Seguridad de contraseas

1 de 6

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html

Red Hat Enterprise Linux 4: Manual de seguridad

Captulo 4. Seguridad de las estaciones de trabajo

Anterior

Siguiente

4.3. Seguridad de contraseas

Las contraseas son el mtodo principal que Red Hat Enterprise Linux utiliza para verificar la
identidad de los usuarios. Por esta razn la seguridad de las contraseas es de suma
importancia para la proteccin del usuario, la estacin de trabajo y la red.
Para propsitos de seguridad, el programa de instalacin configura el sistema para usar el
Message-Digest Algorithm (MD5) y contraseas shadow. Se recomienda que no cambie estas
configuraciones.
Si quita la seleccin de MD5 durante la instalacin, se utilizar el formato ms viejo Data
Encryption Standard (DES). Este formato limita las contraseas a ocho caracteres
alfanumricos (no permite caracteres de puntuacin o especiales) y proporciona un nivel
encriptacin modesto de 56-bits.
Si usted deselecciona las contraseas shadow durante la instalacin, todas las contraseas
son almacenadas como hash de una sola va en el archivo /etc/passwd, lo que hace al
sistema vulnerable a ataques de piratas fuera de lnea. Si un intruso puede obtener acceso a
la mquina como un usuario regular, puede tambin copiar el archivo /etc/passwd a su
propia mquina y ejecutar cualquier cantidad de programas de descifrado de contraseas
contra el. Si hay una contrasea insegura en el archivo, es slo una cosa de tiempo antes de
que el maleante informtico la descubra.
Las contraseas shadow eliminan este tipo de ataques almacenando los hash de las
contraseas en el archivo /etc/shadow, el cual slo es ledo por el usuario root.
Esto obliga al atacante potencial a intentar descubrir la contrasea remotamente mediante la
conexin a un servicio de la red en la mquina, tal como SSH o FTP. Este tipo de ataques de
fuerza bruta son mucho ms lentos y dejan rastros obvios, pues los intentos fallidos de
conexin son registrados a los archivos del sistema. Por supuesto, si el maleante o cracker
comienza un ataque durante la noche y usted tiene contraseas dbiles, ste podra obtener
acceso antes del amanecer y editar el archivo de registro para borrar sus rastros.
Ms all de los detalles sobre el formato y almacenamiento, est el problema del contenido. La
cosa ms importante que un usuario puede hacer para proteger su cuenta contra un ataque
de piratas, es crear una contrasea robusta.

4.3.1. Creacin de contraseas robustas

Cuando se cree una contrasea segura, es una buena idea seguir las siguientes pautas:
No haga lo siguiente:
No utilice solamente palabras o nmeros Nunca debera utilizar nicamente
letras o slo nmeros en una contrasea.
Algunos ejemplos inseguros incluyen:
8675309

19/06/2014 11:48 a.m.

Seguridad de contraseas

2 de 6

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html

juan
atrapame
No utilice palabras reconocibles Palabras tales como nombres propios, palabras
del diccionario o hasta trminos de shows de televisin o novelas deberan ser
evitados, an si estos son terminados con nmeros.
Algunos ejemplos inseguros incluyen:
john1
DS-9
mentat123
No utilice palabras en idiomas extranjeros Los programas de descifrado de
contraseas a menudo verifican contra listas de palabras que abarcan diccionarios
de muchos idiomas. No es seguro confiarse en un idioma extranjero para asegurar
una contrasea.
Algunos ejemplos inseguros incluyen:
cheguevara
bienvenue1
1dumbKopf
No utilice terminologa de hackers Si piensa que usted pertenece a una lite
porque utiliza terminologa hacker tambin llamado hablar l337 (LEET) en su
contrasea, piense otra vez. Muchas listas de palabras incluyen lenguaje LEET.
Algunos ejemplos inseguros incluyen:
H4X0R
1337
No utilice informacin personal Mantengase alejado de la informacin personal.
Si un atacante conoce quin es usted, la tarea de deducir su contrasea ser an
ms fcil. La lista siguiente muestra los tipos de informacin que debera evitar
cuando est creando una contrasea:
Algunos ejemplos inseguros incluyen:
Su nombre
El nombre de sus mascotas
El nombre de los miembros de su familia
Fechas de cumpleaos
Su nmero telefnico o cdigo postal
No invierta palabras reconocibles Los buenos verificadores de contraseas
siempre invierten las palabras comunes, por tanto invertir una mala contrasea no
19/06/2014 11:48 a.m.

Seguridad de contraseas

3 de 6

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html

la hace para nada ms segura.

Algunos ejemplos inseguros incluyen:
R0X4H
nauj
9-DS
No escriba su contrasea Nunca guarde su contrasea en un papel. Es mucho
ms seguro memorizarla.
No utilice la misma contrasea para todas las mquinas Es importante que tenga
contraseas separadas para cada mquina. De esta forma, si un sistema es
comprometido, no todas sus mquinas estarn en peligro inmediato.
Haga lo siguiente:
Cree contraseas de al menos ocho caracteres Mientras ms larga sea la
contrasea, mejor. Si est usando contraseas MD5, debera ser de 15 caracteres
de largo o ms. Con las contraseas DES, use el largo mximo (ocho caracteres).
Mezcle letras maysculas y minsculas Red Hat Enterprise Linux es sensitivo a
las maysculas y minsculas, por la tanto mezcle las letras para reenforzar su
contrasea.
Mezcle letras y nmeros Agregando nmeros a las contraseas, especialmente
cuando se aaden en el medio (no solamente al comienzo o al final), puede
mejorar la fortaleza de su contrasea.
Incluya caracteres no alfanumricos Los caracteres especiales tales como &, $, y
> pueden mejorar considerablemente su contrasea (esto no es posible si esta
usando contraseas DES).
Seleccione una contrasea que pueda recordar La mejor contrasea en el mundo
ser de poca utilidad si usted no puede recordarla. Por lo tanto utilice acrnimos u
otros dispositivos nemnicos que lo ayuden a memorizar las contraseas.
Con todas estas reglas, puede parecer dificil crear una contrasea que rena todos estos
requisitos para las buenas contraseas a la vez que se evitan los rasgos de las malas.
Afortunadamente, hay algunos pasos que uno puede tomar para generar una contrasea
segura y fcil de recordar.

4.3.1.1. Metodologa para la creacin de contraseas seguras

Hay muchos mtodos que la gente utiliza para crear contraseas seguras. Uno de los mtodos
ms populares incluyen acrnimos. Por ejemplo:
Piense en una frase memorable, tal como:
"Es ms fcil creer que pensar con espritu crtico."
Luego, cmbielo a un acrnimo (incluyendo la puntuacin).

19/06/2014 11:48 a.m.

Seguridad de contraseas

4 de 6

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html

emfcqpcec.
Aada un poco de complejidad sustituyendo nmeros y smbolos por letras en el
acrnimo. Por ejemplo, sustituya7 por e y el smbolo arroba (@) por c:
7mf@qp@7@.
Aada un poco ms de complejidad colocando mayscula al menos una letra, tal como
M.
7Mf@qp@7@.
Por ltimo, no utilice esta contrasea de ejemplo en ninguno de sus sistemas.
Mientras que la creacin de contraseas seguras es imperativo, manejarlas adecuadamente es
tambin importante, especialmente para los administradores de sistemas dentro de grandes
organizaciones. La prxima seccin detalla buenos hbitos en la creacin y manejo de
contraseas de usuarios dentro de una organizacin.

4.3.2. Creacin de cuentas de usuario dentro de la organizacin

Si hay un nmero significativo de usuarios dentro de una organizacin, los administradores de
sistemas tienen dos opciones bsicas disponibles para forzar el uso de buenas contraseas.
Ellos pueden crear contraseas para el usuario o dejar que los usuarios crean sus propias
contraseas, a la vez que verifican que las contraseas sean de calidad aceptable.
Al crear las contraseas para los usuarios asegura que las contraseas sean buenas, pero se
vuelve una tarea agotadora a medida que la organizacin crece. Tambin incrementa el riesgo
de que los usuarios escriban sus contraseas en papel.
Por estas razones, la mayora de los administradores de sistemas prefieren dejar que los
usuarios creen sus propias contraseas, pero activamente verifican que las contraseas sean
buenas y, en algunos casos, obligan a los usuarios a cambiarlas peridicamente hacindolas
caducar.

4.3.2.1. Forzar la creacin de contraseas robustas

Para proteger la red contra intrusos, es una buena idea para los administradores de sistemas
verificar que las contraseas usadas dentro de la organizacin sean robustas. Cuando se les
pide a los usuarios crear o modificar sus contraseas, ellos pueden utilizar la aplicacin de
lnea de comandos passwd, la cual es de tipo Pluggable Authentication Manager (PAM) y por
lo tanto verificar para ver si la contrasea es fcil de descifrar o si es demasiado corta, a
travs del mdulo PAM pam_cracklib.so. Puesto que PAM es personalizable, es posible
aadir ms verificaciones para la integridad de la contrasea, tales como pam_passwdqc
(disponible desde http://www.openwall.com/passwdqc/) o escribir un nuevo mdulo. Para una
lista de los mdulos PAM disponibles, consulte http://www.kernel.org/pub/linux/libs/pam
/modules.html. Para ms informacin sobre PAM, consulte el captulo llamado Pluggable
Authentication Modules (PAM) en el Manual de referencia de Red Hat Enterprise Linux.
Sin embargo, es importante resaltar que la verificacin realizada en las contraseas al
momento de su creacin, no descubren las malas contraseas de forma tan efectiva como lo

19/06/2014 11:48 a.m.

Seguridad de contraseas

5 de 6

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html

hara un programa especfico para descifrado ejecutado sobre las contraseas dentro de la
organizacin.
Hay muchos programas de descifrado de contraseas que corren bajo Red Hat Enterprise
Linux aunque ninguno es suministrado con el sistema operativo. Abajo se muestra una breve
lista de algunos de los programas de descifrado de contraseas ms populares:
Nota
Ninguna de estas herramientas son suministradas con Red Hat Enterprise
Linux y, por lo tanto, no son soportadas por Red Hat, Inc. de ninguna manera.

John The Ripper Un programa rpido y flexible de descifrado de contraseas.

Permite el uso de mltiples listas de palabras y es capaz de usar descifrado de
contraseas con fuerza bruta. Est disponible en http://www.openwall.com/john/.
Crack Quizs el software ms conocido sobre descifrado de contraseas, muy rpido,
pero no tan fcil de usar como John The Ripper. Se puede encontrar en lnea desde
http://www.crypticide.com/users/alecm/.
Slurpie Slurpie es similar a John The Ripper y a Crack excepto que est diseado
para ejecutarse en varias mquina simultneamente, creando un ataque de contraseas
distribuido. Se puede encontrar junto a otros grupos de herramientas de evaluacin de
ataques distribuidos a la seguridad en http://www.ussrback.com/distributed.htm.

Aviso
Siempre obtenga autorizacin por escrito antes de intentar descifrar las
contraseas dentro de la organizacin.

4.3.2.2. Envejecimiento de las contraseas

El envejecimiento de contraseas es una tcnica utilizada por los administradores de sistemas
para defenderse de las malas contraseas dentro de la organizacin. El envejecimiento de
contraseas significa que luego de un tiempo determinado (usualmente 90 das) se le pide al
usuario que creee una nueva contrasea. La teora detrs de esto es que si un usuario es
forzado a cambiar su contrasea peridicamente, una contrasea que ha sido descifrada por
un cracker slo le es til por un tiempo determinado. La desventaja del envejecimiento de
contraseas, es que los usuarios tienden a escribir sus contraseas.
Existen dos programas principales usados para especificar la caducidad de contraseas bajo
Red Hat Enterprise Linux: el comando chage o la aplicacin grfica Administrador de
usuarios (system-config-users).
La opcin -M del comando chage especifica el nmero de das mximo en que la contrasea
ser vlida. Por lo tanto, si desea que la contrasea de un usuario expire en 90 das, escriba el

19/06/2014 11:48 a.m.

Seguridad de contraseas

6 de 6

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html

comando siguiente:
chage -M 90 <username>

En el comando anterior, reemplace <username> con el nombre del usuario. Para desactivar la
expiracin de contraseas, es comn utilizar un valor de 99999 despus de la opcin -M (esto
equivale a un poco ms de 273 aos).
La aplicacin grfica Administrador de usuarios tambin se puede usar para crear polticas
de caducidad de contraseas. Para acceder a esta aplicacin, vaya al Men principal (en el
Panel) => Configuracin del sistema => Usuarios & Grupos o escriba el comando systemconfig-users en un prompt del shell (por ejemplo, en un terminal XTerm o GNOME). Haga
clic en la pestaa Usuarios, seleccione el usuario desde la lista y pulse en Propiedades desde
el men de botones (o seleccione Fichero => Propiedades desde el men desplegable).
Luego haga clic en la pestaa Informacin de la contrasea e introduzca el nmero de das
antes de que la contrasea expire, como se muestra en la Figura 4-1.

Figura 4-1. Panel Informacin de la contrasea

Para ms informacin sobre la configuracin de grupos y usuarios (incluyendo instrucciones
sobre cmo forzar contraseas de la primera vez), refirase al captulo llamado Configuracin
de usuarios y grupos en el Manual de administracin del sistema de Red Hat Enterprise
Linux. Para una vista general de los usuarios y el manejo de recursos, refirase al captulo
llamado Administracin de cuentas de usuarios y acceso a recursos en la Introduccin a
la administracin de sistemas de Red Hat Enterprise Linux.
Anterior
Seguridad del BIOS y del
gestor de arranque

Inicio
Subir

Siguiente
Controles administrativos

19/06/2014 11:48 a.m.