Control Estándar El criterio en la creación de contraseñas, debe ser establecido y utilizado para reducir las contraseñas débiles.. Parámetros Específicos Las pautas o los estándares de la contraseña se deben establecer para proporcionar consistencia a los sistemas al entrar. Para reducir el acceso no autorizado, los empleados deben seguir las pautas de la contraseña enumeradas debajo al crear su contraseña: · No utilizar las contraseñas que incorporen su Global ID (NET ID) · No utilizar ningún carácter más de dos veces · No utilizar todos los caracteres como numéricos · No utilizar los caracteres alfabéticos solamente · No reutilizar su contraseña existente · La contraseña debe contener un mínimo de ocho caracteres alfanuméricos · contener por lo menos un carácter no alfabético. Números (0-9) ó caracteres especiales (#$%&/()=¡|...) · No utilizar contraseñas fácilmente reconocibles, incorporando cosas tales como "contraseña" (password), su nombre, fecha de nacimiento, nombres de sus hijos, o las palabras encontradas en un diccionario Propósito Este estándar ayuda a asegurarse de que no ocurre el acceso no autorizado. Cuanto más fácil sea una contraseña de adivinar, más fácil es que alguien obtenga un acceso no autorizado. Recomendaciones para la generación de contraseñas: · No utilice información personal como fecha de cumpleaños, aniversarios, números telefónicos, números de identificación, profesión, nombre de las personas cercanas, etc. · no utilice el nombre de usuario de correo, nombres o apellidos, combinados con números, con el fin de evitar que con un ataque de diccionario puedan lograr encontrar la clave que está usando. Se recomienda utilizar las iniciales de frases de fácil recordación, combinando el uso de letras mayúsculas, minúsculas, números y caracteres especiales. Por ejemplo la frase "No todo lo que brilla es oro" podría quedar así: "Ntlqb30$", en este caso usamos las iniciales como las letras de la clave y cambiamos algunas letras por números similares: la letra E por 3 y o por 0. |
VULNERABILITIES IN UNIX
Information provided by the Sans Institute:
http://www.sans.org
The ten most commonly exploited UNIX vulnerabilities?
Poor system administration practices
Reusable/poor passwords
Flawed SUID programs (e.g., rdist, binmail)
HTTP servers and CGI application vulnerabilities
Default "+" entries in the /etc/hosts.equiv file
NFS/NIS vulverabilities sendmail program bugs
Buffer overruns (e.g., gets(), syslog())
SUID shell scripts