Estoy suscrito a varios newsletters y de vez en cuando, viene algún artículo que vale la pena leer. El siguiente lo ví en el Database Weekly de SQLServerCentral.com

Editorial – Lessons Learned Pay Off

There was a time when I knew a few employers that hired IT workers just because of their certifications. I remember working hard to study and learn more about the systems I worked on. Certifications weren’t something I worried about until we hired a CNE at my job, strictly because of his certification. There was a rumor that everyone would need the certification, so I shifted my studying towards passing tests. The same thing happened a few years later when the MCSE became poular. I worked in a place that hired a “boot camp” MCSE, that once again, wasn’t that talented , but he had the letters after his name.

A few years later I got hired for a job that required an MCDBA. I didn’t have one, but they hired me on the proviso that I get one. The next year at my review I didn’t have it, apologized, and said I didn’t think it would help me with my job. They agreed, and I never finished the last couple exams I needed.

It seems that more employers are starting to realize that those letters after your name mean something, but not necessarily that you can do the job. Real world skills, experience, and accomplishments are becoming more important with many skills for which there aren’t certifications giving candidates a pay boost. This article talks about how the “certified premiums” in salary have dropped, and are becoming less and less valuable. It’s not a blanket statement as some specialties command more pay, but not many of the well known certifications. The biggest drops seem to be for the beginner certifications, like the MCTS.

I can’t say that I’m surprised as businesses need to do more and more with less resources, and are finding more and more that people that get certifications to get the certification, often can’t do the job at a high level. It’s more likely that someone with lots of experience that “gets around” to passing a test that is more qualified.

I don’t know how much value there is in the current set of certifications I’ve seen from Microsoft (I can’t speak to other vendors), but I do think that re-tooling the exams to be more like the MCM, maybe in a more focused and easier way, to incorporate candidates ability to solve problems and get real world solutions implemented, might make them more valuable. As they are now, I think that a certification can make you a more marketable candidate if you have experience, but without experience, I’m not sure it says much about your ability to do a job. I’d rather see you spend your time, and money, building a database and web site, showing me you can actually get something done.

Fuente: http://www.sqlservercentral.com/links/1183164/211044

Les quedo debiendo mi punto de vista, cuando me desocupe lo escribiré.

El nivel de seguridad de una contraseña no sólo se mide por su dificultad, sino también por qué tan obvia o desconocida es.

En la actualidad casi todos los sitios en internet (e incluso intranet) nos solicitan autenticarnos por medio de un PIN, códigos de acceso o contraseñas.

Desde banca electrónica hasta el correo electrónico utilizan esos métodos y son pocos aún los que implementan autenticación física por medio de tokens (por ejemplo el Laboratorio Nacional del Pacífico Noroeste, del depto de energía de US), que son los más fiables a la fecha.

Mientras esas tecnologías no estén disponibles, la contraseña es la única defensa entre: sus datos, dinero, privacidad y terceros.

Lo que no se debe hacer

Contraseñas simples numéricas o solo texto

Al momento de elegir una contraseña no utilice su nombre o de allegados, fechas importantes, nombres de mascotas ni afines en la contraseña, ya que esas son de las primeras variantes que un potencial intruso probaría para acceder a su información.

Tomemos con ejemplo “Napoleón Bonaparte” (15 – 8 – 1769) :

Contraseñas tales como napoleon69, nbonaparte15 o 1581769 resultan evidentes ante posibles atacantes.

Igual caso si se usan nombres de mascotas pues un intruso puede llegar a identificar esos datos muy facilmente. (próximante escribiré sobre eso).

Escribir la contraseña en papel

Dirán <<No, es que solo yo tengo acceso al papel>>, o <<lo tengo bien guardado>>, en ciertos casos eso es verdad, sin embargo el simple hecho de tener la contraseña escrita puede ser una gran debilidad, incluso me atrevería decir que quien escribe una contraseña en papel da indicio de una mala contraseña.

El punto radica en que la seguridad de la contraseña no solo está en su complejidad sino en qué tan desconocida es.

Tal como lo menciona Kevin Mitnick en su Libro “The art of Deception“, es cuestión de Ingeniería Social el obtener una contraseña (independiente de si es segura, está escrita o no), y aún más simple si está escrita.

Es por ello que a continuación escribiré un par de ejemplos de cómo crear una contraseña segura y fácilmente recordable (para el dueño ).

Pasos para crear una contraseña

0. Conociendo los peligros

Antes de ver en sí una sencilla guía de cómo crear su propia contraseña segura, analicemos los hechos “técnicos” que antentan contra la seguridad de una contraseña.

Lo ideal es que exista una contraseña por aplicación, es decir, una para el email, otra para la banca electrónica.

Por ejemplo, ¿sabía usted que con el actual poder computacional que ofrecen las últimas tecnologías, es posible descifrar una contraseña de 6 letras (por ejemplo: “segura” o “abcdef”) en tan sólo 5 minutos?.

Bueno no es para alarmarse, sino más bien para tener cuidado, pues este dato varía dependiendo de la complejidad de la contraseña. Por ejemplo, una que contenga mayúsculas, minúsculas, numeros y símbolos con una longitud de 8 caracteres (por ejemplo: w4&RhG21) tomaría unos 210 años en descifrarse.

Es por ello que una contraseña compleja es más segura, pero el lector probablemente vaya a pensar erradamente que entre más compleja resulte más difícil de memorizar, sin embargo esto no necesariamente es así, mas adelante en este artículo veremos porqué y cómo.

Otro punto importante es el mantenimiento de la contraseña, aunque halla elaborado una contraseña segura y no esté escrita en ningún papel, en internet, los posibles atacantes tienen algo que es envidiable. la paciencia.

En este instante se preguntará: ¿paciencia para probar contraseñas durante 210 años?, no exactamente, si no más bien para encontrar una forma de obtener su contraseña, ya sea de diferentes formas tecnológicas o sociales.

Tecnológicas: las tablas Rainbow por ejemplo, que consisten en listas gigantescas de contraseñas (de hecho, todas las posibles variantes de hasta 14 letras ). Con tales tablas se puede crear y ejecutar un programa que intenta “iniciar sesión” en algún sitio (como por ejemplo en la página de un banco) hasta que acierte, sin embargo está limitada por qué tan seguro sea el sitio o aplicación que se busca accesar, ya que ciertos sitios imponen un máximo de intentos, al transcurrir ese máximo la cuenta se bloquea de alguna forma, pero como digo, son ciertos sitios los que aplican estos mecanismos automatizados.

De hecho, el sitio de redes sociales HI5, no impone bloqueo tras intentos, por lo que podría ser sujeto de este tipo de ataques llamados fuerza bruta.

Sociales: y humanas, que es en esencia el eslabón más débil de la seguridad, pues de diversas formas de convencimiento y persuación la persona más talentosa (e inescrupulosa) puede obtener datos privados de formas muy simples, por lo que resulta de especial consideración guardar la contraseña de forma recelosa.

Ya conociendo los riesgos que corren las claves de seguridad, procedamos a ver las técnicas adecuadas para crear una contraseña segura y memorable.

1. Seleccionando una frase

Para crear una contraseña facilmente recordable hay que darle sentido, es decir, la combinación de números, letras y símbolos tienen que cobrar algún significado ante el dueño de la misma.

La frase tiene que cobrar sentido para el dueño de la contraseña, esto ayuda a recordarla.

Por ejemplo, supongamos que el usuario le gusta la música de los Rolling Stones, y se basa en una de sus piezas(Paint it black) para crear la contraseña, tomemos como referencia:

I see a red door and I want it painted black

2. Ofuscando  el texto

Como la frase es algo larga, resultaría tedioso tener que escribir tantos caracteres, es por ello que para el ejemplo seleccionamos las iniciales para empezar a formar la contraseña:

I see a red door and I want it painted black

Con lo que tendríamos de base Isardaiwipb (10 caracteres)

3. Reemplazando por otros signos

No es conveniente dejar Isardaiwipb como contraseña, por lo riesgos antes mencionados, así que démosle un poco más de seguridad.

Para ello se realiza una sustitución de caracteres por otros que sean parecidos, por ejemplo:

$ => S  4 => A  1=>I  8 => B

Resultando en:

1$4rd41w1p8

Memorizarla no debe resultar tan difícil, pues si se toma en cuenta cada caracter tiene significado.

1 $ee 4 red door 4nd 1 want 1t painted 8lack

4. Consideraciones finales y mantenimiento de la contraseña

Como regla general, ningún sistema es inviolable, ya sea por las razones tecnológicas o humanas anteriormente mencionadas, es por ello que conviene actualizarla cada cierto tiempo prudencial, no existe una regla que diga: “Las contraseñas con n-tiempo de edad son inseguras”, pues eso depende del sistema que se utilice, el contexto  y por supuesto, de la relevancia de los datos que se protejan.

Sin embargo es una buena práctica cambiar de contraseña regularmente.