SlideShare una empresa de Scribd logo

11 passwords

ERWIN AGUILAR
ERWIN AGUILAR

Hacker Higschool

Internet
1 de 13
Descargar para leer sin conexión
LECCIÓN 11 PASSWORDS
“License for Use” Information The following lessons and workbooks are open and publicly available under the following terms and conditions of ISECOM: All works in the Hacker Highschool project are provided for non-commercial use with elementary school students, junior high school students, and high school students whether in a public institution, private institution, or a part of home-schooling. These materials may not be reproduced for sale in any form. The provision of any class, course, training, or camp with these materials for which a fee is charged is expressly forbidden without a license including college classes, university classes, trade-school classes, summer or computer camps, and similar. To purchase a license, visit the LICENSE section of the Hacker Highschool web page at www.hackerhighschool.org/license. The HHS Project is a learning tool and as with any learning tool, the instruction is the influence of the instructor and not the tool. ISECOM cannot accept responsibility for how any information herein is applied or abused. The HHS Project is an open community effort and if you find value in this project, we do ask you support us through the purchase of a license, a donation, or sponsorship. All works copyright ISECOM, 2004. Información sobre la “Licencia de Uso” Las lecciones y cuadernos de trabajo siguientes son de acceso público y están disponibles bajo las siguientes condiciones de ISECOM: Todos los trabajos del proyecto “Hacker Highschool” son proporcionados para su uso no comercial con estudiantes de escuelas primarias, secundarias, bachilleratos y ciclos formativos dentro de las actividades académicas propias de la institución. Dichos materiales no pueden ser reproducidos con fines comerciales de ningún tipo. La impartición con estos materiales de cualquier clase, curso o actividad de formación para el que sea necesario pagar un importe, queda totalmente prohibida sin la licencia correspondiente, incluyendo cursos en escuelas y universidades, cursos comerciales o cualquier otro similar. Para la compra de una licencia visite la sección “LICENSE” de la página web del proyecto “Hacker Highschool” en www.hackerhighschool.org/license. El proyecto HHS es una herramienta de aprendizaje y, como tal, la formación final debe proceder realmente de la influencia del instructor y no basarse únicamente en el uso de la herramienta. ISECOM no puede aceptar bajo ningún concepto responsabilidad alguna sobre la forma de aplicar, ni sus consecuencias, de cualquier información disponible dentro del proyecto. El proyecto HHS es un esfuerzo de una comunidad abierta, por lo que si encuentra útil este proyecto le invitamos a esponsorizarlo a través de la compra de una licencia, una donación o una esponsorización. All works copyright ISECOM, 2004. 2 LESSON 11 - PASSWORDS
Índice “License for Use” Information............................................................................................................... 2 Información sobre la “Licencia de Uso”.............................................................................................. 2 Contribuciones........................................................................................................................................4 11.1. Introducción....................................................................................................................................5 11.2. Tipos de Passwords.........................................................................................................................6 11.2.1. Cadenas de caracteres.......................................................................................................6 11.2.2. Cadenas de caracteres más un token...............................................................................6 11.2.3. Passwords biométricos..........................................................................................................6 11.3. Historia de las Contraseñas...........................................................................................................7 11.3.1. Ejercicio 1................................................................................................................................7 11.4. Construcción de passwords robustos..........................................................................................8 11.4.1. Ejercicio 1................................................................................................................................8 11.4.2. Ejercicio 2................................................................................................................................8 11.5. Cifrado de los passwords..............................................................................................................9 11.5.1. Ejercicio 1................................................................................................................................9 11.5.2. Ejercicio 2................................................................................................................................9 11.5.3. Ejercicio 3..............................................................................................................................10 11.6. Password Cracking (password Recovery) ................................................................................11 11.6.1. Ejercicio.................................................................................................................................11 11.7. Protección contra el descifrado de passwords ......................................................................12 11.7.1. Ejercicio.................................................................................................................................12 Lecturas de ampliación en Internet...................................................................................................13 3 LESSON 11 - PASSWORDS
Contribuciones Kim Truett, ISECOM Chuck Truett, ISECOM J. Agustín Zaballos, La Salle URL Barcelona Pete Herzog, ISECOM Jaume Abella, La Salle URL Barcelona - ISECOM Marta Barceló, ISECOM 4 LESSON 11 - PASSWORDS
11.1. Introducción Uno de los principales personajes de la película MATRIX RELOADED es el “hacedor de llaves”. El hacedor de llaves es un personaje críticamente importante, protegido por MATRIX y buscado incansablemente por Neo, porque es el encargado de fabricar y mantener las llaves que dan acceso a las diferentes zonas de MATRIX. MATRIX representa un mundo generado por ordenador y las llaves que dan acceso a las diferentes estancias son passwords o contraseñas. En la película se utilizan passwords de propósito general, passwords para las puertas traseras o back doors y passwords maestros que dan acceso a cualquier parte. Los passwords son las llaves con las que se controla el acceso, manteniendo a los indeseables lejos de ti. En definitiva, los passwords controlan el acceso a la información (por ejemplo con los passwords en los documentos), restringen el acceso a los recursos (por ejemplo con los passwords en las páginas web) o implementan la autenticación (demostrando que tú eres quien dices ser). 5 LESSON 11 - PASSWORDS
11.2. Tipos de Passwords Existen principalmente tres tipos de passwords. Los que necesitan algo que sé, los que implican algo que tengo y los que añaden algo que soy. 11.2.1. Cadenas de caracteres En el nivel más básico, las contraseñas son cadenas de caracteres, números y símbolos. Tener acceso a un teclado proporciona un método para introducir este tipo de passwords. Las contraseñas pueden ir de las más sencillas, como los tres números para acceder a ciertas plazas de garaje, hasta las más complicadas combinaciones de caracteres, números y símbolos que se recomienda emplear para proteger la información más sensible. 11.2.2. Cadenas de caracteres más un token En el siguiente nivel, los passwords requieren una cadena de caracteres, números y símbolos más un token o ficha de algún tipo. Un ejemplo típico es el de los cajeros automáticos. Para acceder a éstos se necesita una tarjeta y un número personal identificativo o PIN. Se consideran más robustos ya que si pierdes o olvidas alguno de los dos requerimientos tu acceso será denegado. 11.2.3. Passwords biométricos El tercer nivel de complejidad son los passwords biométricos. Consisten en utilizar alguna característica física no reproducible, como las huellas digitales o el aspecto de la cara, para permitir el acceso. Un ejemplo es el escáner de retina en el cual el interior del ojo se fotografía para la posterior identificación del sujeto. La retina contiene un patrón único de distribución de vasos sanguíneos fácilmente apreciable y que se puede utilizar para la identificación del individuo. Los passwords biométricos son los que se consideran más sofisticados y más seguros de todos los passwords. Sin embargo, un password que se pueda transportar en el dedo o en el ojo no tiene porqué ser más seguro que uno transportado en la cabeza si el software está bien configurado. 6 LESSON 11 - PASSWORDS
11.3. Historia de las Contraseñas En las versiones más antiguas de MS Excel y Word, se guardaban las contraseñas en forma de texto llano o nativo (sin ningún tipo de cifrado) en la cabecera de los documentos protegidos. Si se conseguía acceder a la cabecera del documento se podía leer la contraseña. Esto es válido para todas las versiones anteriores a Office 2000. El sistema operativo Windows llegó a guardar las contraseñas con un formato de texto llano en un archivo oculto. En el caso de olvidar el password se podía anular simplemente borrando el archivo oculto con lo que desaparecía el password. Pronto, Microsoft y Adobe empezaron a usar passwords, pero sólo para denotar que los documentos necesitaban de una passwords para ser abiertos, no para leer la información. Esto significaba que si el documento se abría con otra aplicación, como por ejemplo el bloc de notas (notebook) el password no era necesario y la información podía ser leída sin problemas. Microsoft Access 2.0 podía ser abierto como un fichero de texto fácilmente, simplemente renombrando el fichero con extensión “.txt”. Haciendo esto se podía leer perfectamente la información contenida en la base de datos. Los ficheros Adobe PDF 4.0 y anteriores se podían imprimir y, muchas veces, visualizar también usando lectores PDF de Linux o el Ghostview para Windows. Las redes inalámbricas (wireless networks) tienen un problema con la encriptación, ya que la clave de encriptación se puede calcular una vez se ha capturado un elevado volumen de la información que se transmite por el aire. Actualmente, con la capacidad de cálculo que tienen los ordenadores, cada vez se tarda menos en “crackear” los passwords. La seguridad de los sistemas Bluetooth se considera muy fiable, una vez el sistema está configurado. El problema es que bluetooth transmite un único password entre los dispositivos para establecer la conexión y éste se envía como texto llano. Si esa contraseña es interceptada, toda transmisión futura durante esa sesión puede descifrarse fácilmente. 11.3.1. Ejercicio 1 Descárgate de Internet un fichero PDF e intenta abrirlo con otro programa que no sea el Acrobat Reader. Puedes leer correctamente la información que contiene dicho documento? 7 LESSON 11 - PASSWORDS
11.4. Construcción de passwords robustos Un password robusto es aquél que: Ø No puede encontrarse en un diccionario Ø Contiene números, letras y símbolos Ø Contiene letras mayúsculas y minúsculas Ø Cuanto más largo, más robusto es Con un password de 2 letras y 26 letras en el alfabeto, contando además con 10 números (ignorando los símbolos), hay 236 posibles combinaciones (687,000,000 posibilidades). Si aumentamos la longitud del password a 8 caracteres, ya disponemos de 836 combinaciones (324,000,000,000,000,000,000,000,000,000,000 posibilidades). Hay muchos generadores de passwords robustos disponibles en Internet, pero éstos generarán un password que es casi imposible de recordar. Intente emplear, en cambio, una cadena aparentemente aleatoria de letras o números que usted pueda recordar fácilmente. Por ejemplo: Ys=#1pt! (Yo soy el numero uno para ti) ArJuAg1p (Ariadna, Juan Agustín y 1 perro – miembros de la familia) LxRzDg24 (Alex Ruiz Diego – consonantes del nombre completo y la edad) 11.4.1. Ejercicio 1 Crea un password robusto que puedas recordar que obtenga una buena puntuación en la siguiente página web: http://www.securitystats.com/tools/password.php 11.4.2. Ejercicio 2 Busca en Internet 3 páginas web de bancos o cajas de ahorro y averigua el tipo de password con el que se accede a la información restringida y si recomiendan algún tipo de password o PIN (longitud, alfanumérico, DNI,…). 8 LESSON 11 - PASSWORDS
11.5. Cifrado de los passwords El cifrado o encriptación de los passwords es un tópico no muy usual. Aunque es importante distinguir si hablamos de passwords encriptados o no encriptados, lo que realmente marca la diferencia es el método de encriptación que se utiliza. Esto es debido a que muchas veces, lo que nos parece un fichero encriptado es, simplemente, un fichero “codificado”. Esto hace que para nosotros el fichero no sea leíble directamente, pero si que lo podríamos entender o traducir fácilmente usando un ordenador. Además, incluso un fichero encriptado podría haber sido generado mediante una clave débil (fácil de adivinar) o un esquema de encriptación poco robusto. Por estas razones es importante que, en el caso de encriptar cualquier tipo de información, seas consciente de que estas usando un esquema de encriptación confiable el cual ha sido probado y verificado a fondo. Por otro lado, debes asegurarte de que tu password es también un password robusto. Un buen sistema de encriptación no sirve de nada sin un buen password. Y viceversa. 11.5.1. Ejercicio 1 Hemos encriptado una serie de nombres de frutos usando un método de encriptación muy básico llamado “ROT13”. Busca por Internet en que consiste este método y trata de descifrar las palabras: a) gbzngr b) anenawn c) cvñn d) cren e) znamnan 11.5.2. Ejercicio 2 Busca algun sitio web donde puedas descifrar automáticamente estas palabras. 9 LESSON 11 - PASSWORDS
11.5.3. Ejercicio 3 Existen muchos sistemas de encriptación, pero realmente, muchos de ellos son simplemente sistemas de codificación. Sabes cual es la diferencia? La mayoría de nosotros seguramente no sabrá responder a esta pregunta. Realmente, la diferencia está en que los sistemas de codificación no necesitan un password para ser decodificados. De los siguientes sistemas de encriptación, identifica cuales son realmente tipos de encriptación y cuales son esquemas de codificación. a) Twofish b) MIME c) RSA d) CAST e) AES f) BASE64 g) IDEA h) TripleDES i) ROT13 j) TLS 10 LESSON 11 - PASSWORDS
11.6. Password Cracking (password Recovery) El Password Cracking o el descifrado de contraseñas para propósitos ilegales es, evidentemente, ilegal. Pero si es su propio password el que quiere descifrar, entonces estamos hablando de su información. Si de lo que se trata es de que un individuo está utilizando un password para proteger algo, y entonces se olvida de éste, se necesita una recuperación de contraseña o password recovery. El descubrimiento de passwords consiste en seguir unas técnicas básicas: Echar una mirada alrededor: los passwords se guardan a menudo debajo de los teclados, bajo las alfombrillas del ratón o se cuelgan en las hojas “post-it” personales. La fuerza bruta: simplemente se prueban passwords de forma secuencial hasta que uno funciona. Los ataques de diccionario automatizados: estos programas cruzan una serie de palabras pertenecientes a un diccionario hasta que una de éstas funcione como una contraseña válida. Hay muchos programas disponibles en Internet que nos pueden ayudar con la recuperación de passwords introducidos en diferentes tipos de documentos. Sin embargo, cuanto más nueva es la versión del programa más fiable éste se vuelve y, por consiguiente, más difícil es obtener los passwords descifrados que usan, o encontrar un programa que nos ayude en la recuperación del password. 11.6.1. Ejercicio Averigua tres tipos de programas que se suelan emplear en desarrollar documentos de todo tipo (de texto, hojas de cálculo, compresores de archivos) y que permitan la utilización de passwords para proteger el acceso a los contenidos. A continuación busca algún programa o método en Internet que facilite la recuperación de passwords de este tipo de archivos. 11 LESSON 11 - PASSWORDS
11.7. Protección contra el descifrado de passwords Estas son algunas recomendaciones para evitar el descifrado de tus passwords: 1. Utiliza contraseñas robustas que no puedan extraerse con un ataque de diccionario. 2. No anuncies el password cerca del ordenador. 3. Configura el sistema para que en el caso de que se produzcan tres intentos fallidos el sistema se quede bloqueado. La contraseña debería restablecerse entonces. Esto no se aplica a documentos protegidos con password o a los archivos .zip comprimidos ya que no suelen disponer de la opción de bloqueo. 4. Cambia las contraseñas regularmente. 5. Usa una variedad suficiente de contraseñas para diferentes ordenadores. ¿Significa esto que se necesita crear una única contraseña para cada cosa? No. Se puede mantener un password maestro para las cosas sin importancia (quizás para la cuenta que le exigieron que creara para TheSIMS.com o para su cuenta en el periódico local). Pero utiliza passwords robustos para lo que realmente necesite estar seguro. 11.7.1. Ejercicio Analizad en grupos el resto de recomendaciones que se describen en el siguiente enlace: http://www.securitystats.com/tools/password.php 12 LESSON 11 - PASSWORDS
Lecturas de ampliación en Internet http://www.password-crackers.com/pwdcrackfaq.html http://docs.rinet.ru/LomamVse/ch10/ch10.htm http://www.ja.net/CERT/Belgers/UNIX-password http://www.crypticide.com/users/alecm/-security.html http://www.securitystats.com/tools/password.php http://www.openwall.com/john/ http://www.atstake.com/products/lc/ http://geodsoft.com/howto/password/nt_password_hashes.htm 13 LESSON 11 - PASSWORDS

Recomendados

Vc4 nm73 equipo6-w7u8t6
Vc4 nm73 equipo6-w7u8t6Vc4 nm73 equipo6-w7u8t6
Vc4 nm73 equipo6-w7u8t6SaMoCaFlo
 
Vc4 nm73 eq6-textsecure
Vc4 nm73 eq6-textsecureVc4 nm73 eq6-textsecure
Vc4 nm73 eq6-textsecureSaMoCaFlo
 
Vc4 nm73 eq6-tls
Vc4 nm73 eq6-tlsVc4 nm73 eq6-tls
Vc4 nm73 eq6-tlsSaMoCaFlo
 
Vc4 n73 eq6-dsa
Vc4 n73 eq6-dsaVc4 n73 eq6-dsa
Vc4 n73 eq6-dsaSaMoCaFlo
 
Seguridad informatica TP3
Seguridad informatica TP3Seguridad informatica TP3
Seguridad informatica TP3Diana Bondaz
 
Contraseña
ContraseñaContraseña
ContraseñaGoogle
 
Yugo Desigual
Yugo DesigualYugo Desigual
Yugo DesigualFrancisco Romero
 
El Noviazgo
El NoviazgoEl Noviazgo
El Noviazgoguestd215e8
 

Recomendados

Vc4 nm73 equipo6-w7u8t6
Vc4 nm73 equipo6-w7u8t6Vc4 nm73 equipo6-w7u8t6
Vc4 nm73 equipo6-w7u8t6SaMoCaFlo
 
Vc4 nm73 eq6-textsecure
Vc4 nm73 eq6-textsecureVc4 nm73 eq6-textsecure
Vc4 nm73 eq6-textsecureSaMoCaFlo
 
Vc4 nm73 eq6-tls
Vc4 nm73 eq6-tlsVc4 nm73 eq6-tls
Vc4 nm73 eq6-tlsSaMoCaFlo
 
Vc4 n73 eq6-dsa
Vc4 n73 eq6-dsaVc4 n73 eq6-dsa
Vc4 n73 eq6-dsaSaMoCaFlo
 
Seguridad informatica TP3
Seguridad informatica TP3Seguridad informatica TP3
Seguridad informatica TP3Diana Bondaz
 
Contraseña
ContraseñaContraseña
ContraseñaGoogle
 
Yugo Desigual
Yugo DesigualYugo Desigual
Yugo DesigualFrancisco Romero
 
El Noviazgo
El NoviazgoEl Noviazgo
El Noviazgoguestd215e8
 
Libro emparejarse versión digital
Libro emparejarse versión digitalLibro emparejarse versión digital
Libro emparejarse versión digitalERWIN AGUILAR
 
Cuál es el versículo que los jóvenes
Cuál es el versículo que los jóvenesCuál es el versículo que los jóvenes
Cuál es el versículo que los jóvenesJuan Coca
 
Viviendo En AntíTesis
Viviendo En AntíTesisViviendo En AntíTesis
Viviendo En AntíTesisMarcelo Sánchez
 
Adornos y Vestimentas Cristianas
Adornos y Vestimentas CristianasAdornos y Vestimentas Cristianas
Adornos y Vestimentas CristianasIglesia Adventista Moca Central
 
La reforma en la apariencia del cristiano
La reforma en la apariencia del cristianoLa reforma en la apariencia del cristiano
La reforma en la apariencia del cristianoasociacion
 
La vestimenta del cristiano
La vestimenta del cristianoLa vestimenta del cristiano
La vestimenta del cristianofrancisco trinidad
 
EL YUGO EN LA VIDA DEL CREYENTE
EL YUGO EN LA VIDA DEL CREYENTEEL YUGO EN LA VIDA DEL CREYENTE
EL YUGO EN LA VIDA DEL CREYENTECarlos Sialer Horna
 
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombres
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombresEl vestido del hombre y la mujer ¿que dice dios y que dicen los hombres
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombresCarlos Henao
 
12. cualidades que identifican una princesa de dios
12. cualidades que identifican una princesa de dios12. cualidades que identifican una princesa de dios
12. cualidades que identifican una princesa de diosGloria Loupiac
 
Noviazgo
NoviazgoNoviazgo
Noviazgocrisman1984
 
Vestimenta Hombre Y Mujer
Vestimenta Hombre Y MujerVestimenta Hombre Y Mujer
Vestimenta Hombre Y MujerIglesia Cristiana Casa de Júbilo y Consagración
 
6. Vestimenta Reales. UCAS. 1,2,3,
6. Vestimenta Reales. UCAS. 1,2,3,6. Vestimenta Reales. UCAS. 1,2,3,
6. Vestimenta Reales. UCAS. 1,2,3,Gloria Loupiac
 
El matrimonio
El matrimonioEl matrimonio
El matrimoniomyriamms1
 
Los cinco lenguajes del amor
Los cinco lenguajes del amorLos cinco lenguajes del amor
Los cinco lenguajes del amorlifewisdom7
 
Las Cuatro Estaciones Del Matrimonio
Las Cuatro Estaciones Del MatrimonioLas Cuatro Estaciones Del Matrimonio
Las Cuatro Estaciones Del Matrimonioguest74d3b27
 
Taller para matrimonios power point
Taller para matrimonios power pointTaller para matrimonios power point
Taller para matrimonios power pointSandra Leoni
 
Hhs es3 puertos_y_protocolos
Hhs es3 puertos_y_protocolosHhs es3 puertos_y_protocolos
Hhs es3 puertos_y_protocolosbrany chaco
 
Hhs es1 ser_un_hacker
Hhs es1 ser_un_hackerHhs es1 ser_un_hacker
Hhs es1 ser_un_hackerbrany chaco
 
Trabajo 1 Lucía Torrejón 2BA.pdf
Trabajo 1 Lucía Torrejón 2BA.pdfTrabajo 1 Lucía Torrejón 2BA.pdf
Trabajo 1 Lucía Torrejón 2BA.pdfLucaTorrejnMartn
 
06 malware
06 malware06 malware
06 malwareJhony La Rosa
 
05 identificacion de sistemas
05 identificacion de sistemas05 identificacion de sistemas
05 identificacion de sistemasJhony La Rosa
 
Simuladores
SimuladoresSimuladores
Simuladoresbnivia
 

Más contenido relacionado

Destacado

Libro emparejarse versión digital
Libro emparejarse versión digitalLibro emparejarse versión digital
Libro emparejarse versión digitalERWIN AGUILAR
 
Cuál es el versículo que los jóvenes
Cuál es el versículo que los jóvenesCuál es el versículo que los jóvenes
Cuál es el versículo que los jóvenesJuan Coca
 
La reforma en la apariencia del cristiano
La reforma en la apariencia del cristianoLa reforma en la apariencia del cristiano
La reforma en la apariencia del cristianoasociacion
 
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombres
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombresEl vestido del hombre y la mujer ¿que dice dios y que dicen los hombres
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombresCarlos Henao
 
12. cualidades que identifican una princesa de dios
12. cualidades que identifican una princesa de dios12. cualidades que identifican una princesa de dios
12. cualidades que identifican una princesa de diosGloria Loupiac
 
6. Vestimenta Reales. UCAS. 1,2,3,
6. Vestimenta Reales. UCAS. 1,2,3,6. Vestimenta Reales. UCAS. 1,2,3,
6. Vestimenta Reales. UCAS. 1,2,3,Gloria Loupiac
 
El matrimonio
El matrimonioEl matrimonio
El matrimoniomyriamms1
 
Los cinco lenguajes del amor
Los cinco lenguajes del amorLos cinco lenguajes del amor
Los cinco lenguajes del amorlifewisdom7
 
Las Cuatro Estaciones Del Matrimonio
Las Cuatro Estaciones Del MatrimonioLas Cuatro Estaciones Del Matrimonio
Las Cuatro Estaciones Del Matrimonioguest74d3b27
 
Taller para matrimonios power point
Taller para matrimonios power pointTaller para matrimonios power point
Taller para matrimonios power pointSandra Leoni
 

Destacado (16)

Libro emparejarse versión digital
Libro emparejarse versión digitalLibro emparejarse versión digital
Libro emparejarse versión digital
 
Cuál es el versículo que los jóvenes
Cuál es el versículo que los jóvenesCuál es el versículo que los jóvenes
Cuál es el versículo que los jóvenes
 
Viviendo En AntíTesis
Viviendo En AntíTesisViviendo En AntíTesis
Viviendo En AntíTesis
 
Adornos y Vestimentas Cristianas
Adornos y Vestimentas CristianasAdornos y Vestimentas Cristianas
Adornos y Vestimentas Cristianas
 
La reforma en la apariencia del cristiano
La reforma en la apariencia del cristianoLa reforma en la apariencia del cristiano
La reforma en la apariencia del cristiano
 
La vestimenta del cristiano
La vestimenta del cristianoLa vestimenta del cristiano
La vestimenta del cristiano
 
EL YUGO EN LA VIDA DEL CREYENTE
EL YUGO EN LA VIDA DEL CREYENTEEL YUGO EN LA VIDA DEL CREYENTE
EL YUGO EN LA VIDA DEL CREYENTE
 
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombres
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombresEl vestido del hombre y la mujer ¿que dice dios y que dicen los hombres
El vestido del hombre y la mujer ¿que dice dios y que dicen los hombres
 
12. cualidades que identifican una princesa de dios
12. cualidades que identifican una princesa de dios12. cualidades que identifican una princesa de dios
12. cualidades que identifican una princesa de dios
 
Noviazgo
NoviazgoNoviazgo
Noviazgo
 
Vestimenta Hombre Y Mujer
Vestimenta Hombre Y MujerVestimenta Hombre Y Mujer
Vestimenta Hombre Y Mujer
 
6. Vestimenta Reales. UCAS. 1,2,3,
6. Vestimenta Reales. UCAS. 1,2,3,6. Vestimenta Reales. UCAS. 1,2,3,
6. Vestimenta Reales. UCAS. 1,2,3,
 
El matrimonio
El matrimonioEl matrimonio
El matrimonio
 
Los cinco lenguajes del amor
Los cinco lenguajes del amorLos cinco lenguajes del amor
Los cinco lenguajes del amor
 
Las Cuatro Estaciones Del Matrimonio
Las Cuatro Estaciones Del MatrimonioLas Cuatro Estaciones Del Matrimonio
Las Cuatro Estaciones Del Matrimonio
 
Taller para matrimonios power point
Taller para matrimonios power pointTaller para matrimonios power point
Taller para matrimonios power point
 

Similar a 11 passwords

Hhs es3 puertos_y_protocolos
Hhs es3 puertos_y_protocolosHhs es3 puertos_y_protocolos
Hhs es3 puertos_y_protocolosbrany chaco
 
Hhs es1 ser_un_hacker
Hhs es1 ser_un_hackerHhs es1 ser_un_hacker
Hhs es1 ser_un_hackerbrany chaco
 
Trabajo 1 Lucía Torrejón 2BA.pdf
Trabajo 1 Lucía Torrejón 2BA.pdfTrabajo 1 Lucía Torrejón 2BA.pdf
Trabajo 1 Lucía Torrejón 2BA.pdfLucaTorrejnMartn
 
05 identificacion de sistemas
05 identificacion de sistemas05 identificacion de sistemas
05 identificacion de sistemasJhony La Rosa
 
Simuladores
SimuladoresSimuladores
Simuladoresbnivia
 
aplicación informática.docx
aplicación informática.docxaplicación informática.docx
aplicación informática.docxJhonMori3
 
Trabajo practico nº 1 mili arguelles.
Trabajo practico nº 1 mili arguelles.Trabajo practico nº 1 mili arguelles.
Trabajo practico nº 1 mili arguelles.miliarguelles
 
Seguridad en internet y redes sociales 2016 17 (y ii)
Seguridad en internet y redes sociales 2016 17 (y ii)Seguridad en internet y redes sociales 2016 17 (y ii)
Seguridad en internet y redes sociales 2016 17 (y ii)Capestella
 
Presentación soft ware
Presentación soft warePresentación soft ware
Presentación soft wareeliheredia
 
Presentación software
Presentación softwarePresentación software
Presentación softwarensdelvalle
 
Trabajo practico nº 1 soofiiiiii
Trabajo practico nº 1 soofiiiiiiTrabajo practico nº 1 soofiiiiii
Trabajo practico nº 1 soofiiiiiisofisalazar
 
Ventajas y desventajas de navergar por internet daniela vasquez
Ventajas y desventajas de navergar por internet daniela vasquezVentajas y desventajas de navergar por internet daniela vasquez
Ventajas y desventajas de navergar por internet daniela vasquezmaravalentinasequera
 
Grupo n 7 simuladores
Grupo n 7 simuladoresGrupo n 7 simuladores
Grupo n 7 simuladoresMarina Zelaya
 
Herramientas para la Creación y Publicación de Contenidos Didácticos.
Herramientas para la Creación y Publicación de Contenidos Didácticos. Herramientas para la Creación y Publicación de Contenidos Didácticos.
Herramientas para la Creación y Publicación de Contenidos Didácticos.UAPA
 

Similar a 11 passwords (20)

Hhs es3 puertos_y_protocolos
Hhs es3 puertos_y_protocolosHhs es3 puertos_y_protocolos
Hhs es3 puertos_y_protocolos
 
Hhs es1 ser_un_hacker
Hhs es1 ser_un_hackerHhs es1 ser_un_hacker
Hhs es1 ser_un_hacker
 
Trabajo 1 Lucía Torrejón 2BA.pdf
Trabajo 1 Lucía Torrejón 2BA.pdfTrabajo 1 Lucía Torrejón 2BA.pdf
Trabajo 1 Lucía Torrejón 2BA.pdf
 
06 malware
06 malware06 malware
06 malware
 
05 identificacion de sistemas
05 identificacion de sistemas05 identificacion de sistemas
05 identificacion de sistemas
 
Simuladores
SimuladoresSimuladores
Simuladores
 
Simuladores
SimuladoresSimuladores
Simuladores
 
Nuebo trabajo-tics (1)
Nuebo trabajo-tics (1)Nuebo trabajo-tics (1)
Nuebo trabajo-tics (1)
 
Nuebo trabajo tics
Nuebo trabajo ticsNuebo trabajo tics
Nuebo trabajo tics
 
aplicación informática.docx
aplicación informática.docxaplicación informática.docx
aplicación informática.docx
 
Trabajo practico nº 1 mili arguelles.
Trabajo practico nº 1 mili arguelles.Trabajo practico nº 1 mili arguelles.
Trabajo practico nº 1 mili arguelles.
 
Malware
Malware Malware
Malware
 
Seguridad en internet y redes sociales 2016 17 (y ii)
Seguridad en internet y redes sociales 2016 17 (y ii)Seguridad en internet y redes sociales 2016 17 (y ii)
Seguridad en internet y redes sociales 2016 17 (y ii)
 
Trabajo tic.
Trabajo tic.Trabajo tic.
Trabajo tic.
 
Presentación soft ware
Presentación soft warePresentación soft ware
Presentación soft ware
 
Presentación software
Presentación softwarePresentación software
Presentación software
 
Trabajo practico nº 1 soofiiiiii
Trabajo practico nº 1 soofiiiiiiTrabajo practico nº 1 soofiiiiii
Trabajo practico nº 1 soofiiiiii
 
Ventajas y desventajas de navergar por internet daniela vasquez
Ventajas y desventajas de navergar por internet daniela vasquezVentajas y desventajas de navergar por internet daniela vasquez
Ventajas y desventajas de navergar por internet daniela vasquez
 
Grupo n 7 simuladores
Grupo n 7 simuladoresGrupo n 7 simuladores
Grupo n 7 simuladores
 
Herramientas para la Creación y Publicación de Contenidos Didácticos.
Herramientas para la Creación y Publicación de Contenidos Didácticos. Herramientas para la Creación y Publicación de Contenidos Didácticos.
Herramientas para la Creación y Publicación de Contenidos Didácticos.
 

Más de ERWIN AGUILAR

105.desarrollo rest-con-rails
105.desarrollo rest-con-rails105.desarrollo rest-con-rails
105.desarrollo rest-con-railsERWIN AGUILAR
 
Mdw guia-android-1.3
Mdw guia-android-1.3Mdw guia-android-1.3
Mdw guia-android-1.3ERWIN AGUILAR
 
Manual programacion android
Manual programacion androidManual programacion android
Manual programacion androidERWIN AGUILAR
 
Mdw guia-android-1.3
Mdw guia-android-1.3Mdw guia-android-1.3
Mdw guia-android-1.3ERWIN AGUILAR
 
Manual programacion android
Manual programacion androidManual programacion android
Manual programacion androidERWIN AGUILAR
 
Fasciculo estrategias para el desarrollo de competencias de lectoescritura
Fasciculo estrategias para el desarrollo de competencias de lectoescrituraFasciculo estrategias para el desarrollo de competencias de lectoescritura
Fasciculo estrategias para el desarrollo de competencias de lectoescrituraERWIN AGUILAR
 
Aprendizaje lectura libro carátula azul
Aprendizaje lectura libro carátula azulAprendizaje lectura libro carátula azul
Aprendizaje lectura libro carátula azulERWIN AGUILAR
 
Lineamientos de acreditación 2014
Lineamientos de acreditación 2014Lineamientos de acreditación 2014
Lineamientos de acreditación 2014ERWIN AGUILAR
 
Guia basica-securizacion-apache
Guia basica-securizacion-apacheGuia basica-securizacion-apache
Guia basica-securizacion-apacheERWIN AGUILAR
 

Más de ERWIN AGUILAR (20)

74 221-1-pb
74 221-1-pb74 221-1-pb
74 221-1-pb
 
105.desarrollo rest-con-rails
105.desarrollo rest-con-rails105.desarrollo rest-con-rails
105.desarrollo rest-con-rails
 
7 curso
7 curso7 curso
7 curso
 
3 curso
3 curso3 curso
3 curso
 
5 curso
5 curso5 curso
5 curso
 
6 curso
6 curso6 curso
6 curso
 
4 curso
4 curso4 curso
4 curso
 
1 curso
1 curso1 curso
1 curso
 
2 curso
2 curso2 curso
2 curso
 
Mdw guia-android-1.3
Mdw guia-android-1.3Mdw guia-android-1.3
Mdw guia-android-1.3
 
Tutorial android
Tutorial androidTutorial android
Tutorial android
 
Manual programacion android
Manual programacion androidManual programacion android
Manual programacion android
 
Mdw guia-android-1.3
Mdw guia-android-1.3Mdw guia-android-1.3
Mdw guia-android-1.3
 
Manual programacion android
Manual programacion androidManual programacion android
Manual programacion android
 
Tutorial android
Tutorial androidTutorial android
Tutorial android
 
Fasciculo estrategias para el desarrollo de competencias de lectoescritura
Fasciculo estrategias para el desarrollo de competencias de lectoescrituraFasciculo estrategias para el desarrollo de competencias de lectoescritura
Fasciculo estrategias para el desarrollo de competencias de lectoescritura
 
Aprendizaje lectura libro carátula azul
Aprendizaje lectura libro carátula azulAprendizaje lectura libro carátula azul
Aprendizaje lectura libro carátula azul
 
Lineamientos de acreditación 2014
Lineamientos de acreditación 2014Lineamientos de acreditación 2014
Lineamientos de acreditación 2014
 
Código moral
Código moralCódigo moral
Código moral
 
Guia basica-securizacion-apache
Guia basica-securizacion-apacheGuia basica-securizacion-apache
Guia basica-securizacion-apache
 

Último

Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 

Último (8)

Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 

11 passwords

  • 2. “License for Use” Information The following lessons and workbooks are open and publicly available under the following terms and conditions of ISECOM: All works in the Hacker Highschool project are provided for non-commercial use with elementary school students, junior high school students, and high school students whether in a public institution, private institution, or a part of home-schooling. These materials may not be reproduced for sale in any form. The provision of any class, course, training, or camp with these materials for which a fee is charged is expressly forbidden without a license including college classes, university classes, trade-school classes, summer or computer camps, and similar. To purchase a license, visit the LICENSE section of the Hacker Highschool web page at www.hackerhighschool.org/license. The HHS Project is a learning tool and as with any learning tool, the instruction is the influence of the instructor and not the tool. ISECOM cannot accept responsibility for how any information herein is applied or abused. The HHS Project is an open community effort and if you find value in this project, we do ask you support us through the purchase of a license, a donation, or sponsorship. All works copyright ISECOM, 2004. Información sobre la “Licencia de Uso” Las lecciones y cuadernos de trabajo siguientes son de acceso público y están disponibles bajo las siguientes condiciones de ISECOM: Todos los trabajos del proyecto “Hacker Highschool” son proporcionados para su uso no comercial con estudiantes de escuelas primarias, secundarias, bachilleratos y ciclos formativos dentro de las actividades académicas propias de la institución. Dichos materiales no pueden ser reproducidos con fines comerciales de ningún tipo. La impartición con estos materiales de cualquier clase, curso o actividad de formación para el que sea necesario pagar un importe, queda totalmente prohibida sin la licencia correspondiente, incluyendo cursos en escuelas y universidades, cursos comerciales o cualquier otro similar. Para la compra de una licencia visite la sección “LICENSE” de la página web del proyecto “Hacker Highschool” en www.hackerhighschool.org/license. El proyecto HHS es una herramienta de aprendizaje y, como tal, la formación final debe proceder realmente de la influencia del instructor y no basarse únicamente en el uso de la herramienta. ISECOM no puede aceptar bajo ningún concepto responsabilidad alguna sobre la forma de aplicar, ni sus consecuencias, de cualquier información disponible dentro del proyecto. El proyecto HHS es un esfuerzo de una comunidad abierta, por lo que si encuentra útil este proyecto le invitamos a esponsorizarlo a través de la compra de una licencia, una donación o una esponsorización. All works copyright ISECOM, 2004. 2 LESSON 11 - PASSWORDS
  • 3. Índice “License for Use” Information............................................................................................................... 2 Información sobre la “Licencia de Uso”.............................................................................................. 2 Contribuciones........................................................................................................................................4 11.1. Introducción....................................................................................................................................5 11.2. Tipos de Passwords.........................................................................................................................6 11.2.1. Cadenas de caracteres.......................................................................................................6 11.2.2. Cadenas de caracteres más un token...............................................................................6 11.2.3. Passwords biométricos..........................................................................................................6 11.3. Historia de las Contraseñas...........................................................................................................7 11.3.1. Ejercicio 1................................................................................................................................7 11.4. Construcción de passwords robustos..........................................................................................8 11.4.1. Ejercicio 1................................................................................................................................8 11.4.2. Ejercicio 2................................................................................................................................8 11.5. Cifrado de los passwords..............................................................................................................9 11.5.1. Ejercicio 1................................................................................................................................9 11.5.2. Ejercicio 2................................................................................................................................9 11.5.3. Ejercicio 3..............................................................................................................................10 11.6. Password Cracking (password Recovery) ................................................................................11 11.6.1. Ejercicio.................................................................................................................................11 11.7. Protección contra el descifrado de passwords ......................................................................12 11.7.1. Ejercicio.................................................................................................................................12 Lecturas de ampliación en Internet...................................................................................................13 3 LESSON 11 - PASSWORDS
  • 4. Contribuciones Kim Truett, ISECOM Chuck Truett, ISECOM J. Agustín Zaballos, La Salle URL Barcelona Pete Herzog, ISECOM Jaume Abella, La Salle URL Barcelona - ISECOM Marta Barceló, ISECOM 4 LESSON 11 - PASSWORDS
  • 5. 11.1. Introducción Uno de los principales personajes de la película MATRIX RELOADED es el “hacedor de llaves”. El hacedor de llaves es un personaje críticamente importante, protegido por MATRIX y buscado incansablemente por Neo, porque es el encargado de fabricar y mantener las llaves que dan acceso a las diferentes zonas de MATRIX. MATRIX representa un mundo generado por ordenador y las llaves que dan acceso a las diferentes estancias son passwords o contraseñas. En la película se utilizan passwords de propósito general, passwords para las puertas traseras o back doors y passwords maestros que dan acceso a cualquier parte. Los passwords son las llaves con las que se controla el acceso, manteniendo a los indeseables lejos de ti. En definitiva, los passwords controlan el acceso a la información (por ejemplo con los passwords en los documentos), restringen el acceso a los recursos (por ejemplo con los passwords en las páginas web) o implementan la autenticación (demostrando que tú eres quien dices ser). 5 LESSON 11 - PASSWORDS
  • 6. 11.2. Tipos de Passwords Existen principalmente tres tipos de passwords. Los que necesitan algo que sé, los que implican algo que tengo y los que añaden algo que soy. 11.2.1. Cadenas de caracteres En el nivel más básico, las contraseñas son cadenas de caracteres, números y símbolos. Tener acceso a un teclado proporciona un método para introducir este tipo de passwords. Las contraseñas pueden ir de las más sencillas, como los tres números para acceder a ciertas plazas de garaje, hasta las más complicadas combinaciones de caracteres, números y símbolos que se recomienda emplear para proteger la información más sensible. 11.2.2. Cadenas de caracteres más un token En el siguiente nivel, los passwords requieren una cadena de caracteres, números y símbolos más un token o ficha de algún tipo. Un ejemplo típico es el de los cajeros automáticos. Para acceder a éstos se necesita una tarjeta y un número personal identificativo o PIN. Se consideran más robustos ya que si pierdes o olvidas alguno de los dos requerimientos tu acceso será denegado. 11.2.3. Passwords biométricos El tercer nivel de complejidad son los passwords biométricos. Consisten en utilizar alguna característica física no reproducible, como las huellas digitales o el aspecto de la cara, para permitir el acceso. Un ejemplo es el escáner de retina en el cual el interior del ojo se fotografía para la posterior identificación del sujeto. La retina contiene un patrón único de distribución de vasos sanguíneos fácilmente apreciable y que se puede utilizar para la identificación del individuo. Los passwords biométricos son los que se consideran más sofisticados y más seguros de todos los passwords. Sin embargo, un password que se pueda transportar en el dedo o en el ojo no tiene porqué ser más seguro que uno transportado en la cabeza si el software está bien configurado. 6 LESSON 11 - PASSWORDS
  • 7. 11.3. Historia de las Contraseñas En las versiones más antiguas de MS Excel y Word, se guardaban las contraseñas en forma de texto llano o nativo (sin ningún tipo de cifrado) en la cabecera de los documentos protegidos. Si se conseguía acceder a la cabecera del documento se podía leer la contraseña. Esto es válido para todas las versiones anteriores a Office 2000. El sistema operativo Windows llegó a guardar las contraseñas con un formato de texto llano en un archivo oculto. En el caso de olvidar el password se podía anular simplemente borrando el archivo oculto con lo que desaparecía el password. Pronto, Microsoft y Adobe empezaron a usar passwords, pero sólo para denotar que los documentos necesitaban de una passwords para ser abiertos, no para leer la información. Esto significaba que si el documento se abría con otra aplicación, como por ejemplo el bloc de notas (notebook) el password no era necesario y la información podía ser leída sin problemas. Microsoft Access 2.0 podía ser abierto como un fichero de texto fácilmente, simplemente renombrando el fichero con extensión “.txt”. Haciendo esto se podía leer perfectamente la información contenida en la base de datos. Los ficheros Adobe PDF 4.0 y anteriores se podían imprimir y, muchas veces, visualizar también usando lectores PDF de Linux o el Ghostview para Windows. Las redes inalámbricas (wireless networks) tienen un problema con la encriptación, ya que la clave de encriptación se puede calcular una vez se ha capturado un elevado volumen de la información que se transmite por el aire. Actualmente, con la capacidad de cálculo que tienen los ordenadores, cada vez se tarda menos en “crackear” los passwords. La seguridad de los sistemas Bluetooth se considera muy fiable, una vez el sistema está configurado. El problema es que bluetooth transmite un único password entre los dispositivos para establecer la conexión y éste se envía como texto llano. Si esa contraseña es interceptada, toda transmisión futura durante esa sesión puede descifrarse fácilmente. 11.3.1. Ejercicio 1 Descárgate de Internet un fichero PDF e intenta abrirlo con otro programa que no sea el Acrobat Reader. Puedes leer correctamente la información que contiene dicho documento? 7 LESSON 11 - PASSWORDS
  • 8. 11.4. Construcción de passwords robustos Un password robusto es aquél que: Ø No puede encontrarse en un diccionario Ø Contiene números, letras y símbolos Ø Contiene letras mayúsculas y minúsculas Ø Cuanto más largo, más robusto es Con un password de 2 letras y 26 letras en el alfabeto, contando además con 10 números (ignorando los símbolos), hay 236 posibles combinaciones (687,000,000 posibilidades). Si aumentamos la longitud del password a 8 caracteres, ya disponemos de 836 combinaciones (324,000,000,000,000,000,000,000,000,000,000 posibilidades). Hay muchos generadores de passwords robustos disponibles en Internet, pero éstos generarán un password que es casi imposible de recordar. Intente emplear, en cambio, una cadena aparentemente aleatoria de letras o números que usted pueda recordar fácilmente. Por ejemplo: Ys=#1pt! (Yo soy el numero uno para ti) ArJuAg1p (Ariadna, Juan Agustín y 1 perro – miembros de la familia) LxRzDg24 (Alex Ruiz Diego – consonantes del nombre completo y la edad) 11.4.1. Ejercicio 1 Crea un password robusto que puedas recordar que obtenga una buena puntuación en la siguiente página web: http://www.securitystats.com/tools/password.php 11.4.2. Ejercicio 2 Busca en Internet 3 páginas web de bancos o cajas de ahorro y averigua el tipo de password con el que se accede a la información restringida y si recomiendan algún tipo de password o PIN (longitud, alfanumérico, DNI,…). 8 LESSON 11 - PASSWORDS
  • 9. 11.5. Cifrado de los passwords El cifrado o encriptación de los passwords es un tópico no muy usual. Aunque es importante distinguir si hablamos de passwords encriptados o no encriptados, lo que realmente marca la diferencia es el método de encriptación que se utiliza. Esto es debido a que muchas veces, lo que nos parece un fichero encriptado es, simplemente, un fichero “codificado”. Esto hace que para nosotros el fichero no sea leíble directamente, pero si que lo podríamos entender o traducir fácilmente usando un ordenador. Además, incluso un fichero encriptado podría haber sido generado mediante una clave débil (fácil de adivinar) o un esquema de encriptación poco robusto. Por estas razones es importante que, en el caso de encriptar cualquier tipo de información, seas consciente de que estas usando un esquema de encriptación confiable el cual ha sido probado y verificado a fondo. Por otro lado, debes asegurarte de que tu password es también un password robusto. Un buen sistema de encriptación no sirve de nada sin un buen password. Y viceversa. 11.5.1. Ejercicio 1 Hemos encriptado una serie de nombres de frutos usando un método de encriptación muy básico llamado “ROT13”. Busca por Internet en que consiste este método y trata de descifrar las palabras: a) gbzngr b) anenawn c) cvñn d) cren e) znamnan 11.5.2. Ejercicio 2 Busca algun sitio web donde puedas descifrar automáticamente estas palabras. 9 LESSON 11 - PASSWORDS
  • 10. 11.5.3. Ejercicio 3 Existen muchos sistemas de encriptación, pero realmente, muchos de ellos son simplemente sistemas de codificación. Sabes cual es la diferencia? La mayoría de nosotros seguramente no sabrá responder a esta pregunta. Realmente, la diferencia está en que los sistemas de codificación no necesitan un password para ser decodificados. De los siguientes sistemas de encriptación, identifica cuales son realmente tipos de encriptación y cuales son esquemas de codificación. a) Twofish b) MIME c) RSA d) CAST e) AES f) BASE64 g) IDEA h) TripleDES i) ROT13 j) TLS 10 LESSON 11 - PASSWORDS
  • 11. 11.6. Password Cracking (password Recovery) El Password Cracking o el descifrado de contraseñas para propósitos ilegales es, evidentemente, ilegal. Pero si es su propio password el que quiere descifrar, entonces estamos hablando de su información. Si de lo que se trata es de que un individuo está utilizando un password para proteger algo, y entonces se olvida de éste, se necesita una recuperación de contraseña o password recovery. El descubrimiento de passwords consiste en seguir unas técnicas básicas: Echar una mirada alrededor: los passwords se guardan a menudo debajo de los teclados, bajo las alfombrillas del ratón o se cuelgan en las hojas “post-it” personales. La fuerza bruta: simplemente se prueban passwords de forma secuencial hasta que uno funciona. Los ataques de diccionario automatizados: estos programas cruzan una serie de palabras pertenecientes a un diccionario hasta que una de éstas funcione como una contraseña válida. Hay muchos programas disponibles en Internet que nos pueden ayudar con la recuperación de passwords introducidos en diferentes tipos de documentos. Sin embargo, cuanto más nueva es la versión del programa más fiable éste se vuelve y, por consiguiente, más difícil es obtener los passwords descifrados que usan, o encontrar un programa que nos ayude en la recuperación del password. 11.6.1. Ejercicio Averigua tres tipos de programas que se suelan emplear en desarrollar documentos de todo tipo (de texto, hojas de cálculo, compresores de archivos) y que permitan la utilización de passwords para proteger el acceso a los contenidos. A continuación busca algún programa o método en Internet que facilite la recuperación de passwords de este tipo de archivos. 11 LESSON 11 - PASSWORDS
  • 12. 11.7. Protección contra el descifrado de passwords Estas son algunas recomendaciones para evitar el descifrado de tus passwords: 1. Utiliza contraseñas robustas que no puedan extraerse con un ataque de diccionario. 2. No anuncies el password cerca del ordenador. 3. Configura el sistema para que en el caso de que se produzcan tres intentos fallidos el sistema se quede bloqueado. La contraseña debería restablecerse entonces. Esto no se aplica a documentos protegidos con password o a los archivos .zip comprimidos ya que no suelen disponer de la opción de bloqueo. 4. Cambia las contraseñas regularmente. 5. Usa una variedad suficiente de contraseñas para diferentes ordenadores. ¿Significa esto que se necesita crear una única contraseña para cada cosa? No. Se puede mantener un password maestro para las cosas sin importancia (quizás para la cuenta que le exigieron que creara para TheSIMS.com o para su cuenta en el periódico local). Pero utiliza passwords robustos para lo que realmente necesite estar seguro. 11.7.1. Ejercicio Analizad en grupos el resto de recomendaciones que se describen en el siguiente enlace: http://www.securitystats.com/tools/password.php 12 LESSON 11 - PASSWORDS
  • 13. Lecturas de ampliación en Internet http://www.password-crackers.com/pwdcrackfaq.html http://docs.rinet.ru/LomamVse/ch10/ch10.htm http://www.ja.net/CERT/Belgers/UNIX-password http://www.crypticide.com/users/alecm/-security.html http://www.securitystats.com/tools/password.php http://www.openwall.com/john/ http://www.atstake.com/products/lc/ http://geodsoft.com/howto/password/nt_password_hashes.htm 13 LESSON 11 - PASSWORDS