquest dispositiu hi podr accedir
sense dificultat i explotar aquesta circumstncia en benefici propi.
Denegaci de servei
Si un equip ha resultat comproms perqu una persona no autoritzada hi ha pogut
accedir, lintrs podria apagar el dispositiu remotament o desconfigurar-lo i, en
conseqncia, deixar-lo fora de servei.
7
Per qu cal definir una contrasenya robusta personalitzada?
Ja fa molt de temps que sentim a dir que no haurem de fer servir mai la data del
nostre naixement o algun altre tipus dinformaci del nostre entorn com a contrasenya.
Per, qui de nosaltres no ho ha fet mai?
s important saber que, amb les eines actuals, resulta relativament fcil descobrir
contrasenyes formades per paraules que apareixen en diccionaris lingstics o mots
colloquials. Ni tan sols serveix canviar la llengua del nostre voltant per una
destrangera.
Suplantaci didentitat
Si una tercera persona no autoritzada s capa daccedir a un servei corporatiu fent
servir el nostre compte daccs, podr utilitzar el servei en el nostre nom, s a dir, fent-
se passar per nosaltres.
8
Idonetat en la utilitzaci del desafiament pregunta/resposta
Accs no autoritzat
Si la nostra resposta a la pregunta escollida resulta evident (perqu t a veure amb la
nostra realitat ms prxima i coneguda), correm el risc que alg proper a nosaltres
pugui aconseguir accedir al servei i, un cop a dins, modifiqui la contrasenya per una
que no coneixem. Fent aix, aconseguir que no puguem accedir al servei en un futur.
Per evitar mals de cap, doncs, s recomanable que les respostes siguin complexes i
no tinguin relaci amb la nostra vida ms pblica.
Suplantaci didentitat
Es produeix quan una tercera persona no autoritzada s capa daccedir a un servei
corporatiu en el nostre nom. A travs de la suplantaci didentitat poden dir o fer coses
contrries a la nostra voluntat.
9
Utilitzaci de comptes daccs genrics corporatius
Hem de tenir en compte que les contrasenyes de grup poden estar emmagatzemades
per a la seva consulta en algun tipus de suport en paper o electrnic.
Accs no autoritzat
Les contrasenyes que semmagatzemen per poder ser consultades sn ms
vulnerables, ja que poden ser descobertes per persones no autoritzades.
Hem de tenir present que cal canviar contrasenyes quan una persona abandona el
grup o lorganitzaci. Si no ho fem, correm el risc que lusuari sortint pugui accedir al
compte genric en un futur.
10
Utilitzaci de mecanismes de rotaci de contrasenyes
Tot i que resulta molest haver de canviar la clau daccs contnuament, es tracta duna
acci necessria per tal de protegir la informaci corporativa que semmagatzema als
sistemes dinformaci.
Recomanacions
Per evitar que aix succeeixi, o per minimitzar-ne lefecte si s que lamenaa no es
pot eliminar del tot, a continuaci us proporcionem un conjunt de recomanacions
dirigides a usuaris i administradors que gestionen contrasenyes dins de lmbit
professional.
11
Recomanacions per construir contrasenyes robustes
- Si tenim una contrasenya complexa, per cmode que sigui, hem devitar
reciclar-la afegint un nou dgit a la contrasenya actual.
12
Recomanacions per preservar la privacitat de les contrasenyes
- Hem de fer servir contrasenyes diferents per a cada mbit. Si tenim una
contrasenya per al correu personal i una altra per al de la feina i una de les
dues contrasenyes es veu compromesa, laltra continuar sent segura.
13
Recomanacions per preservar la vigncia de les contrasenyes
- Si ens trobem en un entorn crtic, les contrasenyes han de tenir una vigncia
mxima de 90 dies. Si estem en un entorn amb informaci poc delicada, es
podr especificar un perode de temps ms ampli segons les necessitats.
- Les contrasenyes shauran dentregar de manera segura als usuaris. Aqu teniu
alguns mtodes vlids dentrega:
o Entrega personal
o Per correu electrnic xifrat
o Correu postal
o Missatgeria amb canal xifrat
o Correu intern precintat
14
contrasenya de forma automtica. En aquests casos caldr aplicar controls
addicionals com:
o Inhabilitar laccs a la consola del sistema
o Definir els mnims privilegis necessaris tant daccs com dexecuci
o Mantenir un registre dels usuaris, indicant la persona o grup
responsable dels mateixos
o Per als entorns on lusuari no pugui realitzar el canvi de forma
automtica, el responsable daquests haur de sollicitar un canvi de
contrasenya de forma peridica mitjanant els canals establerts
15
Conclusions
Actualment, tenim contrasenyes per a gaireb tot: per accedir al mbil, per desactivar
lalarma, fins i tot per engegar el cotxe. Si ens traslladem del mn real al virtual, ens
trobem amb una multitud de serveis que requereixen aquest tipus de validaci inicial.
Necessitem tantes contrasenyes que de vegades fem servir sempre les mateixes per
evitar loblit momentani. Tot i aix, haurem danar amb ms cura i deixar la mandra
aparcada en un rac, perqu algunes comoditats acostumen a ser les causants de la
manca de seguretat.
La contrasenya pertany a qui la fa servir. Noms nosaltres lhem de saber. Per aix,
sempre hem de desconfiar de correus electrnics o trucades que ens demanin
validaci o comprovaci de clau.
Hem de tenir present que una contrasenya t la finalitat de protegir alguna cosa que s
important per a nosaltres, per aquesta contrasenya no t sentit si no lutilitzem de
manera correcta.
Aix que...
16
Glossari de termes
contrasenya: tipus dautenticaci que utilitza informaci secreta per controlar laccs a
un determinat servei, recurs o sistema que requereixi una validaci prvia.
17
Referncies i enllaos web
Per elaborar la guia actual sha utilitzat com a referncia la Guia de contrasenyes, del
Centre de Telecomunicacions i Tecnologies de la Informaci de la Generalitat de
Catalunya (GE-GUI19-02).
18
Eines
Associaci dinternautes
Aplicaci per generar contrasenyes segures.
http://www.internautas.org/archivos/claves.zip
Cryptix
Aplicaci per generar contrasenyes segures.
http://www.rbcafe.com
Lame-industries software
Aplicaci per generar contrasenyes segures.
http://lame-industries.net
Password Manager
Eina de pagament que permet guardar i gestionar contrasenyes de manera segura.
http://www.cp-lab.com
Password Safe
Eina lliure que permet guardar i generar contrasenyes de manera segura.
http://passwordsafe.sourceforge.net/
Clave Segura
Generador de contrasenyes segures en lnia.
http://www.clavesegura.org/
Password
Generador de contrasenyes segures en lnia.
http://www.password.es/
Simple Password
Generador de contrasenyes segures en lnia.
http://www.simplepassword.com/
19