Teléfono: +34-96-398-5300 Telefax: +34-96-196-1781 Email: csirtcv@gva.es https://www.facebook.com/csirtcv https://twitter.



Documentos relacionados
Teléfono: Telefax:

Buenas prácticas para el borrado seguro de dispositivos móviles

Se trata de una iniciativa pionera al ser el primer centro de estas características que se crea en España para un ámbito autonómico.

Manual de uso de la plataforma para monitores. CENTRO DE APOYO TECNOLÓGICO A EMPRENDEDORES -bilib

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Uso de gestores de contraseñas

MANUAL DE USO DE LA APLICACIÓN ENCIFRA BOX 2.0

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

MANUAL COPIAS DE SEGURIDAD

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

Dirección de Sistemas de Información Departamento CERES

Manual de uso básico de la aplicación

Guía de Inicio Respaldo Cloud

AGREGAR UN EQUIPO A UNA RED Y COMPARTIR ARCHIVOS CON WINDOWS 7

Hostaliawhitepapers. Las ventajas de los Servidores dedicados. Cardenal Gardoki, BILBAO (Vizcaya) Teléfono:

CONFIGURACION AVANZADA DE MOZILLA THUNDERBIRD

Tutorial: Primeros Pasos con Subversion

Guía de uso del Cloud Datacenter de acens

Manual de usuario de IBAI BackupRemoto

Qué ventajas presenta Google Drive para catedráticos y alumnos?

ISEC Labs #11. Despliegue y restauración segura de volúmenes cifrados con TrueCrypt. Javier Moreno jmoreno<arroba>isecauditors.com

backup Drive

15 CORREO WEB CORREO WEB

Cómo acceder a Google Drive? Tiene más funcionalidades una cuenta de Google?

1 Itinerario. 2 Descripción y funcionalidades principales. Google Docs. 1.1 Qué vamos a hacer? 1.2 Qué pasos vamos a seguir?

Cómo registrarse y crear su cuenta de usuario? < IMAGEN 2.1.1: HAZ CLIC SOBRE EL BOTÓN RESALTADO

Se trata de una iniciativa pionera al ser el primer centro de estas características que se crea en España para un ámbito autonómico.

LICENCIATURA EN EDUCACION FISICA RECREACION Y DEPORTES

Guía de instalación de la carpeta Datos de IslaWin

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

Hostaliawhitepapers. Usar Plesk para, poner en marcha nuestro dominio.

1.- DESCRIPCIÓN Y UTILIDAD DEL SOFTWARE DAEMON TOOLS.

12 medidas básicas para la seguridad Informática

SUBIR LAS ACTIVIDADES DE HOTPOTATOES A UN SITIO WEB

Guí a Ra pida Dropbox.

USO BASICO DE MOZILLA THUNDERBIRD

Copia de seguridad. Copias de seguridad cuando el origen de la información está en nuestro QNAP principal (QNAP Origen)

Protocolo Traslado_envío datos personales

Los distintos navegadores para movernos por Internet

CONCEPTOS BASICOS. Febrero 2003 Página - 1/10

Configuración de PDAs en ITACTIL.

INSTALACIÓN DE MEDPRO

Puedo estar tranquilo acerca de la información de mi empresa? Donde puedo poner mis archivos cuando viajo?

Escritorio remoto y VPN. Cómo conectarse desde Windows 7

UAM MANUAL DE EMPRESA. Universidad Autónoma de Madrid

MANUAL DE SHAREPOINT Por: Área de Administración de Aplicaciones.

APLICATECA. Guía para la contratación y gestión de Respaldo Cloud

en dispositivos móviles

, RECUPERACIoN DE DATOS:

CONFIGURACION AVANZADA DE OUTLOOK EXPRESS 6

GUIA DE USUARIO. CONFIGURACION CORREO ELECTRONICO

Manual de iniciación a

P r e g u n t a s m á s F r e c u e n t e s :

WINDOWS : TERMINAL SERVER

Manual de usuario de Parda Programa de Almacenamiento y Recuperación de Datos Automático

TPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR

Conexión a red LAN con servidor DHCP

Informática 4º ESO Tema 1: Sistemas Informáticos. Sistemas Operativos (Parte 2)

MANUAL DE CONFIGURACIÓN CORREOS ISF.ES

Mi propuesta consiste en crear un portal Web que contemple las siguientes funcionalidades:

Manual LiveBox WEB ADMIN.

Asistente para la ayuda

Manual para la utilización de PrestaShop

Año: 2008 Página 1 de 18

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

10. El entorno de publicación web (Publiweb)

Optimizar base de datos WordPress

MANUAL DE USUARIO. Se deben seguir los siguientes pasos para la correcta instalación del módulo descargable:

Anexo A Diagramas de Navegación

Guía de usuario para el acceso al recibo de nómina mediante la intranet de la Conselleria

CONFIGURACIÓN CORREO ELECTRONICO

HERRAMIENTAS TELEINFORMATICAS ALMACENAMIENTO EN LA NUBE LEYDY YASMIN LOPEZ MEDINA CÓDIGO: DERLYBRET RODRIGUEZ JAIMES CODIGO:

OBTENCIÓN Y RENOVACIÓN (*) DEL CERTIFICADO ELECTRÓNICO DE EMPLEADO PÚBLICO DE LA FÁBRICA NACIONAL DE MONEDA Y TIMBRE (FNMT)

LiLa Portal Guía para profesores

HOT POTATOES: UNA NUEVA HERRAMIENTA EDUCATIVA

TEMA 1. SISTEMAS OPERATIVOS Y ALMACENAMIENTO DE INFORMACIÓN

USO BASICO DE OUTLOOK EXPRESS 6

SOFTWARE BAJOO COMUNICADO DE PRENSA

Sitios remotos. Configurar un Sitio Remoto

DESCARGA DE CARPETAS DE MENSAJES DE CORREO DESDE EL WEBMAIL A PC S LOCALES

CÓMO OBTENER VÍDEO DE INTERNET

5. Composer: Publicar sus páginas en la web

Introducción a las redes de computadores

Medidor de almacenamiento

Programa diseñado y creado por Art-Tronic Promotora Audiovisual, S.L.

Versión / 04 / GUÍA RÁPIDA PARA USUARIOS

TELEPROCESOS Y SISTEMAS DISTRIBUIDOS

1. Configuración del entorno de usuario

Acronis License Server. Guía del usuario

COPIA SEGURIDAD Y RESTAURACIÓN CURSO

ING. YIM APESTEGUI FLORENTINO

SERVICIO DE CORREO COIT.ES

Manual de uso básico de la aplicación

Microsoft Dynamics CRM va más allá

COMO CONFIGURAR UNA MAQUINA VIRTUAL EN VIRTUALBOX PARA ELASTIX

Guía de instalación de la carpeta Datos de ContaWin

Login y Password. Elección de directorios confidenciales

IS23 Mantenimiento de Instalaciones Informáticas Práctica 6. Acceso remoto a ordenadores tipo PC

Transcripción:

Uso de gestores de contraseñas

Sobre CSIRT-cv CSIRT-cv es el Centro de Seguridad TIC de la Comunitat Valenciana. Nace en junio del año 2007, como una apuesta de la Generalitat Valenciana por la seguridad en la red. Fue una iniciativa pionera al ser el primer centro de estas características que se creó en España para un ámbito autonómico. Actualmente el centro se encuentra enmarcado en el Servicio de Seguridad de la Dirección General de Tecnologías de la Información de la Consellería de Hacienda y Administración Pública. Está formado por un equipo multidisciplinar de personal técnico especializado en los distintos ámbitos de la seguridad y dedicado a desarrollar medidas preventivas y reactivas para mitigar los incidentes de seguridad en sistemas de información dentro del ámbito de la Comunidad Valenciana, que abarca tanto la Administración Pública, como PYMES y ciudadanos. Datos de contacto CSIRT-cv Centro de Seguridad TIC de la Comunitat Valenciana http://www.csirtcv.gva.es/ Generalitat de la Comunitat Valenciana, Avenida Cardenal Benlloch, 69 Entlo 46021 Valencia, España Teléfono: +34-96-398-5300 Telefax: +34-96-196-1781 Email: csirtcv@gva.es https://www.facebook.com/csirtcv https://twitter.com/csirtcv

Índice de contenido INTRODUCCIÓN... 4 ALGUNOS GESTORES DE CONTRASEÑAS... 5 CONCLUSIONES... 10

Introducción Hoy en día son muchas las contraseñas que un usuario debe memorizar para acceder a todas las cuentas de las que dispone (correo personal y corporativo, aplicaciones, redes sociales, ) ya que como medida de seguridad es importante que cada una de ellas sea diferente. Además es recomendable que las claves sean complejas para evitar que puedan ser descubiertas con facilidad, por lo que recordarlas todas se está convirtiendo en una tarea cada vez más complicada. Almacenar contraseñas en una hoja de cálculo o en un fichero de texto no es la solución adecuada ya que este tipo de ficheros no disponen de métodos de cifrado, lo que puede provocar que cualquier persona que se haga con esos archivos pueda tener acceso a las contraseñas almacenadas. Como ya se ha comentado, usar la misma contraseña para todo tampoco es una solución apropiada ya que si se consigue acceso a una de las cuentas, inmediatamente se podrá tener acceso a todas ellas. Generalmente, además llegan al correo electrónico las notificaciones de recuperación de contraseñas por lo que consiguiendo acceso al correo se pueden recuperar las contraseñas de muchos otros servicios. Por estos motivos es recomendable la utilización de gestores de contraseñas: un gestor de contraseñas es una aplicación que se utiliza para almacenar y administrar un elevado número de usuarios y contraseñas. La principal característica de este tipo de aplicaciones es que el fichero donde se guarda la información está cifrado con una contraseña maestra de forma que el usuario solo tiene que recordar una clave para acceder a todas sus contraseñas. El uso de estas herramientas fomenta que el usuario escoja claves complejas sin miedo a no ser capaz de recordarlas posteriormente. Tal como hemos indicado, un gestor de contraseñas genera un fichero cifrado donde se almacenan los usuarios y contraseñas el cual debemos guardar a buen recaudo. Por tanto se recomienda realizar periódicamente una copia del fichero en un USB o disco externo para tener una segunda copia por si el fichero se pierde, borra, o deja de funcionar.

Otra característica común a la mayor parte de los gestores de contraseñas es que permiten generarlas automáticamente según los parámetros que le especifique el usuario (número de caracteres, uso de mayúsculas y minúsculas, caracteres especiales, ). Algo que parece evidente pero que cabe recordar es la obligación de que la contraseña maestra del gestor de claves sea confidencial y lo suficientemente compleja para que no pueda ser descifrada o adivinada. Algunos gestores de contraseñas A la hora de elegir un gestor de contraseñas adecuado, son varios los factores que debemos tener en cuenta. En primer lugar, ya que vamos a almacenar ahí todas nuestras contraseñas, debemos asegurarnos de que se trata de un software seguro que no va a permitir que ningún atacante (incluso la propia empresa que ha desarrollado el software) pueda acceder a nuestros datos. Para ello debemos comprobar que cifra nuestras contraseñas de forma segura, que no las transmite por Internet a ningún servidor, y que no dispone de ninguna puerta trasera para acceder a nuestros datos. Para todo esto, la mejor opción es recurrir a software con código público. Este tipo de software permite que cualquiera pueda comprobar que el programa hace sólo lo que realmente dice. Si bien es cierto que el 99% de los usuarios no tiene conocimientos para hacer estas comprobaciones, en caso de existir algún comportamiento sospechoso los que sí tienen capacidad de analizarlo podrían dar la voz de alarma, por lo que podemos tener relativa tranquilidad al respecto. Las herramientas que no son de software libre también son auditables pero el no disponer del código de la aplicación hace que la revisión de ésta sea más compleja y menos precisa. Por otro lado debemos elegir una herramienta que funcione correctamente en nuestro equipo y a ser posible en los dispositivos móviles que utilicemos. Se debe comprobar por tanto que disponga de versiones para Windows, Linux o Mac Os, según el caso, además de Android, ios, etc

A continuación vamos a detallar las principales características de algunos de los principales gestores de contraseñas. KeePass Password Safe (y derivados) Probablemente se trata de la herramienta de software libre para gestión de contraseñas más utilizada, la cual almacena las contraseñas cifrándolas con los métodos de cifrado AES y Twofish. Además de por su sencillez, destaca sobre el resto de herramientas por la posibilidad de completar con un simple clic los datos usuario-contraseña en distintas páginas web. Basta con tener abierta la web y desde KeePass seleccionar el usuario-contraseña y hacer Ctrl+v (o con el botón derecho del ratón seleccionar la opción Realizar escritura automática ), de forma que sin tener que escribir nada habremos accedido a la web de manera rápida y segura. Se debe tener cuidado con esta funcionalidad para no pegar las contraseñas donde no debemos. KeePass se encuenta disponible para Windows, Linux y Mac OS X. Al ser una herramienta de código abierto se han realizado versiones no oficiales pero estables y con ciertas garantías. Entre ellas cabe destacar KeePassX que fue un paso por delante en las versiones de Linux y Mac OS X, aunque también se

encuentra disponible para Windows. Ambas aplicaciones son compatibles entre sí. También se han desarrollado versiones compatibles con KeePass para terminales móviles como Blackberry OS, Android o ios y extensiones para navegadores como Keefox para Firefox. Comentar por último que tanto KeePass como KeePassX están disponibles en español. LockCrypt Lockcrypt es también una herramienta gratuita y de código abierto. Los dos métodos de cifrado que puede utilizar esta aplicación también son AES o TwoFish, los cuales garantizan la seguridad del almacenamiento de los datos. Lockcrypt proporciona una interfaz sencilla en español, además de disponer también de un generador de contraseñas. Igual que en el caso anterior, la forma de acceder a las contraseñas gestionadas por la aplicación es también a través de una contraseña maestra.

Como punto destacable, cabe comentar que esta aplicación permite integrarse con Firefox, añadiendo a su base de datos los usuarios y contraseñas utilizados en el navegador. Esta extensión para Mozilla se puede descargar en la web de LockCrypt. LockCrypt dispone de versión para Windows, Linux, Mac OS X y para Windows Mobile. Gestores de contraseñas en la nube Cada vez están siendo más utilizados los gestores de contraseñas en un entorno cloud, lo que permite disponer en todo momento de las claves sea cual sea el lugar o el dispositivo desde el que se quiera acceder (aunque siempre será necesaria conexión a Internet). Estos gestores tienen la principal ventaja de la disponibilidad y la facilidad de acceso, pero también tienen sus desventajas. Una de ellas es respecto al control de las claves ya que al estar éstas en un servidor, una caída del servicio web podría provocar la imposibilidad de acceder a ellas. Por otro lado, si bien pueden parecer soluciones más cómodas y versátiles que los gestores de contraseñas tradicionales, al utilizar este tipo de gestores existen importantes problemas de seguridad y confidencialidad a tener en cuenta. Estas empresas aseguran que no almacenan la clave maestra ni tienen acceso a los pares usuario-contraseña de manera clara, pero aunque esto sea así, estamos permitiendo que un tercero tenga almacenadas las contraseñas de las cuentas donde tenemos multitud de información personal (almacenamiento en la nube, correo, redes sociales, ) y que sea éste el responsable de la seguridad, la confidencialidad e integridad de los datos. En cualquier caso, si fuera necesario utilizar algún gestor de este estilo cabe mencionar TeamPass, el cual cumple con muchas medidas de seguridad como son el cifrado de datos y el protocolo seguro en las comunicaciones con el servidor.

Además, esta herramienta destaca por ser multiusuario y permitir aplicar roles a cada uno de ellos para acceder a un conjunto de claves determinadas.

Conclusiones Este documento ha sido una breve guía para dar a conocer las herramientas de gestión de claves. Se acostumbra a decir que las contraseñas son nuestras llaves de acceso a nuestras cuentas de Internet por lo que deben ser lo más seguras posibles: largas, complejas (preferiblemente con mayúsculas, minúsculas y caracteres especiales) y diferentes unas de otras con el fin de dificultar que la clave pueda ser descifrada o descubierta por terceras personas. Resulta evidente que no se deben dejar anotadas en papel, ni almacenarlas en un fichero sin proteger del ordenador, ni mucho menos dárselas a nadie para que nos las recuerde en caso de olvido, por lo que para poder gestionar de forma segura nuestras contraseñas desde CSIRT-cv aconsejamos la utilización de herramientas de gestión de claves y proteger el fichero con una única contraseña especialmente segura.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback