GUIA DE GESTI DE CONTRASENYES

ndex
3 5 5 6 Qui fem aquesta guia I aquesta guia, per a qui s? I aquesta guia, qu busca? Aspectes legals i normatius 10 Utilitzaci de comptes daccs genrics corporatius 7 7 Introduint les idees bsiques Qui no ha fet servir mai una contrasenya? 10 10 Contrasenyes sabudes per uns quants En quins escenaris desagradables ens podem trobar? 8 Perills que podem crrer amb contrasenyes dbils 8 Per qu les contrasenyes ja existents en 11 Utilitzaci de mecanismes de rotaci de contrasenyes 8 8 Estrenant ordinador Qu pot passar si no canviem les contrasenyes que provenen de fbrica? 8 8 9 9 Accs no autoritzat Denegaci de servei Reencaminament de les comunicacions Prdua dinformaci confidencial 12 12 Recomanacions Recomanacions per construir contrasenyes robustes 9 Per qu cal definir una contrasenya robusta personalitzada? 9 En quins escenaris desagradables ens podem trobar? 9 9 Prdua dinformaci confidencial Suplantaci didentitat 16 17 9 Idonetat en la utilitzaci del desafiament pregunta/resposta 9 Com es diu la teva via? 17 18 18 Conclusions Glossari Referncies i enllaos web Eines Recursos de suport en lnia 13 12 Recomanacions per preservar la privacitat de les contrasenyes Recomanacions per preservar la vigncia 11 11 Exercitar la ment per a la seguretat de la nostra informaci En quins escenaris desagradables ens podem trobar? 10 10 Accs no autoritzat Prdua dinformaci confidencial 10 10 Accs no autoritzat Suplantaci didentitat

equips que provenen de fbrica sn vulnerables?

de les contrasenyes

10

En quins escenaris desagradables ens podem trobar?

Qui fem aquesta guia

El Centre de Seguretat de la Informaci de Catalunya, CESICAT, s lorganisme executor del Pla nacional dimpuls de la seguretat TIC aprovat pel govern de la Generalitat de Catalunya el 17 de mar de 2009. La missi daquest pla s la de garantir una Societat de la Informaci Segura Catalana per a tots. Amb aquesta finalitat, es crea el CESICAT com a eina per a la generaci dun teixit empresarial catal daplicacions i serveis de seguretat TIC que sigui referent nacional i internacional. www.cesicat.cat Amb lobjectiu de proporcionar unes bones prctiques i uns coneixements mnims en seguretat de la informaci, el CESICAT ofereix com a servei preventiu un conjunt de guies de seguretat adreades a ciutadans, empreses, administracions pbliques i universitats. La forma jurdica del CESICAT s la de fundaci del sector pblic de ladministraci de la Generalitat.

El Pla nacional dimpuls de la seguretat TIC a Catalunya sestructura al voltant de quatre objectius estratgics principals que seran desenvolupats pel CESICAT:

Executar lestratgia nacional de seguretat TIC establerta pel Govern de la Generalitat de Catalunya Donar suport a la protecci de les infraestructures crtiques TIC nacionals Promocionar un teixit empresarial catal slid en seguretat TIC Incrementar la confiana i protecci de la ciutadania catalana en la societat de la informaci.

El contingut de la present guia s titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya i resta subjecta a la llicncia de Creative Commons BYNC-ND. Lautoria de lobra es reconeixer mitjanant la inclusi de la segent menci:

Respecte daquesta llicncia caldr tenir en compte el segent:

Modificaci: Qualsevol de les condicions de la present llicncia podr ser modificada si vost disposa de permisos del titular dels drets.

Altres drets: En cap cas els segents drets restaran Obra titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya. Llicenciada sota la llicncia CC BY-NC-ND. La present guia es publica sense cap garantia especfica sobre el contingut. Els drets del titular sobre els logos, marques o qualsevol altre element de propietat intellectual o industrial incls a les guies. Es permet tan sols ls daquests elements per a exercir els drets reconeguts a la llicncia. Els drets morals de lautor. Lesmentada llicncia t les segents particularitats: Vost s lliure de: Els drets que altres persones poden tenir sobre el contingut o respecte de com sempra la obra, tals com drets de publicitat o de privacitat. Copiar, distribuir i comunicar pblicament la obra. Avs: En reutilitzar o distribuir la obra, cal que sesmenSota les condicions segents: tin clarament els termes de la llicncia daquesta obra. afectats per la present llicncia:.

Reconeixement: Sha de reconixer lautoria de la obra de la manera especificada per lautor o el llicenciador (en tot cas no de manera que suggereixi que gaudeix del seu suport o que dona suport a la seva obra).

El text complert de la llicncia pot ser consultat a http://creativecommons.org/licenses/by-ncnd/3.0/es/legalcode.ca.

No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals.

Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir daquesta obra.

Introducci

I aquesta guia, per a qui s?

Aquesta guia est dirigida a usuaris duniversitats i centres de recerca, administracions pbliques catalanes i pimes que utilitzen uns serveis telemtics dins lentorn professional que requereixen ls de contrasenyes daccs.

Aquesta guia tamb est pensada per als administradors de sistemes, ja que ells sn els encarregats de configurar els perfils daccs i les poltiques de seguretat en els sistemes dinformaci.

Els responsables de seguretat dempreses i organitzacions la poden fer servir per conscienciar els treballadors i les persones de lentitat en general sobre la importncia de gestionar les contrasenyes de manera correcta.

5
Les organitzacions que en un futur prxim vulguin implantar un Sistema de Gesti per a la Seguretat de la Informaci (SGSI), poden tenir en compte les recomanacions daquesta guia durant la implantaci prvia a la superaci del procs de certificaci.

I aquesta guia, qu busca? Aquest document pretn proporcionar recomanacions genriques a lhora de crear i gestionar les paraules de pas per tal que aquestes impedeixin, en cas necessari, que una persona no autoritzada faci un s illegtim dels serveis dun altre usuari.

Aspectes legals i normatius La guia sha elaborat tenint en compte les recomanacions provinents de lestndard internacional ISO 27002, que queden recollides en els segents controls: 11.2.3 Gesti de les contrasenyes dusuari 11.3.1 s de les contrasenyes 11.5.3 Sistema de gesti de les contrasenyes

El seguiment daquesta guia tamb afavoreix el compliment dalguns aspectes del Reial Decret 1720/2007, associat a la Llei Orgnica de Protecci de Dades de Carcter Personal.

Guia de gesti de contrasenyes

Introduint les idees bsiques

Qui no ha fet servir mai una contrasenya?

Avui dia necessitem contrasenyes per a moltes accions gaireb diries. Tots sabem que les paraules de pas o contrasenyes sn un mecanisme de control destinat a evitar que una persona accedeixi de manera illegtima a uns recursos o a una rea als quals no t accs ni autoritzaci.

Normalment, quan volem accedir a un servei dInternet hem domplir dos camps dinformaci (traduint en llenguatge visual, dues caselles en blanc):

- Lidentificador dusuari, que permet saber qui est intentant accedir al recurs privat - La contrasenya

Si la combinaci identificador dusuari contrasenya introduda coincideix amb lexistent als sistemes dinformaci, es considera que lusuari s legtim i se li concedeix accs al recurs o rea.

Si volem assegurar-nos que la nostra contrasenya s segura, s important que aquesta compleixi amb un conjunt de recomanacions que evitin que pugui ser fcilment endevinada i, per tant, comprometre els recursos als quals dna accs.

Perills que podem crrer amb contrasenyes dbils Per qu les contrasenyes ja existents en equips que provenen de fbrica sn vulnerables?
Estrenant ordinador Quan comprem un ordinador, el programari que ja hi ha installat inclou identificadors dusuari i contrasenyes fcils dendevinar que ha introdut el mateix fabricant. Com que el fabricant necessita crear aquesta informaci per installar cadascun dels programes que hi haur a lordinador, acostuma a fer servir paraules que no costin dimaginar. De fet, moltes daquestes contrasenyes es poden trobar sense gaire esfor a travs de la xarxa. Aix, per exemple, se sap que les bases de dades SQL Server inclouen de fbrica lidentificador dusuari sa i la

Internet i permeten al propietari de lencaminador disposar de la informaci pertinent per accedir i modificar els parmetres de configuraci del dispositiu. Si no modifiquem aquesta informaci, correm el risc que qualsevol persona pugui utilitzar lliurement el dispositiu per navegar a Internet o per accedir a la xarxa privada on es trobi el dispositiu.

Si voleu un exemple real, us podem parlar dels encaminadors sense fils de la marca Zyxel. Aquests aparells sn installats pels tcnics de les operadores amb identificador dusuari 1234 o admin i la contrasenya 1234.

Qu pot passar si no canviem les contrasenyes que provenen de fbrica?

Accs no autoritzat Si un equip sinstalla en un entorn de producci corpo-

contrasenya en blanc.

Si ladministrador de sistemes duna organitzaci no modifica, com a mnim, la contrasenya per accedir amb lidentificador dusuari vigent, correm el risc que qualsevol persona connectada a Internet pugui accedir sense cap tipus dautoritzaci prvia al recurs informtic en qesti i que lexploti o lalteri en benefici propi.

ratiu sense que se nhagin modificat les contrasenyes que provenen de fbrica o sense haver inhabilitat els comptes daccs associats a aquestes contrasenyes, qualsevol internauta o treballador de lorganitzaci que aconsegueixi contactar amb aquest dispositiu hi podr accedir sense dificultat i explotar aquesta circumstncia en benefici propi.

El mateix passa amb els equips configurats in situ pels provedors. Posem un exemple: la installaci dun encaminador (en angls, router) sense fils. Aquests dispositius utilitzen una configuraci bsica, un identificador dusuari i una contrasenya comuns associats al model del dispositiu. Aquestes dades sn de lliure distribuci a Denegaci de servei Si un equip ha resultat comproms perqu una persona no autoritzada hi ha pogut accedir, lintrs podria apagar el dispositiu remotament o desconfigurar-lo i, en conseqncia, deixar-lo fora de servei.

Guia de gesti de contrasenyes

Reencaminament de les comunicacions Si lequip que ha resultat comproms s un dispositiu de xarxa (encaminadors sense fils, encaminadors Ethernet...), lintrs pot configurar el dispositiu per tal que les comunicacions que traspassin aquest dispositiu siguin redirigides o duplicades cap una mquina controlada per lintrs, amb la consegent prdua dinformaci corporativa.

- Aconseguir accs a la informaci emmagatzemada en el dispositiu afectat - Interceptar les comunicacions que traspassen aquest dispositiu

Suplantaci didentitat Si una tercera persona no autoritzada s capa daccedir a un servei corporatiu fent servir el nostre compte

Prdua dinformaci confidencial Quan un dispositiu sha vist comproms per un atacant, aquest pot aconseguir accs a la informaci emmagatzemada en el dispositiu afectat, o b pot interceptar les comunicacions que traspassen aquest dispositiu.

daccs, podr utilitzar el servei en el nostre nom, s a dir, fent-se passar per nosaltres.

Idonetat en la utilitzaci del desafiament pregunta/resposta

Com es diu la teva via? Una gran quantitat de sistemes dinformaci fan servir un mtode de recuperaci de contrasenya basat en un desafiament de pregunta/resposta. Aquest mecanisme ens permet modificar la nostra contrasenya de manera autnoma en cas que lhaguem oblidada.

Per qu cal definir una contrasenya robusta personalitzada?

Ja fa molt de temps que sentim a dir que no haurem de fer servir mai la data del nostre naixement o algun altre tipus dinformaci del nostre entorn com a contrasenya. Per, qui de nosaltres no ho ha fet mai?

s important saber que, amb les eines actuals, resulta relativament fcil descobrir contrasenyes formades per paraules que apareixen en diccionaris lingstics o mots colloquials. Ni tan sols serveix canviar la llengua del nostre voltant per una destrangera.

A vegades, aquests tipus de mecanismes utilitzen preguntes ja definides i nosaltres noms nhem descollir una. Aquestes qestions poden demanar-nos des del nom de la nostra via fins el color que preferim passant per la ciutat on vam passar les millors vacances.

En quins escenaris desagradables ens podem trobar?

Prdua dinformaci confidencial Quan un dispositiu sha vist comproms per un atacant, aquest pot:

Aix doncs, si oblidem la contrasenya podem arribar a canviar-la si contestem de manera correcta la pregunta que vam triar el dia que ens vam donar dalta del servei.

En quins escenaris desagradables ens podem trobar?

Accs no autoritzat Si la nostra resposta a la pregunta escollida resulta evident (perqu t a veure amb la nostra realitat ms prxima i coneguda), correm el risc que alg proper a nosaltres pugui aconseguir accedir al servei i, un cop a dins, modifiqui la contrasenya per una que no coneixem. Fent aix, aconseguir que no puguem accedir al servei en un futur. Per evitar mals de cap, doncs, s recomanable que les respostes siguin complexes i no tinguin relaci amb la nostra vida ms pblica.

poden estar emmagatzemades per a la seva consulta en algun tipus de suport en paper o electrnic.

A causa de la manca de privacitat estricta (les coneixen ms duna persona, poden arribar a estar escrites) tenim entre mans contrasenyes altament vulnerables. Per aquest motiu, lorganitzaci haur de tenir-ne especial cura, sobretot si es permeten tasques a nivell dadministraci de sistemes informtics.

En quins escenaris desagradables ens podem trobar?

Accs no autoritzat Les contrasenyes que semmagatzemen per poder ser consultades sn ms vulnerables, ja que poden ser descobertes per persones no autoritzades. Hem de tenir present que cal canviar contrasenyes quan una persona abandona el grup o lorganitzaci. Si no ho fem, correm el risc que lusuari sortint pugui accedir al

Suplantaci didentitat Es produeix quan una tercera persona no autoritzada s capa daccedir a un servei corporatiu en el nostre nom. A travs de la suplantaci didentitat poden dir o fer

10

coses contrries a la nostra voluntat.

Utilitzaci de comptes daccs genrics corporatius

Contrasenyes sabudes per uns quants Moltes vegades, en entorns de treball, cal configurar un compte daccs per a un grup de persones enlloc dun accs personalitzat per a cada usuari. En aquesta casos ens trobem davant duna situaci on ms duna persona utilitza un mateix identificador dusuari i contrasenya per a un sol servei. Si b no es pot tenir la certesa de qui est fent qu amb aquell compte daccs, s que es pot controlar la gent que coneix la contrasenya per poder accedir al compte. Hem de tenir en compte que les contrasenyes de grup

compte genric en un futur.

Prdua dinformaci confidencial Un usuari capa daccedir a un sistema dinformaci pot tenir accs a la informaci confidencial que shi emmagatzemi. Aquest aspecte s especialment crtic si qui hi accedeix no hauria de tenir els permisos per fer-ho.

Guia de gesti de contrasenyes

Utilitzaci de mecanismes de rotaci de contrasenyes

Exercitar la ment per a la seguretat de la nostra informaci Encara que haguem creat una contrasenya robusta, s molt recomanable emprendre algun tipus de mesures de seguretat complementries com ara el canvi peridic de contrasenyes.

Tot i que resulta molest haver de canviar la clau daccs contnuament, es tracta duna acci necessria per tal de protegir la informaci corporativa que semmagatzema als sistemes dinformaci.

s important que aquests mecanismes siguin coherents amb el tipus dinformaci corporativa que sintenta protegir.

11

En quins escenaris desagradables ens podem trobar?

Les amenaces associades a aquest escenari sn equivalents a les amenaces on una contrasenya sha vist compromesa, ja que finalment el que compta s que alg que no s lusuari legtim t accs a uns recursos que no li corresponen.

Recomanacions

Cadascun dels escenaris plantejats en aquesta guia exposa un seguit damenaces que, si es materialitzen al llarg del temps, en major o menor mesura tindran efectes perjudicials per a lusuari, ladministrador de sistemes o fins i tot lorganitzaci a la qual pertanyen.

Per evitar que aix succeeixi, o per minimitzar-ne lefecte si s que lamenaa no es pot eliminar del tot, a continuaci us proporcionem un conjunt de recomanacions dirigides a usuaris i administradors que gestionen contrasenyes dins de lmbit professional.

Recomanacions per construir contrasenyes robustes

- La longitud de la contrasenya s important. Com ms llarga sigui la contrasenya, ms difcil dendevinar ser. Es recomana construir contrasenyes de,

12

com a mnim, vuit carcters.

- No deixar contrasenyes en blanc ni basades noms en espais.

- Si la contrasenya s prou llarga per repeteix un mateix carcter diverses vegades, perdr fora perqu resultar ms fcil dendevinar. Per tant, hem devitar dutilitzar contrasenyes de lestil 111abcde.

- Per millorar la fortalesa de la contrasenya, aquesta hauria de tenir una mica de tot: o Nmeros o Lletres majscules i minscules o Carcters especials (*, +, $, %, &, @, !...)

Guia de gesti de contrasenyes

- Les contrasenyes robustes es poden millorar si inclouen espais en blanc i carcters que es generin fent servir la tecla ALT Gr.

- Si s necessari emmagatzemar les contrasenyes en un registre, aquest ha destar xifrat, amb laccs controlat i accessible noms per a les persones autoritzades.

- Si b combinar carcters de diferents grups (vegeu el punt immediatament superior) dna una fortalesa considerable a la contrasenya, si els nmeros es colloquen al principi o al final del conjunt, seran ms fcils dendevinar que si apareixen en daltres posicions. - Mai no hem de donar la contrasenya a un usuari - Sempre s millor no utilitzar paraules que puguin trobar-se en un diccionari, amb independncia de lidioma emprat, ni tampoc informaci personal que pugui ser deduda fcilment (data de naixement, DNI, nom de les mascotes, noms de familiars, etc.), ja que es poden endevinar amb facilitat. Tampoc no es recomana dutilitzar paraules de la cultura popular, encara que no es trobin en diccionaris lingstics. - Hem de fer servir contrasenyes diferents per a cada mbit. Si tenim una contrasenya per al correu personal i una altra per al de la feina i una de les dues contrasenyes es veu compromesa, laltra continuar sent segura. - Si tenim una contrasenya complexa, per cmode que sigui, hem devitar reciclar-la afegint un nou dgit a la contrasenya actual. Recomanacions per preservar la privacitat de les contrasenyes - Si ens trobem en un entorn crtic, les contrasenyes han de tenir una vigncia mxima de 90 dies. Si es- Mantenir les contrasenyes en secret. La contrasenya s ds exclusiu de lusuari o grup al qual pertany. Ning, a banda de nosaltres mateixos (o de les persones que pertanyen al grup en concret), ha de saber-la. - En sistemes que estiguin exposats a xarxes pbliques, la vigncia de les contrasenyes ha de ser proporcional al risc i confidencialitat de les dades que protegeixen. tem en un entorn amb informaci poc delicada, es podr especificar un perode de temps ms ampli segons les necessitats. administrador. Aquest disposa de les eines necessries per canviar-la, sense necessitat de conixer la contrasenya vigent. - Les contrasenyes no shan denviar ni escriure per correu electrnic o mitjanant daltres serveis telemtics sense xifrar.

13

Recomanacions per preservar la vigncia de les contrasenyes

- Sempre que sigui tcnicament possible, savisar a lusuari que la contrasenya est a punt de caducar i que ha de canviar-la amb alguns dies dantelaci (per exemple: 5 dies abans).

o Inhabilitar laccs a la consola del sistema o Definir els mnims privilegis necessaris tant daccs com dexecuci o Mantenir un registre dels usuaris, indicant la persona o grup responsable dels mateixos

- Hem devitar reutilitzar les 10 darreres contrasenyes.

o Per als entorns on lusuari no pugui realitzar el canvi de forma automtica, el responsable

- Si s tcnicament possible, el sistema validar la qualitat de la contrasenya abans dacceptar-la.

daquests haur de sollicitar un canvi de contrasenya de forma peridica mitjanant els canals establerts.

- s aconsellable canviar la contrasenya amb la primera connexi que realitzem al sistema, i tamb quan ladministrador reinicialitzi la contrasenya. - La utilitzaci de llavors facilita la creaci i memoritzaci de les contrasenyes. Aqu teniu alguns exemples orientatius: - Les contrasenyes shauran dentregar de manera segura als usuaris. Aqu teniu alguns mtodes vlids dentrega: o Entrega personal o Llavor basada en frmules matemtiques: 5per%=0,05U o Llavor basada en la memoritzaci duna frase: Frase: Clau de la meva web per aquest any 2010 Clau de 14 carcters: CdLmWpAa2010

14

o Per correu electrnic xifrat o Correu postal o Missatgeria amb canal xifrat o Correu intern precintat

Hi ha un seguit de circumstncies, prpies de lmbit de sistemes, que podrien condicionar la vigncia de les

- Hem de canviar la contrasenya si sospitem que daltres persones en puguin tenir coneixement. Quedaran exempts del compliment ISO 27002:2005 dels requeriments indicats en aquest apartat (vigncia i canvi de contrasenya) els usuaris utilitzats per a tasques automtiques (execuci dscripts, transferncia de fitxers, etc.), aix com entorns on lusuari no pugui realitzar el canvi de contrasenya de forma automtica. En aquests casos caldr aplicar controls addicionals com:

contrasenyes i que, per tant, els administradors i responsables de seguretat hauran dobservar particularment:

- Quan sintrodueixi la contrasenya en els sistemes, mai no ha daparixer de manera visible o llegible a la pantalla

- No s recomanable incloure contrasenyes sense xifrar dins del codi daplicacions o scripts. Com a

Guia de gesti de contrasenyes

alternativa, es poden emmagatzemar aquestes contrasenyes en fitxers amb accs restringit noms als usuaris amb privilegis dexecuci

- Saconsella habilitar un sistema de protecci de pantalla amb contrasenya que sactivar desprs de ms de 15 minuts dinactivitat

- Els comptes dusuari es bloquejaran desprs dun nmero finit dintents infructuosos daccs.

15

Conclusions

Actualment, tenim contrasenyes per a gaireb tot: per accedir al mbil, per desactivar lalarma, fins i tot per engegar el cotxe. Si ens traslladem del mn real al virtual, ens trobem amb una multitud de serveis que requereixen aquest tipus de validaci inicial.

Necessitem tantes contrasenyes que de vegades fem servir sempre les mateixes per evitar loblit momentani. Tot i aix, haurem danar amb ms cura i deixar la mandra aparcada en un rac, perqu algunes comoditats acostumen a ser les causants de la manca de seguretat.

La contrasenya pertany a qui la fa servir. Noms nosaltres lhem de saber. Per aix, sempre hem de desconfiar de correus electrnics o trucades que ens demanin validaci o comprovaci de clau.

Hem de tenir present que una contrasenya t la finalitat

16

de protegir alguna cosa que s important per a nosaltres, per aquesta contrasenya no t sentit si no lutilitzem de manera correcta.

Aix que...

Una contrasenya per a cada cosa. Totes les contrasenyes al nostre cap. NOMS al nostre.

Guia de gesti de contrasenyes

Glossari
Contrasenya. Tipus dautenticaci que utilitza informaci secreta per controlar laccs a un determinat servei, recurs o sistema que requereixi una validaci prvia.

Referncies i enllaos web

Per elaborar la guia actual sha utilitzat com a referncia la Guia de contrasenyes, del Centre de Telecomunicacions i Tecnologies de la Informaci de la Generalitat de Catalunya (GE-GUI19-02).

Desafiaments pregunta - resposta. Conjunt de preguntes que lusuari ha de respondre en un primer moment dinicialitzaci. En cas doblidar la contrasenya, si lusuari contesta correctament les preguntes (introduint les mateixes respostes que va donar en el moment de la inicialitzaci), el sistema li permetr canviar la contrasenya sense haver dintroduir la contrasenya vigent. - La importancia de una clave segura, Associaci dinternautes, Octubre de 2009 http://www.internautas.org/html/1869.html A la xarxa es pot trobar informaci rellevant relacionada amb la matria desenvolupada en aquesta guia:

Script. Conjunt dinstruccions tcniques a executar en un sistema de manera automtica.

- Sacando el mximo provecho de TI: diez consejos fundamentales para la seguridad de su empresa, Cisco, Juny de 2009 http://www.cisco.com/web/ES/solutions/smb/innovators/ how_to/articles/secure_my_business/essential_security_tips.pdf

17

- Como cambiar la contrasea de la cuenta de servicios ofimticos en red (Dominio Windows), Universidad Carlos III de Madrid, Juny de 2009 http://www.uc3m.es/portal/page/portal/informatica/NosDedicamos/ServiciosCorporativos/DominioWindows/ ComoCambiar_la_Contra_Cuenta_Dominio

- Recomendaciones para la creacin y uso de contraseas seguras, INTECO, Novembre de 2007 h t t p: // w w w. i n t e c o.e s / S e g u r i d a d / O b s e r va t o r i o / Estudios_e_Informes/Notas_y_Articulos/recomendaciones_creacion_uso_contrasenas

- Ayude a proteger su informacin personal con contraseas seguras, Microsoft, Mar de 2006 http://www.microsoft.com/latam/athome/security/privacy/password.mspx

Password Safe Eina lliure que permet guardar i generar contrasenyes de manera segura. http://passwordsafe.sourceforge.net/

- Common Attacks and Possible Solutions, WindowSecurity.com, Gener de 2005 http://www.windowsecurity.com/articles/Passwords-Attacks-Solutions.html Clave Segura Generador de contrasenyes segures en lnia. - Gua detallada de aplicacin de directivas de contraseas seguras, Microsoft TechNet, Setembre de 2004 http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx Password Generador de contrasenyes segures en lnia. http://www.password.es/ http://www.clavesegura.org/

Recursos de suport en lnia

Eines
Simple Password Associaci dinternautes Generador de contrasenyes segures en lnia. http://www.simplepassword.com/

18

Aplicaci per generar contrasenyes segures. http://www.internautas.org/archivos/claves.zip

Cryptix Aplicaci per generar contrasenyes segures. http://www.rbcafe.com

Lame-industries software Aplicaci per generar contrasenyes segures. http://lame-industries.net

Password Manager Eina de pagament que permet guardar i gestionar contrasenyes de manera segura. http://www.cp-lab.com

Guia de gesti de contrasenyes

www.cesicat.cat