1 65 Table of Contents 67 84

red seguridad 075

En cualquier caso, aunque su con- traseña sea difícil de predecir y la guarde en lo más recóndito de su intimidad, hay un momento en el que, de alguna forma, la tendrá que revelar (en principio, sólo al sistema ante el que se intenta acreditar). Así que, aun suponiendo que de verdad accedemos al sistema auténtico, y no a un impostor, resulta que, desde que la contraseña sale de sus dedos hasta que llega al lugar donde se comprue- ba, hay varios lugares en los que un espía podría hacerse con ella. No disponemos aquí de espacio para presentar las diversas estrata- gemas que se usan para tan desho- nesto fin, unas muy sofisticadas, otras increíblemente simples (la ingenuidad humana no tiene límites). Tampoco pretendemos atemorizarle. Como, de hecho, va a tener que seguir utilizando contraseñas, hágalo, pero de forma higiénica: no elija contraseñas obvias, no las apunte donde se puedan ver –mejor, no las apunte en ningún sitio–, cámbielas de vez en cuando, manten- ga su equipo libre de patógenos, no utilice equipos dudosos, no acceda a ningún sitio desde enlaces en e-mails , etc.; también sería recomendable utili- zar contraseñas diferentes para cada servicio, aunque, ciertamente, esto puede resultar un tanto engorroso. Puesto que la debilidad intrínseca de la autenticación mediante contra- seña es que para su validación hay que revelarla, se han ingeniado alter- nativas con las que podemos demos- trar que estamos en posesión de un secreto sin necesidad de enviarlo. Funciones resumen ¿Cómo es posible tal cosa? Para explicarlo sin entrar en tecnicis- mos, imagine la siguiente situación. Partimos de que usted y yo com- partimos un secreto. Alguien, que puede ser o no usted, me llama para que realice cierta gestión en su nombre. Para cerciorarme de que la petición realmente procede de usted, le planteo al interlocutor un problema, uno de cuyos datos es, precisamente, el secreto que com- partimos. Entonces, si me proporcio- na una solución correcta será porque tiene conocimiento del dato secreto, y podré suponer que es usted. Pero observe que, sin embargo, no me ha Francisco Jurado Zambrana Gerente de Desarrollo de Negocio de Ingenia 66 red seguridad cuarto trimestre 2016 especial artículo cifrado de datos monográfico ¿E s usted usuario de Facebook? ¿De LinkedIn? ¿Sube fotos a Instagram? ¿Usa un ordenador en su trabajo? ¿Tiene una cuenta de correo en Google Mail o similar? ¿Trabaja con su banco vía Internet? Bien, entonces no será necesario explicarle qué es – en estos contextos– una contraseña: ante cada uno de esos sistemas de los que es usuario, usted se acre- dita como tal mediante un pequeño secreto que comparte con el sistema en cuestión; y ese secreto es, justa- mente, su contraseña. ¿Es seguro este mecanismo? Pues, claramente, lo será mientras su con- traseña se mantenga secreta. Todo lo que debilite el secreto, debilita el procedimiento. Por ejemplo, si para no olvidarla la escribe en un pósit que pega en la pantalla de su ordenador, la estará poniendo en claro riesgo; así que, sería mejor memorizarla. Por fortuna, de momento no podemos leer lo que hay en su mente, pero, aun así, a veces podemos imagi- narlo… Esto es, sería mejor que no fuera su fecha de nacimiento, ni la matrícula de su coche, ni el nombre de su hijo, etc. Autenticación mediante desafío- respuesta

RkJQdWJsaXNoZXIy MTI4MzQz