guia per gestionar les contrasenyes
TRANSCRIPT
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
1/19
GUIA DE GESTI DE CONTRASENYES
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
2/19
ndex
3 Qui fem aquesta guia
5 I aquesta guia, per a qui s?
5 I aquesta guia, qu busca?
6 Aspectes legals i normatius
7 Introduint les idees bsiques
7 Qui no ha fet servir mai una contrasenya?
8 Perills que podem crrer amb
contrasenyes dbils
8 Per qu les contrasenyes ja existents en
equips que provenen de fbrica sn vulnerables?
8 Estrenant ordinador
8 Qu pot passar si no canviem les
contrasenyes que provenen de fbrica?
8 Accs no autoritzat
8 Denegaci de servei
9 Reencaminament de les comunicacions
9 Prdua dinformaci condencial
9 Per qu cal denir una contrasenya
robusta personalitzada?
9 En quins escenaris desagradables
ens podem trobar?
9 Prdua dinformaci condencial
9 Suplantaci didentitat
9 Idonetat en la utilitzaci del
desaament pregunta/resposta
9 Com es diu la teva via?
10 En quins escenaris desagradables
ens podem trobar?
10 Accs no autoritzat
10 Suplantaci didentitat
10 Utilitzaci de comptes daccs
genrics corporatius
10 Contrasenyes sabudes per uns quants
10 En quins escenaris desagradables
ens podem trobar?
10 Accs no autoritzat
10 Prdua dinformaci condencial
11 Utilitzaci de mecanismes de
rotaci de contrasenyes
11 Exercitar la ment per a la seguretat de
la nostra informaci
11 En quins escenaris desagradables
ens podem trobar?
12 Recomanacions
12 Recomanacions per construir
contrasenyes robustes
12 Recomanacions per preservar la privacitat
de les contrasenyes
13 Recomanacions per preservar la vigncia
de les contrasenyes
16 Conclusions
17 Glossari
17 Referncies i enllaos web
18 Eines
18 Recursos de suport en lnia
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
3/19
El Centre de Seguretat de la Informaci de Catalunya,
CESICAT, s lorganisme executor del Pla nacional
dimpuls de la seguretat TIC aprovat pel govern de la
Generalitat de Catalunya el 17 de mar de 2009. La
missi daquest pla s la de garantir una Societat de
la Informaci Segura Catalana per a tots. Amb aques-
ta nalitat, es crea el CESICAT com a eina per a la
generaci dun teixit empresarial catal daplicacions i
serveis de seguretat TIC que sigui referent nacional i
internacional.
El Pla nacional dimpuls de la seguretat TIC a Catalu-
nya sestructura al voltant de quatre objectius estrat-
gics principals que seran desenvolupats pel CESICAT:
Executar lestratgia nacional de seguretat TIC es-
tablerta pel Govern de la Generalitat de Catalunya
Donar suport a la protecci de les infraestructures
crtiques TIC nacionals
Promocionar un teixit empresarial catal slid en
seguretat TIC
Incrementar la conana i protecci de la ciutada-
nia catalana en la societat de la informaci.
La forma jurdica del CESICAT s la de fundaci del
sector pblic de ladministraci de la Generalitat.
Amb lobjectiu de proporcionar unes bones prctiques
i uns coneixements mnims en seguretat de la infor-
maci, el CESICAT ofereix com a servei preventiu un
conjunt de guies de seguretat adreades a ciutadans,
empreses, administracions pbliques i universitats.
www.cesicat.cat
Qui fem aquesta guia
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
4/19
El contingut de la present guia s titularitat de la Funda-
ci Centre de Seguretat de la Informaci de Catalunya
i resta subjecta a la llicncia de Creative Commons BY-
NC-ND. Lautoria de lobra es reconeixer mitjanant la
inclusi de la segent menci:
Obra titularitat de la Fundaci Centre de Seguretat de la
Informaci de Catalunya.Llicenciada sota la llicncia CC BY-NC-ND.
La present guia es publica sense cap garantia espec-
ca sobre el contingut.
Lesmentada llicncia t les segents particularitats:
Vost s lliure de:
Copiar, distribuir i comunicar pblicament la obra.
Sota les condicions segents:
Reconeixement: Sha de reconixer lautoria de la
obra de la manera especicada per lautor o el llicencia-
dor (en tot cas no de manera que suggereixi que gaudeix
del seu suport o que dona suport a la seva obra).
No comercial: No es pot emprar aquesta obra per a
nalitats comercials o promocionals.
Sense obres derivades: No es pot alterar, transformar
o generar una obra derivada a partir daquesta obra.
Respecte daquesta llicncia caldr tenir en comp-
te el segent:
Modicaci: Qualsevol de les condicions de la present
llicncia podr ser modicada si vost disposa de per-
misos del titular dels drets.
Altres drets: En cap cas els segents drets restaran
afectats per la present llicncia:.
Els drets del titular sobre els logos, marques o qual-
sevol altre element de propietat intellectual o in-
dustrial incls a les guies. Es permet tan sols ls
daquests elements per a exercir els drets recone-
guts a la llicncia.
Els drets morals de lautor.
Els drets que altres persones poden tenir sobre el
contingut o respecte de com sempra la obra, tals
com drets de publicitat o de privacitat.
Avs: En reutilitzar o distribuir la obra, cal que sesmen-
tin clarament els termes de la llicncia daquesta obra.
El text complert de la llicncia pot ser consultat a
http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.ca.
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
5/19
5
I aquesta guia, per a qui s?
Aquesta guia est dirigida a usuaris duniversitats i centres de re-
cerca, administracions pbliques catalanes i pimes que utilitzen
uns serveis telemtics dins lentorn professional que requereixen
ls de contrasenyes daccs.
Aquesta guia tamb est pensada per als administradors de sis-
temes, ja que ells sn els encarregats de congurar els perls
daccs i les poltiques de seguretat en els sistemes dinformaci.
Els responsables de seguretat dempreses i organitzacions la po-
den fer servir per conscienciar els treballadors i les persones de
lentitat en general sobre la importncia de gestionar les contrase-
nyes de manera correcta.
Les organitzacions que en un futur prxim vulguin implantar un
Sistema de Gesti per a la Seguretat de la Informaci (SGSI), po-
den tenir en compte les recomanacions daquesta guia durant la
implantaci prvia a la superaci del procs de certicaci.
I aquesta guia, qu busca?
Aquest document pretn proporcionar recomanacions genriques
a lhora de crear i gestionar les paraules de pas per tal que aques-
tes impedeixin, en cas necessari, que una persona no autoritzada
faci un s illegtim dels serveis dun altre usuari.
Introducci
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
6/19
Aspectes legals i normatius
La guia sha elaborat tenint en compte les recomanaci-
ons provinents de lestndard internacional ISO 27002,
que queden recollides en els segents controls:
11.2.3 Gesti de les contrasenyes dusuari
11.3.1 s de les contrasenyes
11.5.3 Sistema de gesti de les contrasenyes
El seguiment daquesta guia tamb afavoreix el com-
pliment dalguns aspectes del Reial Decret 1720/2007,
associat a la Llei Orgnica de Protecci de Dades de
Carcter Personal.
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
7/19
7
Qui no ha fet servir maiuna contrasenya?Avui dia necessitem contrasenyes per a moltes accions
gaireb diries. Tots sabem que les paraules de pas o
contrasenyes sn un mecanisme de control destinat a
evitar que una persona accedeixi de manera illegtima
a uns recursos o a una rea als quals no t accs ni
autoritzaci.
Normalment, quan volem accedir a un servei dInternet
hem domplir dos camps dinformaci (traduint en llen-
guatge visual, dues caselles en blanc):
- Lidenticador dusuari, que permet saber qui est
intentant accedir al recurs privat
- La contrasenya
Si la combinaci identicador dusuari contrasenya
introduda coincideix amb lexistent als sistemes dinfor-
maci, es considera que lusuari s legtim i se li conce-
deix accs al recurs o rea.
Si volem assegurar-nos que la nostra contrasenya s
segura, s important que aquesta compleixi amb un
conjunt de recomanacions que evitin que pugui ser fcil-
ment endevinada i, per tant, comprometre els recursos
als quals dna accs.
Introduint lesidees bsiques
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
8/19
Perills que podem crrer ambcontrasenyes dbils
Per qu les contrasenyes ja existentsen equips que provenen de fbricasn vulnerables?
Estrenant ordinador
Quan comprem un ordinador, el programari que ja hi ha
installat inclou identicadors dusuari i contrasenyes f-
cils dendevinar que ha introdut el mateix fabricant. Com
que el fabricant necessita crear aquesta informaci per
installar cadascun dels programes que hi haur a lor-
dinador, acostuma a fer servir paraules que no costin
dimaginar. De fet, moltes daquestes contrasenyes es
poden trobar sense gaire esfor a travs de la xarxa.
Aix, per exemple, se sap que les bases de dades SQL
Server inclouen de fbrica lidenticador dusuari sa i la
contrasenya en blanc.
Si ladministrador de sistemes duna organitzaci no
modica, com a mnim, la contrasenya per accedir amb
lidenticador dusuari vigent, correm el risc que qualse -
vol persona connectada a Internet pugui accedir sense
cap tipus dautoritzaci prvia al recurs informtic en
qesti i que lexploti o lalteri en beneci propi.
El mateix passa amb els equips congurats in situ pels
provedors. Posem un exemple: la installaci dun en-
caminador (en angls, router) sense ls. Aquests dispo-
sitius utilitzen una conguraci bsica, un identicador
dusuari i una contrasenya comuns associats al model
del dispositiu. Aquestes dades sn de lliure distribuci a
Internet i permeten al propietari de lencaminador dispo-
sar de la informaci pertinent per accedir i modicar els
parmetres de conguraci del dispositiu. Si no modi-
quem aquesta informaci, correm el risc que qualsevol
persona pugui utilitzar lliurement el dispositiu per nave-
gar a Internet o per accedir a la xarxa privada on es trobi
el dispositiu.
Si voleu un exemple real, us podem parlar dels encami-
nadors sense ls de la marca Zyxel. Aquests aparells
sn installats pels tcnics de les operadores amb iden-
ticador dusuari 1234 o admin i la contrasenya 1234.
Qu pot passar si no canviem lescontrasenyes que provenen
de fbrica?
Accs no autoritzat
Si un equip sinstalla en un entorn de producci corpo-
ratiu sense que se nhagin modicat les contrasenyes
que provenen de fbrica o sense haver inhabilitat els
comptes daccs associats a aquestes contrasenyes,
qualsevol internauta o treballador de lorganitzaci que
aconsegueixi contactar amb aquest dispositiu hi podr
accedir sense dicultat i explotar aquesta circumstncia
en beneci propi.
Denegaci de servei
Si un equip ha resultat comproms perqu una persona
no autoritzada hi ha pogut accedir, lintrs podria apagar
el dispositiu remotament o descongurar-lo i, en conse-
qncia, deixar-lo fora de servei.
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
9/19
9
Reencaminament de les comunicacions
Si lequip que ha resultat comproms s un dispositiu
de xarxa (encaminadors sense ls, encaminadors Ether-
net...), lintrs pot congurar el dispositiu per tal que les
comunicacions que traspassin aquest dispositiu siguin re-
dirigides o duplicades cap una mquina controlada per lin-
trs, amb la consegent prdua dinformaci corporativa.
Prdua dinformaci condencial
Quan un dispositiu sha vist comproms per un atacant,aquest pot aconseguir accs a la informaci emmagat-
zemada en el dispositiu afectat, o b pot interceptar les
comunicacions que traspassen aquest dispositiu.
Per qu cal denir una contrasenya
robusta personalitzada?Ja fa molt de temps que sentim a dir que no haurem de
fer servir mai la data del nostre naixement o algun altre
tipus dinformaci del nostre entorn com a contrasenya.
Per, qui de nosaltres no ho ha fet mai?
s important saber que, amb les eines actuals, resulta
relativament fcil descobrir contrasenyes formades per
paraules que apareixen en diccionaris lingstics o mots
colloquials. Ni tan sols serveix canviar la llengua del
nostre voltant per una destrangera.
En quins escenaris desagradables
ens podem trobar?
Prdua dinformaci condencial
Quan un dispositiu sha vist comproms per un atacant,
aquest pot:
- Aconseguir accs a la informaci emmagatzemada
en el dispositiu afectat
- Interceptar les comunicacions que traspassen
aquest dispositiu
Suplantaci didentitat
Si una tercera persona no autoritzada s capa dacce-
dir a un servei corporatiu fent servir el nostre compte
daccs, podr utilitzar el servei en el nostre nom, s a
dir, fent-se passar per nosaltres.
Idonetat en la utilitzaci deldesaament pregunta/resposta
Com es diu la teva via?
Una gran quantitat de sistemes dinformaci fan servir
un mtode de recuperaci de contrasenya basat en un
desaament de pregunta/resposta. Aquest mecanisme
ens permet modicar la nostra contrasenya de manera
autnoma en cas que lhaguem oblidada.
A vegades, aquests tipus de mecanismes utilitzen pre-
guntes ja denides i nosaltres noms nhem descollir
una. Aquestes qestions poden demanar-nos des del
nom de la nostra via ns el color que preferim passant
per la ciutat on vam passar les millors vacances.
Aix doncs, si oblidem la contrasenya podem arribar a
canviar-la si contestem de manera correcta la pregunta
que vam triar el dia que ens vam donar dalta del servei.
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
10/19
0
En quins escenaris desagradablesens podem trobar?
Accs no autoritzat
Si la nostra resposta a la pregunta escollida resulta evi-
dent (perqu t a veure amb la nostra realitat ms prxi-
ma i coneguda), correm el risc que alg proper a nosal-
tres pugui aconseguir accedir al servei i, un cop a dins,
modiqui la contrasenya per una que no coneixem. Fent
aix, aconseguir que no puguem accedir al servei en
un futur. Per evitar mals de cap, doncs, s recomanable
que les respostes siguin complexes i no tinguin relaci
amb la nostra vida ms pblica.
Suplantaci didentitat
Es produeix quan una tercera persona no autoritzada
s capa daccedir a un servei corporatiu en el nostre
nom. A travs de la suplantaci didentitat poden dir o fer
coses contrries a la nostra voluntat.
Utilitzaci de comptes daccs
genrics corporatius
Contrasenyes sabudes per uns quants
Moltes vegades, en entorns de treball, cal congurar un
compte daccs per a un grup de persones enlloc dun ac-
cs personalitzat per a cada usuari. En aquesta casos ens
trobem davant duna situaci on ms duna persona utilitza
un mateix identicador dusuari i contrasenya per a un sol
servei. Si b no es pot tenir la certesa de qui est fent qu
amb aquell compte daccs, s que es pot controlar la gent
que coneix la contrasenya per poder accedir al compte.
Hem de tenir en compte que les contrasenyes de grup
poden estar emmagatzemades per a la seva consulta
en algun tipus de suport en paper o electrnic.
A causa de la manca de privacitat estricta (les coneixen
ms duna persona, poden arribar a estar escrites) te-
nim entre mans contrasenyes altament vulnerables. Per
aquest motiu, lorganitzaci haur de tenir-ne especial
cura, sobretot si es permeten tasques a nivell dadminis-
traci de sistemes informtics.
En quins escenaris desagradablesens podem trobar?
Accs no autoritzat
Les contrasenyes que semmagatzemen per poder ser
consultades sn ms vulnerables, ja que poden ser des-
cobertes per persones no autoritzades.
Hem de tenir present que cal canviar contrasenyes quan
una persona abandona el grup o lorganitzaci. Si no ho
fem, correm el risc que lusuari sortint pugui accedir al
compte genric en un futur.
Prdua dinformaci condencial
Un usuari capa daccedir a un sistema dinformaci pot
tenir accs a la informaci condencial que shi emma-
gatzemi. Aquest aspecte s especialment crtic si qui hi
accedeix no hauria de tenir els permisos per fer-ho.
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
11/19
11
Utilitzaci de mecanismesde rotaci de contrasenyes
Exercitar la ment per a la seguretat
de la nostra informaci
Encara que haguem creat una contrasenya robusta, s
molt recomanable emprendre algun tipus de mesures de
seguretat complementries com ara el canvi peridic de
contrasenyes.
Tot i que resulta molest haver de canviar la clau daccs
contnuament, es tracta duna acci necessria per tal
de protegir la informaci corporativa que semmagatze-
ma als sistemes dinformaci.
s important que aquests mecanismes siguin coherents
amb el tipus dinformaci corporativa que sintenta protegir.
En quins escenaris desagradablesens podem trobar?Les amenaces associades a aquest escenari sn equi-
valents a les amenaces on una contrasenya sha vist
compromesa, ja que nalment el que compta s que
alg que no s lusuari legtim t accs a uns recursos
que no li corresponen.
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
12/19
Cadascun dels escenaris plantejats en aquesta guia ex-
posa un seguit damenaces que, si es materialitzen al
llarg del temps, en major o menor mesura tindran efec-
tes perjudicials per a lusuari, ladministrador de siste-
mes o ns i tot lorganitzaci a la qual pertanyen.
Per evitar que aix succeeixi, o per minimitzar-ne lefec-
te si s que lamenaa no es pot eliminar del tot, a con-
tinuaci us proporcionem un conjunt de recomanacions
dirigides a usuaris i administradors que gestionen con-trasenyes dins de lmbit professional.
Recomanacions per construir
contrasenyes robustes
- La longitud de la contrasenya s important. Com
ms llarga sigui la contrasenya, ms difcil dende-
vinar ser. Es recomana construir contrasenyes de,
com a mnim, vuit carcters.
- No deixar contrasenyes en blanc ni basades noms
en espais.
- Si la contrasenya s prou llarga per repeteix un
mateix carcter diverses vegades, perdr fora per-
qu resultar ms fcil dendevinar. Per tant, hem
devitar dutilitzar contrasenyes de lestil 111abcde.
- Per millorar la fortalesa de la contrasenya, aquesta
hauria de tenir una mica de tot:
o Nmeros
o Lletres majscules i minscules
o Carcters especials (*, +, $, %, &, @, !...)
Recomanacions
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
13/19
13
- Les contrasenyes robustes es poden millorar si in-
clouen espais en blanc i carcters que es generin
fent servir la tecla ALT Gr.
- Si b combinar carcters de diferents grups (vegeu
el punt immediatament superior) dna una fortalesa
considerable a la contrasenya, si els nmeros es col-
loquen al principi o al nal del conjunt, seran ms fcils
dendevinar que si apareixen en daltres posicions.
- Sempre s millor no utilitzar paraules que puguin
trobar-se en un diccionari, amb independncia de
lidioma emprat, ni tampoc informaci personal que
pugui ser deduda fcilment (data de naixement, DNI,
nom de les mascotes, noms de familiars, etc.), ja que
es poden endevinar amb facilitat. Tampoc no es re-
comana dutilitzar paraules de la cultura popular, en-
cara que no es trobin en diccionaris lingstics.
- Si tenim una contrasenya complexa, per cmode
que sigui, hem devitar reciclar-la afegint un nou dgit
a la contrasenya actual.
Recomanacions per preservar la privacitat de les
contrasenyes
- Mantenir les contrasenyes en secret. La contrase-
nya s ds exclusiu de lusuari o grup al qual per-
tany. Ning, a banda de nosaltres mateixos (o de les
persones que pertanyen al grup en concret), ha de
saber-la.
- Si s necessari emmagatzemar les contrasenyes
en un registre, aquest ha destar xifrat, amb laccs
controlat i accessible noms per a les persones au-
toritzades.
- Les contrasenyes no shan denviar ni escriure per
correu electrnic o mitjanant daltres serveis tele-
mtics sense xifrar.
- Mai no hem de donar la contrasenya a un usuariadministrador. Aquest disposa de les eines necess-
ries per canviar-la, sense necessitat de conixer la
contrasenya vigent.
- Hem de fer servir contrasenyes diferents per a cada
mbit. Si tenim una contrasenya per al correu per-
sonal i una altra per al de la feina i una de les dues
contrasenyes es veu compromesa, laltra continuar
sent segura.
Recomanacions per preservar la
vigncia de les contrasenyes
- Si ens trobem en un entorn crtic, les contrasenyes
han de tenir una vigncia mxima de 90 dies. Si es-
tem en un entorn amb informaci poc delicada, es
podr especicar un perode de temps ms ampli se-
gons les necessitats.
- En sistemes que estiguin exposats a xarxes pbliques,
la vigncia de les contrasenyes ha de ser proporcional
al risc i condencialitat de les dades que protegeixen.
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
14/19
4
- Sempre que sigui tcnicament possible, savisar a
lusuari que la contrasenya est a punt de caducar i
que ha de canviar-la amb alguns dies dantelaci (per
exemple: 5 dies abans).
- Hem devitar reutilitzar les 10 darreres contrasenyes.
- Si s tcnicament possible, el sistema validar la
qualitat de la contrasenya abans dacceptar-la.
- s aconsellable canviar la contrasenya amb la
primera connexi que realitzem al sistema, i tamb
quan ladministrador reinicialitzi la contrasenya.
- Les contrasenyes shauran dentregar de manera
segura als usuaris. Aqu teniu alguns mtodes v-
lids dentrega:
o Entrega personal
o Per correu electrnic xifrat
o Correu postal
o Missatgeria amb canal xifrat
o Correu intern precintat
- Hem de canviar la contrasenya si sospitem que dal-
tres persones en puguin tenir coneixement. Quedaran
exempts del compliment ISO 27002:2005 dels reque-
riments indicats en aquest apartat (vigncia i canvi de
contrasenya) els usuaris utilitzats per a tasques auto-
mtiques (execuci dscripts, transferncia de txers,
etc.), aix com entorns on lusuari no pugui realitzar el
canvi de contrasenya de forma automtica. En aquests
casos caldr aplicar controls addicionals com:
o Inhabilitar laccs a la consola del sistema
o Denir els mnims privilegis necessaris tant dac-
cs com dexecuci
o Mantenir un registre dels usuaris, indicant la per-
sona o grup responsable dels mateixos
o Per als entorns on lusuari no pugui realitzar
el canvi de forma automtica, el responsable
daquests haur de sollicitar un canvi de contra-
senya de forma peridica mitjanant els canals
establerts.
- La utilitzaci de llavors facilita la creaci i memorit-
zaci de les contrasenyes. Aqu teniu alguns exem-
ples orientatius:
o Llavor basada en frmules matemtiques:
5per%=0,05U
o Llavor basada en la memoritzaci duna frase:
Frase: Clau de la meva web per aquest any 2010
Clau de 14 carcters: CdLmWpAa2010
Hi ha un seguit de circumstncies, prpies de lmbit
de sistemes, que podrien condicionar la vigncia de les
contrasenyes i que, per tant, els administradors i respon-
sables de seguretat hauran dobservar particularment:
- Quan sintrodueixi la contrasenya en els sistemes,
mai no ha daparixer de manera visible o llegible a
la pantalla
- No s recomanable incloure contrasenyes sense
xifrar dins del codi daplicacions o scripts. Com a
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
15/19
15
alternativa, es poden emmagatzemar aquestes con-
trasenyes en txers amb accs restringit noms als
usuaris amb privilegis dexecuci
- Saconsella habilitar un sistema de protecci de
pantalla amb contrasenya que sactivar desprs de
ms de 15 minuts dinactivitat
- Els comptes dusuari es bloquejaran desprs dun
nmero nit dintents infructuosos daccs.
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
16/19
6
Actualment, tenim contrasenyes per a gaireb tot: per
accedir al mbil, per desactivar lalarma, ns i tot per en-
gegar el cotxe. Si ens traslladem del mn real al virtual,
ens trobem amb una multitud de serveis que requerei-
xen aquest tipus de validaci inicial.
Necessitem tantes contrasenyes que de vegades fem
servir sempre les mateixes per evitar loblit momentani.
Tot i aix, haurem danar amb ms cura i deixar la man-
dra aparcada en un rac, perqu algunes comoditatsacostumen a ser les causants de la manca de seguretat.
La contrasenya pertany a qui la fa servir. Noms nosal-
tres lhem de saber. Per aix, sempre hem de desconar
de correus electrnics o trucades que ens demanin vali-
daci o comprovaci de clau.
Hem de tenir present que una contrasenya t la nalitat
de protegir alguna cosa que s important per a nosal-
tres, per aquesta contrasenya no t sentit si no lutilit-
zem de manera correcta.
Aix que...
Una contrasenya per a cada cosa.Totes les contrasenyes al nostre cap.
NOMS al nostre.
Conclusions
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
17/19
17
Glossari
Contrasenya. Tipus dautenticaci que utilitza informa-
ci secreta per controlar laccs a un determinat servei,
recurs o sistema que requereixi una validaci prvia.
Desaaments pregunta - resposta. Conjunt de pre-
guntes que lusuari ha de respondre en un primer mo-
ment dinicialitzaci. En cas doblidar la contrasenya, si
lusuari contesta correctament les preguntes (introduint
les mateixes respostes que va donar en el moment de la
inicialitzaci), el sistema li permetr canviar la contrase-
nya sense haver dintroduir la contrasenya vigent.
Script. Conjunt dinstruccions tcniques a executar en
un sistema de manera automtica.
Referncies i enllaos web
Per elaborar la guia actual sha utilitzat com a referncia
la Guia de contrasenyes, del Centre de Telecomunicaci-
ons i Tecnologies de la Informaci de la Generalitat de
Catalunya (GE-GUI19-02).
A la xarxa es pot trobar informaci rellevant relacionada
amb la matria desenvolupada en aquesta guia:
- La importancia de una clave segura, Associaci dinter-
nautes, Octubre de 2009
http://www.internautas.org/html/1869.html
- Sacando el mximo provecho de TI: diez consejos fun-
damentales para la seguridad de su empresa, Cisco,
Juny de 2009
http://www.cisco.com/web/ES/solutions/smb/innovators/
how_to/articles/secure_my_business/essential_secu-
rity_tips.pdf
- Como cambiar la contrasea de la cuenta de servicios
omticos en red (Dominio Windows), Universidad Car-
los III de Madrid, Juny de 2009
http://www.uc3m.es/portal/page/portal/informatica/Nos-
Dedicamos/ServiciosCorporativos/DominioWindows/
ComoCambiar_la_Contra_Cuenta_Dominio
- Recomendaciones para la creacin y uso de contra-
seas seguras, INTECO, Novembre de 2007
ht tp : / /www.in teco.es /Segur idad/Observator io /
Estudios_e_Informes/Notas_y_Articulos/recomendaci-
ones_creacion_uso_contrasenas
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
18/19
8
- Ayude a proteger su informacin personal con contra-
seas seguras, Microsoft, Mar de 2006
http://www.microsoft.com/latam/athome/security/pri-
vacy/password.mspx
- Common Attacks and Possible Solutions, WindowSe-
curity.com, Gener de 2005
http://www.windowsecurity.com/articles/Passwords-At-
tacks-Solutions.html
- Gua detallada de aplicacin de directivas de contra-
seas seguras, Microsoft TechNet, Setembre de 2004
http://www.microsoft.com/spain/technet/recursos/arti-
culos/strngpw.mspx
Eines
Associaci dinternautes
Aplicaci per generar contrasenyes segures.
http://www.internautas.org/archivos/claves.zip
Cryptix
Aplicaci per generar contrasenyes segures.
http://www.rbcafe.com
Lame-industries software
Aplicaci per generar contrasenyes segures.
http://lame-industries.net
Password Manager
Eina de pagament que permet guardar i gestionar con-
trasenyes de manera segura.
http://www.cp-lab.com
Password Safe
Eina lliure que permet guardar i generar contrasenyes
de manera segura.
http://passwordsafe.sourceforge.net/
Recursos de suport en lnia
Clave Segura
Generador de contrasenyes segures en lnia.http://www.clavesegura.org/
Password
Generador de contrasenyes segures en lnia.
http://www.password.es/
Simple Password
Generador de contrasenyes segures en lnia.
http://www.simplepassword.com/
-
8/3/2019 Guia Per Gestionar Les Contrasenyes
19/19
www.cesicat.cat