Scientia Et Technica

ISSN: 0122-1701
scientia@utp.edu.co
Universidad Tecnológica de Pereira
Colombia

López Echeverry, Ana María; Villa Sánchez, Paula Andrea

Política de gestión de contraseñas para usuarios finales
Scientia Et Technica, vol. 21, núm. 2, junio, 2016, pp. 128-134
Universidad Tecnológica de Pereira
Pereira, Colombia

Disponible en: http://www.redalyc.org/articulo.oa?id=84950866004

Cómo citar el artículo

Número completo
Sistema de Información Científica
Más información del artículo Red de Revistas Científicas de América Latina, el Caribe, España y Portugal
Página de la revista en redalyc.org Proyecto académico sin fines de lucro, desarrollado bajo la iniciativa de acceso abierto
 Scientia et Technica Año XXI, Vol. 21, No. 1, junio de 2016. Universidad Tecnológica de Pereira. ISSN 0122-1701 128

Política de gestión de contraseñas para

usuarios finales
Password management policy for end-users

Ana María López Echeverry, Paula Andrea Villa Sánchez

Facultad de Ingenierías, Universidad Tecnológica de Pereira, Pereira, Colombia
Correo-e: anamayi@utp.edu.co, pavaji@utp.edu.co

Resumen— Este artículo contiene el ciclo de vida de una ejemplo las claves simétricas y asimétricas, claves de un solo
contraseña, que va desde la generación hasta su tiempo de uso, clave estructural, clave maestra, clave primaria, entre
expiración. Adicionalmente, se presenta una política de gestión otras [3], y estas a su vez, cuentan con métodos de protección
de contraseñas que contiene las pautas necesarias para generar e como hash, md5, DES, RSA, etc [4]. Estos algoritmos sirven
implementar claves seguras para el usuario final manteniendo su
para generar contraseñas seguras, pero que en cierta medida
usabilidad, con el objetivo de mejorar la seguridad de los
sistemas de información y capacitar a estos usuarios en cuanto a son utilizadas por usuarios que poseen un nivel de
la protección de los datos de la organización. conocimiento técnico menor que los usuarios especializados,
que usualmente son usuarios sofisticados, programadores de
aplicaciones y administradores de bases de datos [5].
Palabras clave— Clave, contraseña, ciclo de vida de las
contraseñas, política de gestión de contraseñas, usuario final. Se recomienda que los usuarios finales tengan políticas
diferentes ya que son usuarios normales con una formación
Abstract— This article contains the life cycle of a password that
tecnológica diferente y representan el eslabón más débil de la
begins since the generation until its expiration time. Additionally,
It is presented a password management policy which contains the cadena de seguridad [6]
necessary guidelines to generate and implement the use of safe
passwords for the end-user maintaining its usability, with the II. CICLO DE VIDA DE LAS
objective of improve the security of the information systems and CONTRASEÑAS
train these users with topics related to the data protection of the
organization. El ciclo de vida de las contraseñas como se define en la figura
1, consta de una serie de etapas que van desde la generación
Key Word — cycle life of a password, End-user, password, hasta la terminación de la clave.
password management policy.
El problema que se presenta es que a pesar de que actualmente
I. INTRODUCCIÓN se cuenta con herramientas para la generación de contraseñas
como “Random Password Generator”[7] o el Analyzer and
Los métodos de autenticación se dividen en tres grandes Modifier for Passwords (AMP)2[8] que ayudan al usuario a
categorías en función de lo que utilizan para la verificación de generar contraseñas robustas manteniendo la usabilidad, y
identidad, las cuales son: (a) algo que el usuario sabe herramientas que generan claves aleatorias [9] o
(contraseña), (b) algo que éste posee (tarjeta inteligente), y (c) pseudoaleatorias [10], se siguen teniendo dificultades con el
una característica física del usuario. Esta última categoría se manejo de las mismas por parte del usuario final. Sin
conoce con el nombre de autenticación biométrica [1], pero embargo, existe otra mirada como se observa en varias
aun así, las contraseñas siguen siendo el método más publicaciones de revistas científicas tipo A como la IEEE y
empleado1 [2]. ACM según estudios como [8][11][12][13][14][15], centrados
en la generación de contraseñas no a partir de programas ya
Así como la biometría cuenta con varios tipos de validación que esto conlleva a tener problemas de seguridad por parte de
como las huellas dactilares, el iris, la voz, entre otros, en las los usuarios, sino a establecer el uso de políticas que permitan
contraseñas también es posible encontrar diferentes tipos, por la generación de claves seguras y con un alto grado de
usabilidad por parte de quien las va a utilizar.

1
FRAGKOS, Grigorio, TRYFONAS, Theodore, A Cognitive Model for the
2
Forensic Recovery of End-User Passwords , IEEE Xplore digital library, p. 1, HOUSHMAND, Shiva, AGGARWAL, Sudhir, Building better passwords
Agosto 2007. using probabilistic techniques, ACM digital library, p. 5, Diciembre 2012

Fecha de Recepción: 09 de septiembre de 2014

Fecha de Aceptación: 10 de febrero de 2016
129 Scientia et Technica Año XXI, Vol. 21, No. 1, junio de 2016. Universidad Tecnológica de Pereira.

En este orden de ideas, se definirá una política para la gestión • Evitar utilizar información personal en la contraseña,
de contraseñas tomando como base diferentes trabajos e ya que alguien que lo conozca puede vulnerarla
investigaciones que se han realizado.
Distribución.

Existen algunas técnicas de distribución de claves como [18]:

• Distribución manual
El envío de la clave no es por la línea de comunicación por la
cual se mandan los mensajes cifrados, sino que se utilizan
otros métodos, por ejemplo:

carta certificada + vía telefónica + fax.

Utilizando un inyector de claves

Figura 1: Ciclo de vida de las contraseñas
• Distribución basada en centro
Generación de contraseñas. Las dos entidades interesadas en intercambiar datos tienen una
conexión cifrada con una tercera entidad de confianza, esta
El primer paso para comenzar a generar una contraseña tercera entidad es la encargada de entregar la clave a través de
segura, es saber que esta debe contener una mezcla de los enlaces cifrados a las otras dos entidades.
símbolos (letras mayúsculas, minúsculas, números, caracteres
especiales), sin ningún tipo de secuencia o coherencia, es • Distribución basada en certificado
decir, no generar claves tipo “Luis123” o con nombres de Es posible diferenciar dos técnicas para la distribución basada
series de televisión como “lossimpsons1” ya que existen en certificado:
herramientas que utilizan diccionarios de palabras que hacen
que estas claves sean vulnerables. 1. Transferencia de claves: El emisor genera localmente
una clave y la cifra con un algoritmo asimétrico
Uno de los métodos de generación de claves seguras es el uso utilizando la llave pública del receptor, con el
de mnemotecnias a partir de frases3[12][16], por ejemplo: objetivo de que solo éste pueda recuperarla y así
“Es mejor un pájaro en mano que cien volando”, se toman las protegerla durante su transmisión.
iniciales de cada palabra para formar un acrónimo, que daría
como resultado algo así “emupemqcv”, luego se cambian 2. Intercambio de claves o acuerdo de claves: la clave
algunas letras por números, para este caso la letra “e” por un es generada por las dos entidades involucradas en la
“3” y la “c” por una “@” y se obtiene la siguiente palabra comunicación.
“3mup3mq@v”, finalmente para agregar un grado más de
complejidad se cambiaran algunas de las letras por Recuperación.
mayúsculas, se toma la letra “m” para obtener finalmente
“3Mup3Mq@v” una clave robusta que difícilmente se Cuando un usuario olvida su contraseña, generalmente hay
encontrará en un diccionario y que a pesar de que alguien más dos opciones, obtener acceso a la antigua clave “password
esté utilizando la misma frase, esta es una contraseña recovery” o establecer una nueva “password reset”. El
personalizada y que seguramente nadie más sabrá que “password reset” también se usa cuando una cuenta nueva es
cambios se realizaron. creada, para asignar una clave inicial, en todo caso si no hay
razón para descartarla, debe haber alguna manera definida en
Otras de las recomendaciones para la generación de las políticas de gestión de claves que dé en detalle y bajo qué
contraseñas seguras son [17]: condiciones una clave puede ser recuperada [19].

• Cambiarlas con regularidad Pero se debe tener especial atención sobre el “password
• Utilizar signos de puntuación si el sistema lo permite. recovery” y el ”password reset” ya que si no se verifica con
• Elegir palabras sin sentido pero que sean veracidad la autenticidad del usuario, un atacante podría
pronunciables. obtener acceso a esa contraseña, así que se deben establecer
fuertes políticas para asegurarse de ello (fecha de nacimiento,
número de identificación, código laboral, etc.) 4[20]
3
FORGET, Alain, CHIASSON, Sonia, BIDDLE, Robert, Helping Users
Create Better Passwords: Is this the right approach?, ACM digital library, p. 4
SCARFONE, Karen, SOUPPAYA, Murugiah, Guide to Enterprise Password
1, Julio 2007 Management (Draft), National Institute of Standards and Technology (NIST),
p. 24-25, Abril 2009
Scientia et Technica Año XXI, Vol. 21, No. 1, junio de 2016. Universidad Tecnológica de Pereira. 130
nunca debería usarse por tiempo indefinido. Esta debe tener
Uso. una fecha de caducidad, por las siguientes razones [21]:

El estudio realizado en [13] define que el uso de las claves • Cuanto más tiempo se usa una clave, aumenta la
debe estar establecido en las políticas de seguridad y da el probabilidad de que se comprometa (la pérdida de
ejemplo de la Universidad de Brown, donde se establece que una clave por medios no criptoanalíticos se denomina
es posible enviar la contraseña por e-mail únicamente con compromiso).
permiso administrativo, como también define que estas deben
ser encriptadas para ser transmitidas; sin embargo, en otras • Cuanto más tiempo se usa una clave, mayor será el
instituciones está restringido compartir la clave. Lo anterior daño si la clave se compromete, ya que toda la
permite entonces resaltar que es necesario establecer dentro de información protegida con esa clave queda al
la política de gestión de claves de usuario final, todas las descubierto.
consideraciones de manejo de las mismas, con una definición
clara de que se puede hacer y que se encuentra restringido en • Cuanto más tiempo se usa una clave, mayor será la
condiciones específicas de manejo de una clave particular. tentación de alguien para intentar descifrarla.

Almacenamiento. Al igual que en las etapas anteriores, esta debe ser tratada en
las políticas de seguridad. Pero estas claves solo deben ser
Las claves son guardadas en el sistema para validar la eliminadas por 2 razones, “Expiración” o” Revocación”. En
autenticidad del usuario y por esta razón, estas deben estar las políticas se seguridad de contraseñas, debe existir un
almacenadas de forma segura para que ninguna persona pueda tiempo de vida útil de una clave, cuando este tiempo ha
acceder fácilmente de manera lógica o física y afectar la llegado a su límite de vigencia, se dice que una contraseña
estabilidad del negocio, estas contraseñas deben estar “Expira”, pero cuando un administrador determina que una
protegidas con controles de seguridad, como por ejemplo [20]: contraseña se encuentra comprometida, este la puede
“Revocar” 8[13]
• Encriptar los archivos que contienen las contraseñas5
[13]. Las organizaciones comúnmente destruyen datos innecesarios,
especialmente datos sensibles que pueden estar bajo los
• Usar las funciones de control de acceso al sistema requisitos de cumplimiento normativo y las contraseñas hacen
operativo para restringir el acceso a los archivos que parte de estos datos, Securosis9 brinda una serie de controles
contienen las claves. para la destrucción de esta información:

• Almacenar los hashes criptográficos6 para • Crypto-Shredding, es la destrucción de todas las

contraseñas de un solo sentido, en vez de almacenar claves encriptadas para los datos.
las claves mismas. • Borrado seguro
Limpieza del espacio libre del disco duro y
Los controles de seguridad apropiados para una situación destrucción física.
particular, dependen de varios factores, tales como las Esta opción está solamente disponible cuando se
capacidades de seguridad del host, las amenazas en contra del tiene un bajo nivel de acceso administrativo a los
host, y los requerimientos de autenticación7. medios de almacenamiento físico. Esto incluye
hardware o software diseñado para destruir los datos
Terminación. en los discos duros y otros medios, o la destrucción
física de los drivers.
Es la última etapa en el ciclo de vida de una contraseña, • Destrucción física se tiene lo siguiente:
cuando esta ya no es útil y debe ser cambiada, una clave Desmagnetización: Uso de Fuertes imanes para
codificar los medios magnéticos, como discos duros
y cintas de copia de seguridad.

5
SHAY, Richard J., BHARGAV-SPANTZEL, Abhilasha, BERTINO, Elisa,
Password Policy Simulation and Analysis, ACM digital library,
p .2, Noviembre 2007
8
SHAY, Richard J., BHARGAV-SPANTZEL, Abhilasha, BERTINO, Elisa,
6
Un hash criptográfico, es un algoritmo de encriptación de un solo sentido Password Policy Simulation and Analysis, ACM digital library,
que sirve para proteger las contraseñas. p .2, Noviembre 2007
9
7
SCARFONE, Karen, SOUPPAYA, Murugiah, Guide to Enterprise Password Securosis es la firma líder independiente en el mundo en asesoría e
Management (Draft), National Institute of Standards and Technology (NIST), investigación en seguridad
p. 14, Abril 2009
131 Scientia et Technica Año XXI, Vol. 21, No. 1, junio de 2016. Universidad Tecnológica de Pereira.

Destrucción física: Completar la destrucción física de No debe derivarse de algún tipo de

los dispositivos de almacenamiento, centrándose en información personal como la dirección o la
la trituración de los medios magnéticos actuales cédula.
(discos o cintas).
No debe generarse de ninguna palabra de
• Descubrir contenido. diccionario.
Cuando los datos sensibles verdaderamente alcanzan
el fin de su ciclo de vida, se debe asegurar que la No debe generarse del nombre de algún
información destruida, es realmente destruida. Use pariente
herramientas para descubrir contenido como ayuda
para asegurarse que no existen copias o versiones de • Se debe cambiar la contraseña cada 120 días
la información que se mantengan accesibles en la OBLIGATORIAMENTE y debe aparecer un aviso
empresa [22]. 30 días antes de que caduque para que el usuario
tenga tiempo de realizar el cambio.

III. POLÍTICA SUGERIDA PARA LA • Si la contraseña no es cambiada en el tiempo

GENERACIÓN DE CONTRASEÑAS estipulado, el administrador generará una nueva.

• Una vez seleccionada una contraseña se debe

Generación de contraseñas. emplear el uso de aplicaciones como las
mencionadas durante el desarrollo de este
Para garantizar la seguridad de una contraseña se podría crear documento, para corroborar la seguridad de las
una clave con una letra mayúscula, un número entre 6 y 43 mismas.
divisible por 7, y que incluya por lo menos un diptongo, pero
no tendría la usabilidad necesaria para un usuario normal, por Distribución de claves
tal motivo, se deben realizar contraseñas con características
especiales para que sean más fáciles de emplear por un La distribución de claves es de gran importancia ya que en ese
usuario final. proceso pueden haber problemas de seguridad, en especial
cuando estas viajan por redes externas a la organización para
A partir del uso del método de la mnemotecnia, se selecciona proveer autenticación entre hosts, pero a pesar de que los
una frase con la que se sienta cómodo, y se realiza el datos que viajen por esta infraestructura pueden tener las
tratamiento para la generación de las contraseñas como se medidas necesarias de protección lógica, pueden haber
mencionó anteriormente, pero adicional a ello, debe tener las problemas físicos como: filtrado de información, sniffing, un
siguientes características: hombre en el medio, o si son por redes inalámbricas alguien
con una antena de gran potencia podría estar recepcionando
• No se pueden repetir las últimas 6 contraseñas esta información, estos son problemas que surgen a nivel
utilizadas. organizacional, pero la pregunta que surge es ¿Qué
• La longitud de la contraseña debe ser máximo 15 consideraciones debe tener en cuenta un usuario a la hora de
caracteres y mínimo 8 recibir su contraseña, y como entregárselas de manera
• Sintaxis confiable sin que se pierda la confidencialidad?

La contraseña debe contener caracteres de la 1. Envío de contraseñas por correo electrónico, al que
[a-z] se responderá una vez recibida con la firma digital10.

La contraseña debe contener caracteres de la 2. A través de una línea telefónica, se debe tener en
[A-Z] cuenta que la línea sea segura y nadie más pueda
estar escuchando esta conversación, se solicitará al
La contraseña debe contener números del usuario devolver la llamada para confirmar algunos
[10-99] datos para dar veracidad de la autenticidad de que es
el legítimo dueño de la cuenta para asignarle la
La contraseña debe contener caracteres no contraseña.
alfanuméricos [# $ & %]
Ejemplo de contraseña: Una vez recibida la contraseña, hay factores que se deben
33MupMq@v$ tener en cuenta como:

10
Una firma digital es un conjunto de datos asociados a un mensaje que
permite asegurar la identidad del firmante y la integridad del mensaje.
Scientia et Technica Año XXI, Vol. 21, No. 1, junio de 2016. Universidad Tecnológica de Pereira. 132
• No use la misma contraseña que utiliza en la
1. Estar atento al entorno organización en otras cuentas como Gmail, Outlook,
Si bien se considera al factor humano como el Yahoo, entre otras.
eslabón más débil en la cadena de seguridad, la causa
de estas fallas, es debido a problemas de distracción. • No darle conocimiento de su contraseña a
Cuando se reciba la contraseña, se debe tener compañeros en caso de que realice un viaje.
especial atención a quien está alrededor, quien mira,
quien está demasiado interesado en ayudar, etc. • No revelar su contraseña a alguna entidad, a sus jefes
o colaboradores, salvo que sea para realizar
2. No dejar el correo abierto auditorías.
Esto puede sonar obvio, pero en un descuido alguien
podría ver su correo y darse cuenta de su contraseña. • No revelar la contraseña por teléfono.

Estas son recomendaciones simples pero que, si bien no se • No hable de las contraseñas en frente de otros.
toman en cuenta, pueden convertirse en riesgos y volverse en
grandes vulnerabilidades para la seguridad de la compañía. • No escriba contraseñas en formularios, por más
confiables que estos le parezcan.
Recuperación
Almacenamiento
Proteger la confidencialidad de una cuenta a la hora de
recuperar una contraseña es muy importante ya que se deben Una vez la contraseña es creada y entregada, esta debe ser
generar mecanismos que garanticen la autenticidad del usuario memorizada o en su defecto almacenada, pero para ser
como: almacenada se deben tener ciertos cuidados. Los que se
presentan a continuación también son proporcionados por el
• Verificar vía electrónica que el cambio o SANS Institute:
recuperación de contraseña si es solicitado por el
dueño de la cuenta y de igual manera responder con • No revelar la contraseña en mensajes de correo
firma digital. electrónico ni a través de cualquier otro medio de
comunicación electrónica.
• Generar preguntas para recuperar contraseñas con un
elevado grado de complejidad y que puedan ser • En caso de ser autorizado por la administración para
formuladas por el mismo usuario, por ejemplo enviar la contraseña por correo electrónico, esta debe
¿Cuándo le propuso matrimonio a su actual pareja? O ser encriptada y nunca ser enviada en texto plano.
¿Qué tic tiene su madre cuando se enoja?, preguntas
que solamente el dueño de la cuenta pueda saberlas o
• Nunca escribir la contraseña en papel y guardarla.
que alguien con demasiada confianza pero que no sea Tampoco almacenar contraseñas en ficheros de
parte de la organización sepa, y no generar preguntas
ordenador sin cifrar o desprovisto de algún
del tipo ¿Nombre de la madre? O ¿Cuál es su comida
mecanismo de seguridad.
favorita? Ya que estas son preguntas bastantes obvias
y cualquier persona que tenga un ligero conocimiento
• No utilizar la característica de “Recordar
del usuario podría responder
Contraseña” existente en algunas aplicaciones
(Firefox, Internet Explorer, google chrome).
Uso
Terminación
El uso de las contraseñas debe ser de carácter confidencial y
personal, lo cual ayudará a prevenir malos entendidos y
Al terminar el ciclo de vida útil de una contraseña, los
futuros inconvenientes.
usuarios deben:
A continuación se presentan unas consideraciones a tener en
• Cambiar su contraseña por una nueva.
cuenta propuestas por el SANS Institute11 [23]:
• Borrar la contraseña de todo sitio donde este
• No revelar su contraseña ni a sus familiares más
almacenada (USB, correo, computador, etc)
cercanos.
RECOMENDACIONES

11
SANS es la fuente más grande y confiable de formación en seguridad del
Se deben realizar capacitaciones constantes con los usuarios
mundo. finales para concientizarlos de la importancia de la seguridad
133 Scientia et Technica Año XXI, Vol. 21, No. 1, junio de 2016. Universidad Tecnológica de Pereira.

de la información y de esta manera prevenir riesgos en la [9] INTECO, instituto nacional de tecnologías,
organización. gestion_de_contrasenas, p. 9-14 (Visitado el 1 de agosto de
2013)
Las vulnerabilidades presentadas en las organizaciones en
cuanto al manejo de las contraseñas no son causadas [10] http://www.segu-info.com.ar/proyectos/p1_algoritmos-
únicamente por la generación de estas, sino también por los basicos.htm (Visitado el 12 de Agosto de 2013)
malos manejos que realizan los usuarios de ellas.
[11] BLOCKI, Jeremiah, KOMANDURI, Saranga,
Se deben generan políticas que garanticen el cumplimiento de PROCACCIA, Ariel D, SHEFFET, Or, Optimizing Password
estas normas y que no sean solamente recomendaciones y uso Composition Policies, EC '13 Proceedings of the fourteenth
de buenas prácticas. ACM conference on Electronic commerce 2013 (Visitado el 1
de Agosto de 2013)
Existen muchas herramientas para la generación de
contraseñas seguras pero que pueden ser de difícil aprendizaje [12] FORGET, Alain, CHIASSON, Sonia, BIDDLE, Robert,
para el usuario, sin embargo, también hay herramientas que Helping Users Create Better Passwords: Is this the right
permiten corroborar la fortaleza de una contraseña una vez ha approach?, SOUPS '07 Proceedings of the 3rd symposium on
sido creada con las políticas acá presentadas. Usable privacy and security 2007 (Visitado el 1 de Agosto de
2013)
REFERENCIAS
[13] SHAY, Richard J., BHARGAV-SPANTZEL, Abhilasha,
[1] http://www.rediris.es/cert/doc/unixsec/node14.html BERTINO, Elisa, Password Policy Simulation and Analysis,
(Visitado el 12 de Agosto de 2012) DIM '07 Proceedings of the 2007 ACM workshop on Digital
identity management (Visitado el 1 de Agosto de 2013)
[2] FRAGKOS, Grigorio, TRYFONAS, Theodore, A
Cognitive Model for the Forensic Recovery of End-User [14] VILLARUBIA, Carlos, FERNÁNDEZ-MEDINA,
Passwords , IEEE Xplore digital library, Digital Forensics and Eduardo, PIATTINI, Mario, Quality of Password
Incident Analysis, 2007, p. 1, (Visitado el 12 de Agosto de Management Policy, Availability, Reliability and Security,
2013) 2006. ARES 2006. The First International Conference on
Availability, Reliability and Security. (Visitado el 1 de Agosto
[3] http://redyseguridad.fi- de 2013)
p.unam.mx/proyectos/criptografia/criptografia/index.php/3-
gestion-de-claves/32-tipos-de-claves (Visitado el 13 de [15] KOMANDURI, Saranga, SHAY, Richard, GAGE
Agosto de 2013) KELLEY, Patrick, MAZUREK, Michelle L., BAUER, Lujo,
CHRISTIN, FAITH CRANOR, Lorrie, EGELMAN, Serge,
[4] Of Passwords and People: Measuring the Effect of Password-
http://www.ecured.cu/index.php/Algoritmo_criptogr%C3%A1 Composition Policies, CHI '11 Proceedings of the SIGCHI
fico (Visitado el 12 de Agosto de 2013) Conference on Human Factors in Computing Systems 2011
(Visitado el 6 de Agosto de 2013)
[5] http://uvfdatabases.wordpress.com/2009/02/07/tipos-de-
usuarios-de-la-base-de-datos (Visitado el 12 de Agosto de [16] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-
2013) wstation-pass.html (Visitado el 2 de agosto de 2013)

[6] http://revistaitnow.com/2013/05/seguridad/el-eslabon- [17] INTECO, instituto nacional de tecnologías,

mas-debil-de-la-cadena-en-seguridad-es-el-usuario (Visitado politica_contrasenas, p. 4-5 (Visitado el 1 de agosto de 2013)
el 12 de Agosto de 2013)
[18] http://redyseguridad.fi-
[7] FRENZ, Christopher M, Improving Organizational p.unam.mx/proyectos/criptografia/criptografia/index.php/3-
Password Policy Compliance via Open Source Tools, 2011 gestion-de-claves/33-generadores-y-distribucion-de-
IEEE World Congress on Services (SERVICES), p.1 claves/333-distribucion-de-claves
(Visitado el 1 de Agosto de 2013) (Visitado el 5 de agosto de 2013)

[8] HOUSHMAND, Shiva, AGGARWAL, Sudhir, Building [19] http://redyseguridad.fi-

better passwords using probabilistic techniques, ACSAC '12 p.unam.mx/proyectos/criptografia/criptografia/index.php/3-
Proceedings of the 28th Annual Computer Security gestion-de-claves/31-politicas-de-gestion-de-
Applications Conference 2012 (Visitado el 1 de Agosto de claves?showall=&start=1
2013) (Visitado el 5 de agosto de 2013)
Scientia et Technica Año XXI, Vol. 21, No. 1, junio de 2016. Universidad Tecnológica de Pereira. 134
[20] SCARFONE, Karen, SOUPPAYA, Murugiah, Guide to
Enterprise Password Management (Draft), Computer Security
Division, Information Technology Laboratory, National
Institute of Standards and Technology, Gaithersburg, MD
20899-8930 April 2009, p. 24-25 (Visitado el 5 de agosto de
2013)

[21]
http://www.iec.csic.es/criptonomicon/seguridad/claves.html
(Visitado el 8 de agosto de 2013)

[22] https://securosis.com/tag/information-centric+security
(Visitado el 8 de agosto de 2013)

[23] SANS Institute, Password Policy -

http://www.sans.org/security-
resources/policies/Password_Policy.pdf, p. 2
(Visitado el 14 de Agosto de 2013)