Dado que el cifrado se utiliza para proteger los datos, parece natural que cifrar algo dos veces incremente la seguridad. Sin embargo, ese no es siempre el caso.
Cláusula de exención de responsabilidad: Esta publicación no implica un análisis detallado de los conceptos de cifrado diseñados para hacer explotar la cabeza. Los interesados en fórmulas matemáticas y métodos criptográficos pueden leer un resumen de Gary C. Kessler o inscribirse en un curso de criptografía de la Universidad de Stanford en Coursera.
Ya sea que se dé cuenta o no, en la era de la privacidad de los datos, el cifrado es una parte de nuestra vida cotidiana y se utiliza ampliamente en el procesamiento de pagos, en sitios web, para la transferencia segura de archivos y para asegurar volúmenes de datos. La "s" en "https" significa seguro y garantiza a los visitantes que están visitando un sitio "protegido". La protección de todos los datos es la norma y la encriptación es la mejor manera de evitar que los actores malintencionados (ciberdelincuentes o aquellos que buscan interrumpir) logren sus objetivos. Hay muchos tipos de encriptación, y los que se consideran más seguros incluyen AES y RSA. Para la mayoría de nosotros, un solo método de cifrado es suficiente, pero ¿qué sucede si desea usar más? ¿Por qué no doble cifrado o incluso triple?
El cifrado doble, múltiple o en cascada, como se quiera llamar, es a menudo objeto de debate entre criptógrafos, científicos de datos y matemáticos, e incluso estos académicos están divididos en sus opiniones. Superencryption se refiere al cifrado final de nivel externo de un proceso de cifrado múltiple. Para la mayoría de nosotros, la aplicación de la lógica básica significa que la seguridad se mejoraría automáticamente si algo se encripta nuevamente. Sin embargo, como es el caso de la cocina, se trata de cómo utiliza los ingredientes. El mejor enfoque es según la receta, en lugar de la experimentación.
Ataques de Fuerza Bruta
El propósito principal del cifrado es proteger contra los ataques de fuerza bruta. Está compuesto por un cifrado (el método de cifrado), el mensaje / datos y una clave (la contraseña). Con una amplia gama de herramientas gratuitas disponibles, incluso los piratas informáticos novatos pueden intentar hackear las contraseñas utilizando la fuerza bruta (diccionario o ataques basados en listas hasta que se encuentre una coincidencia).
¿El doble cifrado aumenta la seguridad? Depende, pero no siempre. Usar el mismo cifrado podría reducir la seguridad, por ejemplo, con un experto que compara el proceso con una pierna artificial. Es útil si pierde una pierna, pero es mejor mantener las piernas existentes. Sin embargo, el uso de múltiples cifrados requiere una contraseña en cada nivel, cada uno de los cuales es teóricamente tan vulnerable (o tan seguro) como la primera contraseña de cifrado.
En mi opinión, como persona lega en criptografía, el cifrado múltiple no puede aumentar la seguridad, pero puede ralentizar a los atacantes, quienes al menos requerirían mucho más almacenamiento para usar listas comparativas en más de una etapa de cifrado. Ya sea la privacidad, la autenticación o la seguridad, el cifrado tiene un papel que desempeñar, pero ¿cuánto es demasiado? ¿Cuándo interfiere el cifrado con las operaciones o la productividad e impide el análisis de datos?
Veamos un ejemplo práctico de bajo nivel.
Cifrado en capas y acceso de usuario
Idealmente, el cifrado protege los datos, pero también debería permitir a los usuarios autorizados el acceso gratuito. Toma un PC / escritorio promedio, ¿por dónde empezarías?
- Puede cifrar el volumen, es decir, toda la unidad utilizando Bitlocker u otro método. Esto significa que necesitará una contraseña o una clave de inicio en el USB cuando inicie el sistema.
- Podrías cifrar una partición en el disco duro. Una vez más, se necesita una contraseña.
- Encriptar las carpetas y la contraseña.
- Cifrar un archivo. Tomemos Excel como ejemplo.
- Cifre el contenido de un archivo de Excel, ya sea hoja de cálculo, columna, fila o celda.
Este proceso fácil requiere una contraseña en cada etapa, y un usuario ingresa cinco contraseñas (todas diferentes, por supuesto, de acuerdo con las mejores prácticas) desde el inicio de la computadora hasta la visualización del archivo no protegido. Apenas productivo, incluso con un administrador de contraseñas.
Aparte de la etapa de contenido del archivo, todos los demás solo protegen los datos en reposo. Para compartir datos de forma segura, se necesita más cifrado para evitar ataques de intermediarios.
En el momento de redactar este documento, AES-256 sigue siendo el método de cifrado más "seguro" (oficialmente aún no se ha roto), pero todos los métodos de cifrado dependen de un elemento principal: la clave. El mejor algoritmo de cifrado del mundo no podrá protegerse si la clave es débil, lo que convierte a las contraseñas en el área principal de cifrado que debe mejorarse.
En conclusión, su uso del cifrado y su frecuencia es un acto de equilibrio entre la seguridad y el uso productivo; Debes decidir cuánto es demasiado.
En lugar de centrarse en los métodos de cifrado y la frecuencia de los mismos, se recomienda a las empresas que apliquen la administración de contraseñas como parte de su política de seguridad general. Insista en contraseñas largas y complejas y use administradores de contraseñas (la mayoría viene con generadores de contraseñas incorporados). Para las contraseñas, haga que sean alfanuméricas (en varios casos) con caracteres especiales y no menos de 24 caracteres.
¿Por qué no probar sus contraseñas existentes utilizando las herramientas de fuerza bruta mencionadas anteriormente? Dependiendo de los resultados, puede recompensar o despedir a los empleados según lo considere conveniente. En mi opinión, usar "admin", "123456", "QWERTY" o cualquier palabra que se encuentre en el diccionario como contraseña es una solicitud codificada para cobrar el desempleo. ¿Alguna idea?
Michael O'Dwyer
An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.