Xeración manual, agochar contrasinais, aplicativos de xeración e mantemento

Hoxe en día os contrasinais (passwords) son as chaves de acceso a gran cantidade de sistemas e, polo tanto, a moita información, en moitos casos, privada dos usuarios. Desde o acceso ao sistema operativo, o correo electrónico, redes sociais, sitios de comercio electronico (e-commerce)... todo está protexido por un contrasinal. É, polo momento, a protección preferida de sistemas tanto en liña como fora dela. Polo tanto, que alguén obteña o noso contrasinal pode ser perigoso, e non é desexable para ninguén que faga un uso cotián da tecnoloxía e os seus recursos.

Existen moitos programas, como o John The Ripper, que axuda aos atacantes a adiviñar ou rachar contrasinais baseandose na «forza bruta» polo que elixir un bo contrasinal pode evitar que unha persoa non autorizada acceda a súa información.

Contenido 1 Creación dun contrasinal 1.1 Creación manual dun contrasinal 1.2 Ferramentas de creación de contrasinais 1.2.1 Webs 1.2.2 Aplicativos 1.2.2.1 En Linux: 1.2.2.2 En Window$ 2 Probar a resistencia ou forza do contrasinal 3 Gardar os contrasinais fora dos ollos dos demais 3.1 Compresión cifrada 3.2 Esteganografía 3.2.1 En Linux: 3.2.1.1 Como ver/ler este ficheiro de texto dentro da imaxe 3.2.2 En Window$ 3.2.2.1 Como ver/ler este ficheiro de texto dentro da imaxe 4 Xestión de contrasinais

Creación dun contrasinal

Os consellos para ter un contrasinal forte e que, como consecuencia, non sexa posible obtela/calculala nun periodo razoable de tempo, son os seguintes:

• Que o contrasinal teña, polo menos, oito carácteres

Nunca menos de seis, ainda que o ideal sería de 12 ou máis, xa que cantos máis teña, máis complexa será.

• Que o contrasinal posúa letras maiúsculas e minúsculas

Condición inexcusable

• Que o contrasinal posúa algún número

Condición inexcusable

• Que o contrasinal posúa, preferentemente, algún tipo de carácter especial

Por exemplo, @, #, %, &, !, ?, (, ), {, }, [, ], +, -, etc...

• Que o contrasinal non posúa ningunha palabra que exista (ou poida existir) nalgún diccionario.

En ningún idioma (son as bases para os ataques de "diccionario")

Nin nomes de lugares e/ou patronimicos

• Que o contrasinal non posúa ningún dato "comun"

Números de teléfono, datas de aniversarios, nomes de mascotas, etc... xa que é posible que quen queira obter o noso contrasinal xa os teña visto nalgunha entrada nosa nunha rede social, ou nos coñeza personalmente.

Combinando estes pequenos consellos poderase lograr un tempo desexado de resistencia, que sería ideal que polo menos sexa duns cantos anos. Cun dos contrasinais que utilizo periódicamente cheguei a 100 millóns de anos. Paranoico, eu?

Creación manual dun contrasinal

Modificando una frase que nos sexa doada de memorizar

Exemplo 1

1. Un triste tigre → Frase patrón
2. Untristetigre → Eliminamos espazos
3. Un#ris#e#igre → Substituimos os T por #
4. Un#r1s#3#1gr3 → Substituimos letras por números
5. (Un#r1s#3#1gr3) → Pechamos entre outros símbolos especiais

Unha posible táboa de equivalencias número → letra

Núm.	Letra(s)	Núm.	Letra(s)
1	i, I ou l, L	6	G
2	Z	7	T
3	e, E	8	B
4	a, A	9	p,P
5	s, S	0	o, O

Exemplo 2

Meu pai chamase Manolo

1. Papa Manolo → Frase patrón
2. PapaManolo → Eliminamos espazos
3. Papa(Manolo) → Pechamos o nome entre símbolos especiais
4. Papa(olonaM) → Invertemos a orde das letras do nome "Manolo" → olonaM
5. p4p4(olonaM) → Substituimos os A po 4 (semellanse moito)

Ferramentas de creación de contrasinais

En todos os S.O. hai algún aplicativo/programa que nos permite crear contrasinais con diferentes niveis de fortaleza, segundo as características que definamos. Aquí só imos ver solucións que sexan o máis universais posible.

Webs

A traves da páxina web (en inglés) freepasswordgenerator.com podemos crear contrasinais, incluso pronunciables en inglés. En castelán temos a páxina password.es que é unha derivada da anterior con algunha funcionalidade menos.

Somentes teremos que definir as caracteristicas (marcando as caixiñas) e premer en "Crear Contraseña" ou "Generate" e xa nos fornecerá un. A páxina en castelán, embaixo do contrasinal, indicaranos o nivel de fortaleza, premendo a tecla "Intro" irá xerando novos contrasinais, ata que atopemos un que nos pareza usable e coa fortaleza que nos interese.

Outra opción é clavesegura.org está en castelán e moi ben explicada.

Aplicativos

En Linux:

Poderiamos empregar KeePass que adoita estar nos repositorios de Debian, Ubuntu, OpenSUSE, Arch Linux, Mandriva e Fedora como keepassx) pero a súa complexidade excede en moito ao pretendido neste manual de creación de contrasinais. de todos os xeitos, podemos ver un manual de uso do CNICE (departamento do Ministerio de Educación y Ciencia español) ou o da distribucióm Molinux da Junta de Comunidades de Castilla-La Mancha.

• Manual CNICE
• Manual Molinux

Para o que nos ocupa, a ferramenta máis útil é APG (Automatic Password Generator) para Linux, é unha orde que nos permitirá a creación de contrasinais ao chou para poder utilizalas despois nos nosos sitios de acceso. Está dispoñible nos repositorios de todas as distribucións. O primeiro que teremos que facer é instalalo (só ocupa 229kB). Como administrador (root ou sudo) executamos:

# apt-get install apg

ou

$ sudo apt-get install apg

A partires de aquí, temos dúas formas de obter contrasinais:

Xeración estándar a partires dunha "palabra de referencia", como pode ser o nome de usuario.

Esta opción, a máis sinxela, fornece 6 contrasinais de entre 8 e 12 carácteres que son pronunciables en inglés. Só teremos que escribir nun terminal:

apg

usuario@maquina:~$ apg 

Please enter some random data (only first 16 are significant)
(eg. your old password):>
loxroHycs9 (lox-ro-Hycs-NINE)
uninakWiOg3 (un-in-ak-Wi-Og-THREE)
IpfidCubev1 (Ip-fid-Cub-ev-ONE)
gatejTyd0 (gat-ej-Tyd-ZERO)
2OmZerdU (TWO-Om-Zerd-U)
NichEvSen5 (Nich-Ev-Sen-FIVE)

Xeración "definida por nos" con resultado ao chou

Agora imos xerar 4 contrasinais cunha lonxitude minima de 8 e máxima de 12 caracteres e que sexan inpronunciables

apg -n 4 -m 8 -x 12 -a 1

usuario@maquina:~$ apg -n 4 -m 8 -x 12 -a 1
ppPC%k<eO"vy
Z+=}IkZ3~
.@7}+jJh%=Ss
'[l2NCzs}v

O mesmo pero pronunciables

apg -n 4 -m 8 -x 12 -a 0

miguel@oki:~$ apg -n 4 -m 8 -x 12 -a 0
nocEkafDid@
8shnehaswuta
GajUnpek
jiozithLoff

Teremonos fixado que as "pronunciables" non levan caracteres especiais, e iso non é o máis recomendable.

En Window$

Que saibamos o único que podemos recomendar xa que é libre e, polotanto, auditable é KeePass. Xa que é un aplicativo complexo, remito a ligazón do CNICE (departamento do Ministerio de Educación y Ciencia español).

http://observatorio.cnice.mec.es/modules.php?op=modload&name=News&file=article&sid=707

Do resto, como non podemos asegurar a confidencialidade (poderian ter portas traseiras ou troianos) limitamonos a fornecer algunha ligazón na que poder atopalos.

http://www.programas.com/windows/descargar_/generar-passwords/windows-xp

http://www.softonic.com/windows/generadores

Probar a resistencia ou forza do contrasinal

How Secure is my Password (howsecureismypassword.net), é un pequeno sitio web que posúe unha única funcionalidade: saber se o contrasinal elixido é bo ou malo.

O sitio funciona de forma moi sinxela: o usuario ingresa a contrasinal e o portal devolve o tempo estimado que necesitaría unha computadora de escritorio para romper (crackear) o contrasinal. É todo o que fai o sitio, nin máis nin menos. É válido tanto para comprobar contrasinais xa utilizados, como para o momento de armar e elixir un novo. O portal para tomar este valor simplemente realiza cálculos matemáticos segundo os rendementos de aplicacións de forza bruta para rachar (crackear) contrasinais. Estes, son programas que proban todos os contrasinais posibles unha atrás da outra a velocidades de computadora ata atopar aquela que funciona.

Seguindo con outro consello para os máis paranoicos que non queiran inserir o seu contrasinal nun sitio web, non deixen de probala suplantando o seu contrasinal orixinal por outro coa mesma composición. Por exemplo, se o meu contrasinal é “Clave1“, o tempo indicado será o mesmo que si insiro “Lcave3” (posúe unha letra maiúscula, tres minúsculas e un número).

Cabe destacar que o sitio verifica a fortaleza dos contrasinais só para ataques de forza bruta, pero non para outro tipo de ataques como poden ser de dicionario (onde, por exemplo, agregaríase o consello de que o contrasinal non se relacione directamente cunha palabra do mundo real). Aínda que para usuarios afeitos a poñer contrasinais este é un sitio trivial, para aqueles usuarios menos afeitos é bo recomendar o sitio web e ata quizais ofrecerlles o desafío de superar certo limiar de tempo ao elixir un contrasinal, e así axudalos a terminar utilizando contrasinais coa seguranza necesaria.

Gardar os contrasinais fora dos ollos dos demais

Creamos un ficheiro de texto simple parecido a este:

SITIO		USUARIO		CONTRASINAL
Facebook	manolito	qwer1234
Tuenti		xose		ghjk7896
barrapunto	xosemanuel	kjhg5674
web1		usuario1	contrasinal1
web2		usuario2	contrasinal2

e gardamolo co nome meus-contrasinais.txt

Nota: en Window$ é recomendable deixar unha liña en branco no principio do ficheiro, nos recomendamos que se deixen dúas, para facilitar a lectura posterior.

Compresión cifrada

Para comprimir o ficheiro a agochar, empregamos un compresor como "7z", "rar", ou "zip" (e algún outro menos usado) e comprimimos o ficheiro "meus-contrasinais.txt" como "revisions-coche.EXT" (onde a EXT será .zip, .7z, .rar, etc...) empregando a funcionalidade de "cifrado" ou "contrasinal".

Recomendamos 7z xa que é o único que é libre.

Obteremos un ficheiro comprimido que precisará dun contrasinal para poder ser aberto.

Esteganografía

A esteganografía é a disciplina na que se estudan e aplican técnicas que permiten o agochado de mensaxes ou obxectos, dentro de outros, chamados portadores, de modo que non se perciba a súa existencia.

A esteganografía, no sentido moderno da palabra e en términos informáticos, refirese a información ou a un ficheiro calquera que se atopa agochado dentro doutro, normalmente multimedia, é dicir, o portador é unha imaxe dixital, un vídeo ou un ficheiro de son.

Veremos como facelo empregando como portador unha fotografía (ou calquera outra imaxe dixital) e empregaremos métodos que non dependen de ningún aplicativo "especial"

En Linux:

1.- Comprimir o ficheiro a agochar

Comprimimos o ficheiro "meus-contrasinais.txt" como "revisions-coche.EXT" (onde a EXT será .zip, .7z, .rar, etc...)

2.- Eliximos unha imaxen que vai a servir para agochar, a que vai ser portadora (p.ex. "pena-moura.jpg") 3.- Escribimos nun terminal

cat pena-moura.jpg revisions-coche.zip > dolmen-pena-moura.jpg

IMPORTANTE:

a) Os nomes non deben conter espazos

b) Ao facer o "cat" primeiro vai a imaxe portadora e despois o comprimido

OPCIÓN:

Con "7z", "rar", ouy "zip" (e algún outro menos usado) podese comprimir con contrasinal, como indicamos no punto anterior

Como ver/ler este ficheiro de texto dentro da imaxe

Para poder ver/ler o contido de texto, só teremos que cambiar a extensión "jpg" ou "png" pola extensión empregada para a compresión do ficheiro de texto, no caso do exemplo cambiamos "dolmen-pena-moura.jpg" por "dolmen-pena-moura.zip". Coa mesma poderemos abrilo co Xestor de arquivos do noso S.O. e unha vez aberto, facer dobre clic no nome do ficheiro de texto (neste caso de exemplo en "meus-contrasinais.txt") e xa nolo abre cun editor de texto simple.

Convidovos a que descarguedes o ficheiro de imaxe a seguir e que fagades a proba.

En Window$

Unha vez creado o ficheiro de texto, eliximos unha imaxe que vai servir de máscara, supoñamos que temos o ficheiro de texto "meus-contrasinais.txt" e a imaxe "gato.jpg". Estes dous ficheiros teremolos no escritorio.

Abrimos a consola desde o menú con Executar → cmd (En Vista se non está no menú "Executar" premer WIN+R e cmd WIN → é a tecla da xanela a beira da barra espaciadora, as teclas premense xuntas)

Debeu aparecerlles unha xanela con algo como: C:\Documents and settings\Administrador>, agora debemos ubicarnos no escritorio, para iso escribimos, segundo a versión de Window$, a seguinte orde:

• En XP

cd Escritorio

• En Vista e 7

cd Desktop

Quedaranos algo como: C:\Documents and settings\Administrador\Escritorio>

Agora deberemos copiar "meus-contrasinais.txt" dentro da imaxe "gato.jpg" e obter un novo ficheiro chamado "gato-guapo.jpg". Para iso escribimos nese terminal (a xaneliña negra)

copy /b gato.jpg + meus-contrasinais.txt gato-guapo.jpg

Nota:podemos escribir só oas primeiras letras do nome do ficheiro e despois premer en TAB para que faga un «autocompletado» do nome.

Unha breve explicación:

• copy /b → O que fai esta orden é copiar en binario (/b)
• gato.jpg + meus-contrasinais.txt gato-guapo.jpg → fai que se copie "meus-contrasinais.txt" dentro de "gato.jpg" e que o resultado sera "gato-guapo.jpg"

(Notese que primeiro ponse o ficheiro que será o visible ou portador (neste caso interesanos que sexa a imaxe) no resultado.

Nese terminal indicarasenos que se copiou o ficheiro e se ímos ao escritorio teremos nel o ficheiro "gato-guapo.jpg".

Poderemos tamén comprimir con contrasinal o ficheiro "meus-contrasinais.txt" como (p.ex.) "revisions-coche.EXT". Se a compresión se fai con ZIP será "revisions-coche.zip", co que a orde de mestura seria:

copy /b gato.jpg + revisions-coche.zip gato-guapo.jpg

Podese empregar tamén RAR, doutros compresores non teño constancia de que sirvan.

Como ver/ler este ficheiro de texto dentro da imaxe

Se o que agochamos foi un texto nunha imaxe Como poderemos ver o texto agochado? Se abrimos a imaxe cun visor de imaxes, só veremos a imaxe, igual que antes. Pero se a abrimos cun editor de texto como o bloc de notas, Word, ou incluso cun editor hexadecimal.

Procedemos a abrir a imaxe "gato-guapo.jpg" cun visor de imaxes e vemos que a imaxe non cambiou nada visualmente.

Agora abrimola cun editor de textos, OLLO! isto debemos facelo sobre a imaxe aberta co visor de imaxes, o máis doado sera facelo co bloc de notas, xa que utilizamos a técnica chamada EoF (End of File - Fin de Ficheiro) ímos á fin do ficheiro e aí atoparemos o contido do ficheiro de texto "meus-contrasinais.txt".

Se empregamos un ZIP para crealo, para velo/leelo, teremos que abrilo con ZIP.

Para ver/ler este ficheiro xerado en Window$ nun contorno Linux podemos empregar nano ou vi, xa que os ficheiros serán moi longos, o máis practico é facer unha busca dun segmento de texto que saibamos que está nese documento:

En nano

• Ctrl+ W e escribimos, por exemplo: sitio

En vi

• Escribimos / seguido de, por exemplo: SITIO → /SITIO

Nota: vi distingue maiúsculas e minúsculas nas buscas

Xestión de contrasinais

Sen dúbida ningunha, en calquera das plataformas (ou S.O.) Linux, Window$ e Mac O$ X a mellor ferramenta a empregar é KeePass (GNU/GPL v2).

Xa que é unha ferramenta moi complexa e está moi ben documentada na páxina do CNICE (departamento do Ministerio de Educación y Ciencia español) ou na da distribucióm Molinux da Junta de Comunidades de Castilla-La Mancha recomendamos a súa lectura.

• Manual CNICE
• Manual Molinux

A destacar a posibilidade de usar a versión "portable" que poderemos levar nunha memoria "USB" e empregala desde calquera máquina. E algo moi importante, cando nos conectamos desde máquinas que están en espazos de uso público como cibercafés ou centros de ensino, especialmente en contornos Window$, nos que é moi posible que os sistemas operativos estean infectados con keyloguers (capturadores de teclado) ou troianos; é o emprego da Escritura automática de nomes de usuarios e contrasinais

Outros manuais moi completos:

http://blog.educastur.es/sofwarelibre/2007/08/21/100-libre-keepass-password-safe/

http://www.destroyerweb.com/manuales/keePass/keePass.htm

http://security.ngoinabox.org/es/keepass_portatil

--miguelbf 17:08 13 ago 2010 (UTC)