Skip to main content

Política de Contraseñas

Introducción

La contraseña o clave de un usuario es el mecanismo que utilizamos para autenticarnos en todos los sistemas informáticos de la Facultad de Ingeniería. Nos identificamos ante el sistema utilizando el nombre de usuario (p.e. 'jperdomo') y usamos nuestra contraseña para probar nuestra identidad en el sistema. Las contraseñas continúan siendo, a pesar del esfuerzo continuado de la institución, un eslabón débil dentro de la seguridad. La calidad de la contraseña es un factor importante a ser considerado. Si las contraseñas pueden adivinarse o robarse, alguien ingresando con su usuario puede causar problemas a la institución o sus recursos. Por ello, la contraseña es de uso personal e individual, no debe ser compartida con otras personas y debe ser mantenida en forma segura.

Tenga en cuenta que nunca se le solicitarán las contraseñas por correo

¿Qué es considerado una contraseña? ¿Y una passphrase?

Una contraseña ('password') es una secuencia de caracteres (minúsculas, mayúsculas, dígitos y caracteres especiales o de puntuación, excluyendo el carácter de espacio en blanco) que se usa como mecanismo de seguridad.

El carácter de espacio en blanco se considera un separador de palabras, Si aparece al menos un espacio, la contraseña tendrá dos palabras. A una contraseña con dos o más palabras se le llama más propiamente frase o passphrase.

Contraseñas cortas, con pocos tipos de caracteres, basadas en información del usuario o en palabras de diccionarios son muy vulnerables a ataques de fuerza bruta (también denominados cracking de contraseñas). También las frases si tienen solamente dos palabras son susceptibles a esos problemas. 

Es por ello que la Facultad establece ciertas condiciones de complejidad mínimas, para evitar estos tipos de riesgos.

Complejidad mínima de las contraseñas

Las clases de caracteres utilizada para las contraseñas son mayúsculas, minúsculas, números y símbolos. La complejidad que deben tener las contraseñas, en función de las clases de caracteres, dependerá del largo de las mismas. Intuitivamente, a mayor cantidad de caracteres, se relaja la necesidad de tener clases adicionales. Como mínimo, las contraseñas deberán tener al menos 10 caracteres. Luego, al ir creciendo en largo, se podrá usar menos clases de caracteres.

Podríamos entonces resumirlo como:

  1. El mínimo del largo de una contraseña es de 10 caracteres.

  2. Si el largo de una contraseña es de 10 u 11 caracteres, debe tener elementos de las 4 clases de caracteres.

  3. Si el largo de una contraseña es de 12 a 19 caracteres, debe tener elementos de al menos 3 clases de caracteres.

  4. Si el largo de una contraseña es de 20 a 25 caracteres, debe tener elementos de al menos 2 clases de caracteres.

  5. Si el largo de una contraseña es de 26 o más caracteres, puede tener solamente elementos de 1 clase de caracteres.

En todos los casos el largo máximo de caracteres será de 40.

Contraseñas basadas en el nombre y/o apellido, o en palabras de diccionarios tampoco se permiten.

Adicionalmente se debe tener en cuenta que si la contraseña cuenta con una única letra mayúscula esta no puede ser la primera y si cuenta con un solo dígito no puede ser el último.

Complejidad mínima de las passphrases

En caso de utilizar como contraseña una passphrase la misma debe cumplir con los siguientes requerimientos:

  • contener un mínimo de 4 palabras y

  • tener un largo mínimo total de 16 caracteres (entre los cuales se incluyen los espacios en blanco)

Para las passphrases el largo máximo también será de 40 caracteres.

Complejidad adicional de las contraseñas y passphrases

Es posible adivinar las contraseñas si el usuario no toma precauciones al crearlas.

Usando diccionarios de varios idiomas, listas recopiladas de palabras comunes, nombres propios, nombres de lugares, nombres de artistas y personajes, etc., se puede probar hasta acertar. Es un trabajo arduo, pero si se automatiza en una computadora no lleva esfuerzo sino sólo tiempo.

Así que a las contraseñas se las somete a pruebas adicionales para evitar estas situaciones. Se rechazarán las contraseñas que sean derivadas de datos básicos del usuario (nombre, apellido, etc.) , que correspondan a teclas corridas o cercanas en el teclado (como 'qwerty'), o que se puedan encontrar, como se dijo, en listas y diccionarios.

Algunas de estas pruebas se hacen luego de aceptada la contraseña, sometiéndolas periódicamente a pruebas como las señaladas anteriormente contra diccionarios y similares listas, así que puede ocurrir que para una contraseña haya sido aceptada inicialmente pero posteriormente se pida su cambio.

¿Qué puede ser una frase?

Para construir una frase, simplemente se pueden tomar cuatro o cinco palabras no relacionadas, y escribirlas, separadas por espacios en blanco. Un ejemplo sería:

mambotornilloplayaqueso

Cambio de contraseñas

El usuario puede cambiar su contraseña siempre que así lo desee. En caso de que exista la mas mínima posibilidad de que la misma haya sido comprometida, es necesario notificar a los administradores y realizar el cambio en forma urgente.

La contraseña se puede cambiar ingresando vía Secure Shell (SSH) al servidor del Instituto al cual pertenece o desde el webmail de Facultad (http://www.fing.edu.uy/webmail).

En caso de olvido el usuario debe asistir personalmente a las oficinas de la Unidad de Recursos Informáticos con su documento de identidad. Esta es la única forma de reiniciar la contraseña.