La principal forma de evitar este tipo de ataque es utilizar passwords
que no sean palabras de los ficheros diccionario típicos:
combinaciones de minúsculas y mayúsculas, números mezclados con texto,
símbolos como &, $ o %, etc. Por supuesto, hemos de huir de claves
simples como internet o beatles, nombres propios, combinaciones
débiles como Pepito1 o qwerty, nombres de lugares, actores,
personajes de libros, deportistas...Se han realizado numerosos estudios
sobre cómo evitar este tipo de passwords en los usuarios
([dA88], [Kle90], [Spa91b], [Bel93a],
[Bis91], [BK95]...), y también se han diseñado potentes
herramientas para lograrlo, como Npasswd o Passwd+
([Spa91b], [Bis92], [CHN$^+$92]...). Es bastante
recomendable instalar alguna de ellas para `obligar' a los usuarios a utilizar
contraseñas aceptables (muchos Unices ya las traen incorporadas), pero
no conviene confiar toda la seguridad de nuestro sistema a estos
programas9.5.
Como norma, cualquier administrador debería ejecutar con cierta
periodicidad algún programa adivinador, tipo Crack, para comprobar que
sus usuarios no han elegidos contraseñas débiles (a pesar del uso de
Npasswd o Passwd+): se puede tratar de claves generadas antes de
instalar estas utilidades o incluso de claves asignadas por el propio root
que no han pasado por el control de estos programas.
Por último es necesario recordar que para que una contraseña sea aceptable
obligatoriamente ha de cumplir el principio KISS, que hablando de passwords está claro que no puede significar `Keep it simple, stupid!'
sino `Keep it SECRET, stupid!'. La contraseña más larga, la más
difícil de recordar,
la que combina más caracteres no alfabéticos...pierde toda su robustez
si su propietario la comparte con otras personas9.6.
© 2002 Antonio Villalón Huerta
