Práctica 1.

Seguridad de las contraseñas

1) Comprobador online de la calidad de las contraseñas.

• Entrar en https://www.internautas.org/compruebapassword.html .
• Obtener el porcentaje de seguridad, según esta web, de las siguientes contraseñas,
capturando el resultado:
hola 23 hello hola23 qwerty aBcDe gX9+rYu4F+
hola:

23:

hello:

hola23:

qwerty:
 aBcDe

gX9+rYu4F+:

• Capturar la estadística que muestra esta web sobre la puntuación a favor y en contra de la
seguridad de las siguientes contraseñas:
o hola23 gX9+rYu4F+

hola23:
 gX9+rYu4F+:

2) Comprobador de la existencia de una contraseña en las bases de datos de atacantes.

• Entrar en https://haveibeenpwned.com/Passwords . En esta web se chequea si una
contraseña forma parte de las listas de palabras en distintos idiomas que los atacantes
utilizan para ataques de contraseñas basados “en diccionario”.
• ¿Qué número total de contraseñas afirma esta página que están registradas en bases de datos,
listas para el ataque?
Afirma que hay registradas cientos de millones de contraseñas.
• Comprobar si las siguientes contraseñas están ya registradas en esas bases de datos,
indicando el número de veces que han sido registradas:
o hola hello allez forbidden bienvenidos malpercufa bienvenidos2019

hola:
hello:

allez:
forbidden:

bienvenidos:

malpercufa:
 bienvenidos2019:

3) Generador automático de contraseñas seguras.

• Entrar en la web http://generaclaves.pacoportillo.es/ . En este portal se pueden obtener
contraseñas que garantizan un nivel de seguridad acorde con las opciones que se
seleccionen.

• Obtener las contraseñas automáticas con las siguientes características, capturando el

resultado completo que nos devuelve la web:

 Una contraseña de tres caracteres de longitud con solo letras minúsculas.

 Una contraseña de cinco caracteres de longitud con letras minúsculas y caracteres

especiales.
 Una contraseña de diez caracteres de longitud que combine letras minúsculas, mayúsculas,
dígitos y caracteres especiales
 4) Recomendaciones para la creación de contraseñas seguras.
A partir de la información existente en la página web del Banco Santander
https://www.bancosantander.es/es/particulares/banca-online/seguridad-online/aprende-
seguridadonline/como-crear-contrasenas-seguras , contesta a las siguientes preguntas:

o ¿Cuáles son las características de una buena contraseña?

Usar varios tipos de caracteres como numeros, letras, caracteres especiales y hacerla mas
larga.

o ¿Cuáles son las características de una mala contraseña?

Claves simples.
No variar entre caracteres.
Escribir información tuya como tu nombre o tus apellidos.

o Imaginemos un usuario con cuentas en Facebook, Twitter, Instagram, Cajamar, correo de

Gmail, correo de Yahoo! y Skype. Crear una contraseña distinta para cada servicio, de forma
que sea sencilla de recordar, utilizando lo que la web llama “patrón de contraseñas”.

- Facebook: K8542sd$F
- Twitter: K8542sd$T
- Instagram: K8542sd$I
- Cajamar: K8542sd$C
- Gmail: K8542sd$G
- Correo Yahoo: K8542sd$Y
- Skype: K8542sd$S
5) Gestor de contraseñas.
Los gestores de contraseñas generan contraseñas aleatorias y las recuerdan por nosotros.
Simplemente tendremos que limitarnos a saber la contraseña maestra que da acceso a nuestras
cuentas.

Además de generar las contraseñas, estos gestores se integran en nuestro navegador web para
rellenar los formularios de login de los sitios web, de tal forma que con sólo pulsar un botón se
copie el usuario y contraseña. También son capaces de rellenar automáticamente perfiles cuando
nos registramos, o de guardar las contraseñas cuando entramos en un sitio que no teníamos
guardado. En muchos casos también podremos guardar otro tipo de credenciales, aunque no estén
ligadas a páginas web.

Las contraseñas se almacenan cifradas usando nuestra contraseña maestra (y en algún caso datos
adicionales), de tal forma que nadie más que nosotros puede leerlas.

• Ejecutar en la máquina Windows 10 o en una máquina virtual de Windows el gestor de

contraseñas KeePass, versión 2.43 portable. (Descargable en
https://keepass.info/download.html )

• Realizar la siguiente secuencia de acciones con el gestor de contraseñas KeePass,

capturando las pantallas correspondientes:
 Ejecutar la aplicación.

 Pulsar en el icono de la izquierda para la creación de claves.

 Especificar y anotar la ubicación del archivo de base de datos (database) de las claves.
Seguridad Informática 2º SMR 4

 Establecer y recordar la contraseña maestra que nos permitirá usar el gestor de

contraseñas.
 Poner nombre a la base de datos de contraseñas. Aceptamos que se imprima la hoja de
información de emergencia “emergency sheet”, imprimiéndola en formato PDF.
 Creamos, haciendo Add Entry en la parte derecha de la pantalla, las contraseñas para los
servicios Facebook y Twitter, inventando tanto las contraseñas como los nombres de
usuario. Hay que rellenar también el nombre del servicio (Title) y el campo URL
poniendo la dirección web de la página donde haya que autenticarse para cada servicio.
Pondremos un mes de validez para cada contraseña, usando Expires.
  Entramos en las páginas de logueo en Facebook y Twitter (que habíamos introducido
también anteriormente en los campos URL de cada uno) y pulsamos con el botón
derecho sobre el registro correspondiente de cada uno de ellos en el programa KeyPass
en la opción Perform Auto-Type, consiguiendo lo que estábamos buscando, que el
usuario y contraseña se escriban automáticamente.

• Listado de contraseñas automáticas. Generaremos automáticamente un listado de 100

contraseñas automáticas de 10 caracteres de longitud mediante Tools -> Generate Password
List. Las contraseñas cumplirán los requisitos que se marcan en la siguiente captura de
pantalla:
• Pinchamos en la pestaña Preview y vemos un ejemplo del contenido de las contraseñas
automáticamente creadas. Dichas contraseñas las podemos utilizar en ese programa o como
idea para utilizarlas en otras situaciones.