Contraseñas para proteger dispositivos de red

2

No hago nada con las TI corporativas y las redes, pero sé lo suficiente para manejar y hacer que las redes funcionen. De todos modos, algo con lo que me topé en mis viajes en lo que respecta a las ocasiones de trabajar en computadoras individuales y redes pequeñas cuando lo hago es la cuestión de proteger los dispositivos que tienen exposición a Internet o inalámbrica.

Soy un principiante completo en estos temas y lo que es mejor, así que pensé que iba a leer un poco y obtuve algunas ideas básicas de buenas prácticas de seguridad, pero se me ocurrieron algunas preguntas que no fueron contestadas de manera sólida:

  1. ¿Cuáles son las reglas para ingresar contraseñas de estilo WPA en la mayoría de los dispositivos? ¿Podría salirse con la suya con algún carácter imprimible estándar en estos dispositivos o hay algunas restricciones (cadenas de caracteres hexadecimales, algunos caracteres no permitidos)? Realmente no encuentro ninguna buena documentación sobre esto.

  2. ¿Hay alguna buena regla para establecer una buena contraseña "segura" en términos de entropía? Encontré sitios como enlace que parecen ser un buen punto de referencia, pero realmente no he encontrado ninguna buena regla que califique algo como " Ideal contraseña fuerte "en un sentido universal. Existe el método de caracteres imprimibles al azar y luego el método xkcd , también.

  3. Como creo que en la mayoría de los casos, todo lo que sucederá con estos dispositivos después del hecho es que las personas (principalmente yo mismo con mis propias cosas, pero otras también, piensan cosas de la red doméstica) usarán Internet directamente o sus para conectarse a Internet, la contraseña no necesariamente tiene que ser fácil de recordar y reproducir fácilmente, por lo que mi idea es que cualquier contraseña en la que se configuren estos dispositivos puede imprimirse o escribirse y almacenarse por si acaso es necesario volver a estos dispositivos una vez configurados. ¿Parece esto inteligente o hay algo que me falta?

  4. Dado que estoy más inclinado a la programación que a las redes en general en mi experiencia, se me ocurrió un generador de contraseñas, que actualmente solo imprime caracteres aleatorios de ciertas longitudes con algunas reglas. ¿Hay alguna sugerencia sobre qué hacer para que la salida de este programa sea "estándar de oro"?

Podría estar pensando demasiado en el problema de la contraseña por completo, pero lo que observo que es común en todos estos casos es que son dispositivos a los que generalmente no se les prestará atención mientras estén funcionando correctamente (básicamente, en el hogar). uso - siempre que me ponga en Internet estoy feliz). De esa manera, quiero aprender a hacer algo con lo que trato relativamente a prueba de bombas cuando se trata de cualquiera que quiera acceder a él y no tengo completamente claro el final de la contraseña.

    
pregunta Glenn1234 07.11.2012 - 11:03
fuente

3 respuestas

3

Para responder rápidamente a estos:

  1. En su mayoría no hay límites, suponiendo que estamos hablando de WPA2. La contraseña pasa por un algoritmo de derivación de clave, por lo que la clave es un tamaño fijo independientemente de la longitud de la contraseña. Algunos proveedores de dispositivos pueden poner límites suaves en sus paneles de control, pero estos suelen ser bastante relajados. Sin embargo, evitaría los caracteres Unicode, ya que no siempre son idénticos en términos de codificación en diferentes sistemas.
  2. Siempre que su contraseña sea lo suficientemente compleja y el tiempo suficiente , evitará que la clave WPA2 sea crackeada. Lo que "basta" depende de sus requisitos de seguridad, pero para uso doméstico, diría que 12 caracteres a-z A-Z 0-9 (3.22 × 10 21 espacio de teclas) debe ser más que suficiente, siempre que sea razonablemente aleatorio . Es muy poco probable que te encuentres con atacantes que utilicen análisis estadísticos complejos para probar primero las contraseñas "probables" de aleatorios humanos. La mayoría no hará nada más que un ataque de diccionario.
  3. La práctica estándar en la mayoría de los entornos corporativos es almacenar copias impresas de las credenciales de misión crítica en un lugar seguro. Si desea almacenar dichas copias de seguridad, invierta en seguridad física. El cajón de su escritorio no es realmente seguro, pero está en su casa y su casa tiene cerraduras. ¿Está realmente preocupado por los atacantes que irrumpen en su casa para robar su contraseña de wifi?
  4. No te molestes. Para empezar, hay cientos de generadores de contraseñas que ya lo hacen; keepass tiene una buena Lo más importante es que realmente no necesita preocuparse por contraseñas aleatorias criptográficamente seguras, simplemente elija algo "aleatorio" manualmente o use un generador existente si está paranoico. No hay necesidad de hacer nada más a menos que esté protegiendo datos de misión crítica.

En general, parece que lo estás pensando demasiado. Su principal amenaza son los ataques de diccionario, que puede frustrar al no usar contraseñas o palabras comunes en el diccionario.

    
respondido por el Polynomial 07.11.2012 - 11:32
fuente
2
Los

medidores de contraseña (como los sitios que puede encontrar) no son buenos para medir la contraseña entropía , a pesar de lo que dicen. Los seres humanos tampoco son buenos para producir entropía. Entropy (en este contexto) es una característica del proceso de generación de contraseña , no de la contraseña resultante. Lo que importa para la entropía no es lo que el valor de la contraseña es , sino lo que pudo haber sido , y, por definición, esto no puede deducirse solo de la contraseña.

Para generar una contraseña segura, use una computadora. En cualquier sistema Linux, este comando:

dd if=/dev/urandom bs=9 count=1 | openssl base64 -a -e

generará contraseñas con 72 bits de entropía, que es más que suficiente para frustrar a los atacantes (no es necesario mantener el signo '=' final). La idea es simple: obtenga 9 bytes aleatorios (de /dev/urandom , que es un generador de números aleatorios criptográficamente sólidos) y luego codifíquelos en un formato adecuado para ingresar en un teclado ( Base64 usa solo letras, dígitos, '/' y '+', con 4 caracteres por 3 bytes de entrada; ya que comenzamos con 9 bytes aleatorios, terminamos con 12 - contraseñas de caracteres).

Los caracteres utilizados por la codificación Base64 deberían funcionar "en todas partes"; en particular, puede escribirlos en teclados extranjeros o en teléfonos inteligentes, y no sufrirán los problemas de codificación habituales que obtiene con las letras acentuadas (o cualquier otro carácter que esté más allá de lo que usan los estadounidenses, es decir, ASCII). Para WiFi, WPA2 acepta contraseñas largas con caracteres arbitrarios; y si no usas WPA2 para tu WiFi, lo estás haciendo mal.

La escritura de contraseñas es una compensación: si se escribe, entonces se debe garantizar seguridad física del documento; por otro lado, le permite usar muchas más contraseñas de las que podría recordar, especialmente las que no escribe con frecuencia (que son las contraseñas de WiFi). Solo guárdelas en un lugar seguro, lo que significa, sí, una caja fuerte, o posiblemente una "caja fuerte portátil", comúnmente conocida como "billetera". La caja fuerte no necesita ser mucho más fuerte de lo que protege.

Una opción sería escribir la contraseña en un papel pegado debajo del propio punto de acceso. Si es una buena idea o no, depende del entorno físico del AP. Básicamente, quien tenga acceso físico al punto de acceso puede hacer mucho daño, incluido simplemente vincular su propio dispositivo a los enchufes de Ethernet que la mayoría de los puntos de acceso de forma conveniente. Por supuesto, con la contraseña escrita bajo el AP, un atacante que tenga acceso transitorio puede aprender la contraseña y usted no la notaría. Pero todavía vale la pena considerarlo, por ejemplo. para un enrutador doméstico (si un individuo malvado ve la contraseña, entonces está en su casa , en cuyo punto puede tener más problemas urgentes para tratar que solo la seguridad WiFi).

La mayoría de las "reglas" de contraseñas (como el famoso "método xkcd") tratan sobre la creación de contraseñas que encajan en el cerebro humano, o incluso pueden ser generadas en el cerebro humano. Eso es difícil. A menudo, esto resulta en una mala compensación entre contraseñas que son débiles, muy largas, difíciles de recordar y / o difíciles de escribir. El culpable es el cerebro humano. Es mucho más simple simplemente eliminarlo de la ecuación.

(TODO: escribir un generador de contraseñas de una línea de PowerShell, para los usuarios de Windows. No es difícil, pero no tengo una máquina con Windows a la mano en este momento)

    
respondido por el Thomas Pornin 09.11.2012 - 13:20
fuente
0

Una alternativa a la escritura de contraseñas es almacenar las sugerencias de contraseñas en lugar de las contraseñas. Otra técnica más es almacenar las contraseñas en una unidad UBS cifrada. Ambos se mencionan en enlace .

También se sabe que los crackers de contraseñas usan listas que ahora están bien afinadas y actualizadas para correlacionarse con la forma en que los seres humanos crean contraseñas y la adivinación es mucho más eficiente que los métodos anteriores basados en diccionarios estándar y las modificaciones asociadas. La longitud de la contraseña también es muy importante, especialmente para garantizar que tenga 8 caracteres o más. Esto se trata en enlace .

    
respondido por el rman 09.11.2012 - 23:42
fuente

Lea otras preguntas en las etiquetas