Archivado en la categoría (PRiSE, Privacidad, Seguridad) por paloma.ardila
Publicado el 13-07-2017
Lock

Lock

Las contraseñas (o passwords, como dirían nuestros amigos los anglosajones) son parte de nuestra vida desde mucho antes que Internet se colara en nuestras vidas. En 1967, John Shepherd-Barron inventó el concepto de PIN (Persona Identification Number o Número de identificación personal) cuando trabajaba en el primer cajero de un banco londinense. Su primera idea fue utilizar una contraseña de 6 dígitos, pero al hablarlo con su mujer ella prefería 4 dígitos, ya que le resultaba más cómodo de recordar. Pero a raíz de la popularización de Internet, cada vez más utilizamos un par “nombre de usuario” y “contraseña” para leer nuestro correo, escribir un comentario en un blog o ver nuestras fotos.

 

4 Recomendaciones a la hora de establecer una nueva contraseña:

Desde PRISE os comentamos las directrices más importantes a seguir a la hora de crear una contraseña.

  • Tamaño de la contraseña y caracteres:
    Entre 8 y 14 caracteres: mayúsculas o minúsculas incluyendo más de un número y, además, al menos un carácter especial: !@#$%^&*-+<>?{}[]_.
  • Tener varias contraseñas, en función del uso que vayamos a darle.
    Obviamente lo ideal es tener una contraseña muy fuerte diferente para cada uno de los portales, pero si no compaginamos usabilidad con seguridad, el modelo termina siendo un fracaso.
  • Contraseña basada en una frase que nos resulte familiar. Por ejemplo, una canción favorita y utilizar la primera letra de cada palabra. Sobre dicha cadena de primeras letras, reemplazamos algunas vocales o consonantes por números o caracteres especiales que visualmente no nos resulte diferente a la palabra que obtuvimos al coger cada primera letra de cada palabra. Por ejemplo, si nos basamos en la canción “La casa por el tejado” de Fito y Fitipaldis: La casa por el tejado —> Lcpet —> L[p3t
  • Cambio de la contraseña ocasional:
    No cambiar la contraseña de forma regular ya que tendemos a modificar determinados caracteres de la previamente asignada, estableciendo de ese modo una contraseña cada vez mas débil.

 

Desgraciadamente, estas recomendaciones que damos no son aplicadas tantas veces como quisiéramos. A principios de año, la empresa de seguridad Keeper reveló en su informe anual, en el que analizó más de 10 de millones de contraseñas, cuales eran las 25 contraseñas más utilizadas, siendo la primera de ellas ¨123456¨, correspondiendo al 17%. Un elemento en común de todas estas contraseñas fue que la mayoría tenían seis caracteres o incluso menos.

 

Estas estadísticas demuestran que todavía queda mucho en la educación del usuario a la hora de que elijan contraseña. Aunque hay que decir a su favor que los bancos siguen haciendo un “favor” al mantener el PIN de 4 dígitos, ya que, ¿qué hay más seguro que un banco? ;-)

(0) Comments    Read More   
Archivado en la categoría (adAS, Identidad Digital, Privacidad) por candido.rodriguez
Publicado el 11-01-2017

Un identificador privado de usuario permite tracear la actividad de dicho usuario en una aplicación determinada, sin necesidad de conocer ningún dato adicional sobre la identidad del usuario y que tampoco pueda ser utilizado para adivinar su identidad. Pero aun así sirva para informar a la organización del usuario de un evento o incidencia relacionado con el usuario y que dicha organización pueda saber qué usuario es.

Este identificador debe cumplir las siguientes características:

  • Persistente: debe ser el mismo para una misma aplicación durante un tiempo de vida considerable, que le permita a dicha aplicación identificar al usuario en su lógica de negocio durante el tiempo necesario
  • Privado: no debe permitir averiguar quién es el usuario y qué actividad realiza en otras aplicaciones
  • Único: debe ser el mismo valor siempre para una misma aplicación, no permitiendo reutilizar su valor para otros usuarios

En muchos sistemas este identificador privado es conocido como el atributo eduPersonTargetedID. Una generación correcta de valor para este atributo debe contemplar una cadena alfanumérica opaca generada en base a datos que identifiquen al usuario y a la propia aplicación a la que trata de acceder el usuario. Por ejemplo:

MD5( “SEMILLA/”.$ID_USUARIO.”/”.$ID_APLICACIÓN)

Al utilizar una función de resumen (en el ejemplo MD5 ) nos permite generar una cadena alfanumérica que no es reversible a su valor original.

En adAS 1.6.0o las fuentes de datos tipo “Información de adAS” permiten generar identificadores privados de usuario, para lo cual utiliza el identificador del usuario en el Proveedor de Identidad, es decir, aquel atributo que hayamos indicado en el módulo de autenticación que queramos utilizar como identificador de usuario dentro de adAS SSO, y el identificador opaco del Proveedor de Servicio. Este identificador opaco es un valor aleatorio generado por adAS SSO cuando se añade un Proveedor de Servicio (SP) en el SSO y no es modificado durante todo su ciclo de vida, ni en un cambio de ID de entidad del SP.

Para enviar un identificador privado de usuario en una política de emisión de atributos de un SP, debemos definir el atributo de la siguiente manera:

eduPersonTargetedID = self::nocachedFirstHookDB(‘ADASINFO’, ‘ADAS_PRIVATE_USER_ID’)

Donde ADASINFO es el identificador de una fuente de datos tipo “Información de adAS”.

Gracias a este atributo ‘ADAS_PRIVATE_USER_ID’, adAS SSO nos generará siempre un valor cumpliendo las características de persistente, privado y único, para cada par (ID usuario en adAS SSO, ID opaco SP) o si hubiera algún problema no devolvería ningún valor, pudiendo así la aplicación informar del problema.

(0) Comments    Read More   
Archivado en la categoría (Criptografía, Privacidad, Seguridad) por elena.lozano
Publicado el 16-03-2012

A continuación compartimos un interesante video (en inglés) sobre cómo funciona la criptografía asimétrica (de clave pública) explicada con colores. El algoritmo matemático utilizado en el video es Diffie-Hellman.

Este método criptográfico es utilizado en numerosos sistemas, como los basados en certificados o los que utilizan infraestructuras de clave pública (PKI).

(0) Comments    Read More   
Archivado en la categoría (PRiSE, Privacidad, Protección de datos) por elena.lozano
Publicado el 15-02-2011

En PRiSE intentamos mejorar la seguridad y privacidad de forma sencilla, con el vocabulario técnico o legal estrictamente necesario, que permita a todo tipo de personas entender y aplicar los procedimientos que garantizan el cumplimiento de las normas y la seguridad de la información.

Por este motivo acabamos de publicar una aplicación de evaluación de la LOPD en empresas y organizaciones. Esta aplicación puede orientarte acerca del estado del cumplimiento de la Ley Orgánica de Protección de Datos en tu empresa y de lo que se necesitaría realizar (auditoría, adecuación, etc.) en cada caso concreto.

¡Evalúate para saber tu estado!

(0) Comments    Read More