Consultas Online
Consulta formulada por:
¿Qué significa "almacenamiento ininteligible de contraseñas"?
16.07.15
Hola,
En el ámbito de la protección de datos, ¿qué significa “almacenamiento ininteligible de contraseñas”?. Entiendo que es algo relacionado con almacenarlas para que no se pueda acceder a ellas, pero no sabemos cómo hacerlo ¿cuál sería el procedimiento?
Gracias
Respuestas
Opinión anónima
16.07.15
No es que no se pueda acceder a ellas. Es que aún que accediendo a ellas estén encriptadas o codificadas de tal manera que no se puedan utilizar.
Los romanos ya utilizaban una técnica muy sencilla que era sustituir cada letra del mensaje por otra que se obtenía desplazando la posición actual más una cantidad definida.
Por ejemplo IBM aplicando -1 seria HAL.
Existente multitud de algoritmos que permiten encriptar y desencriptar los textos o claves. Según tus necesidades puedes ir a lo fácil o complicarlo.
Por seguridad lo más adecuado sería un algoritmo que te permitiera codificar-decodificar “con un texto base” sobre la clave.
Opinión anónima
16.07.15
No es que no se pueda acceder a ellas. Es que aún que accediendo a ellas estén encriptadas o codificadas de tal manera que no se puedan utilizar.
Los romanos ya utilizaban una técnica muy sencilla que era sustituir cada letra del mensaje por otra que se obtenía desplazando la posición actual más una cantidad definida.
Por ejemplo IBM aplicando -1 seria HAL.
Existente multitud de algoritmos que permiten encriptar y desencriptar los textos o claves. Según tus necesidades puedes ir a lo fácil o complicarlo.
Por seguridad lo más adecuado sería un algoritmo que te permitiera codificar-decodificar “con un texto base” sobre la clave.
Opinión anónima
16.07.15
Entiendo que estas haciendo referencia a la normativa Española en el artículo 93.4 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
““El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible”.”
Lo que te estan diciendo es que no puede tener las contraseñas almacenadas en un fichero de texto plano, o sea un txt de toda la vida o un post-it.
Debes almacenarlas en un gestor de contraseñas que las mantenga encriptadas (osea codificadas) y no sean accesibles de manera directa sin un proceso de desencriptado previo.
Para esto tienes varias alternativas, puede bajarte algun software, que los hay muchos y gratuitos que cumplen con este proposito (también los hay de pago), pero te recomiendo que tengas un sistema de copias de seguridad o bien mirar ahora servicios hospedados (gratuitos y de pago) en la nube.
Te dejo unos articulos para que consultes, pero en google puedes encontrar más información.
http://www.genbeta.com/web/especial-contrasenas-seguras-cinco-herramientas-para-gestionar-contrasenas-online
http://www.genbeta.com/genbeta/especial-contrasenas-seguras-aplicaciones-para-almacenar-contrasenas-en-windows
http://www.redeszone.net/2012/09/30/servicios-para-guardar-contrasenas-en-la-nube-de-forma-segura/
Si aún así tienes problemas, no dudes en ponerte en contacto conmigo y vemos que se puede hacer.
Luis L
luis.larrion@gmail.com
Aportada por:
Diseñador y consultor de proyectos de cooperación
Trabaja en:
Asesor particular
16.07.15
Hola,
Como muy bien te comenta mi colega Luis, es una cuestión del modo en que se guarda las contraseñas. A nivel legal el artículo 93.4 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal explicita esta cuestión.
En resumidas cuentas las contraseñas deben almacenarse de forma cifrada, y para eso precisas software específico. Te recomiendo leer este artículo al respecto: “Manejo y almacenamiento de las contraseñas” de Álvaro Aritio.
Por otro lado ya hay consultas en este portal
...donde se plantean cuestiones tangenciales y relacionadas con este asunto.
Será muy útil que nos comentes qué soluciones adoptas o que precises más el contexto de tu consulta y gustosamente te ayudaremos.
Un saludo inteligible,
Marc Masmiquel
@marcmasmiquel
Aportada por:
Director de SinergiaTIC, antiguo autor de TecnolONGia.org y siempre tratando de ayudar a reducir la distancia entre las TIC y las ONG
Trabaja en:
Asesor particular
16.07.15
Hola,
Simplemente para afinar un poco el tema, la ininteligibilidad de las contraseñas no tiene que ver con el soporte de almacenamiento sino con su encriptación, por lo que, siguiendo con el ejemplo, sí que podrían estar escritas en un post-it o en un fichero de texto plano mientras no sean “legibles”, es decir, que el texto que se vea no sea la contraseña como tal por el hecho, precisamente, de estar encriptada. Solamente esto.
Saludos,
Jaume Albaigès
TecnolONGia.org | Blog sobre TIC y ONG
Respuesta del participante:
20.07.15
Gracias, ¿tienen que estar almacenadas obligatoriamente, no puede saberselas el responsable de seguridad de memoria? ¿hablamos de 3 contraseñas?
Un sistema de copias de seguridad: ¿tambien hay software gratuito para eso? nosotros las hacemos “a mano” porque nuestro “movimiento” de datos es ridiculo, los ficheros son pocos y pequeños y apenas cambian, con hacer una copia al año nos valdria
Aportada por:
Trabaja en:
Asesor particular
21.07.15
La palabra inteligible puede resultar paradójica pues evidentemente el/los sistemas y usuarios han de reconocerla.
Se debe emplear siempre un método de codificación o encriptación, cuanto mas complejo y variable (si es posible) mas seguro.
Una encriptación variable seria p.e. aplicar una función a la clave en la que intervenga alguna variable, la fecha, la hora u otro. De esta forma una misma clave se almacenará de forma diferente cada día o en función de algun dato conocido por ambos nodos (usuario y sistema en esta caso). Un metodo “similar” era empleado por la famosa máquina “ENIGMA”, inventada por los alemanes para la transmisión codificada de mensajes en la II guerra mundial.
También es importante que la ubicación de la clave sea variable en los archivos del sistema, en caso contrario, los hackers pueden “tantear” fácilmente hasta averiguar la clave correcta.
Aportada por:
Director de SinergiaTIC, antiguo autor de TecnolONGia.org y siempre tratando de ayudar a reducir la distancia entre las TIC y las ONG
Trabaja en:
Asesor particular
22.07.15
Hola María,
Las contraseñas YA están almacenadas en estos momentos. Si no lo estuvieran, la aplicación informática a la cual esas contraseñas os dan acceso no os lo permitirían. En otras palabras, todas las aplicaciones informáticas que manejan usuarios y contraseñas tienen estos datos almacenados pues de otro modo no podrían controlar el acceso, que para eso sirven los usuarios y las contraseñas.
Lo que la normativa de protección de datos pide es que la aplicación informática guarde esas contraseñas de forma que no puedan ser “leídas” por nadie que pueda acceder directamente a la base de datos o al código fuente de la aplicación. De hecho, hoy en día la mayoría de sistemas ya lo hacen así, pero es posible que aplicaciones antiguas o hechas a medida tengan esta “vulnerabilidad”. ¿De qué aplicación hablamos en vuestro caso?
Aportada por:
Director de SinergiaTIC, antiguo autor de TecnolONGia.org y siempre tratando de ayudar a reducir la distancia entre las TIC y las ONG
Trabaja en:
Asesor particular
22.07.15
En cuanto al tema de las copias de seguridad, por supuesto que las podéis hacer a mano. La normativa dice que tiene que haber un sistema, entendido como un proceso + un mecanismo, pero no dice nada sobre cómo debe ser.
Otra cosa es que la copia tiene que hacerse con la frecuencia necesaria que asegure la no pérdida de datos, eso es todo.