SEGURIDAD INFORMÁTICA – 2º SMR – I.E.S.

Al-Ándalus (Almería)

Práctica: Seguridad de las contraseñas.

1. Comprobador online de la calidad de las contraseñas.
• Entrar en https://www.internautas.org/compruebapassword.html .
• Obtener el porcentaje de seguridad, según esta web, de las siguientes contraseñas, capturando
el resultado:
o hola 23 hello hola23 qwerty aBcDe gX9+rYu4F+
• Capturar la estadística que muestra esta web sobre la puntuación a favor y en contra de la
seguridad de las siguientes contraseñas:
o hola23 gX9+rYu4F+

2. Comprobador de la existencia de una contraseña en las bases de datos de atacantes.

• Entrar en https://haveibeenpwned.com/Passwords . En esta web se chequea si una
contraseña forma parte de las listas de palabras en distintos idiomas que los atacantes utilizan
para ataques de contraseñas basados “en diccionario”.
• ¿Qué número total de contraseñas afirma esta página que están registradas en bases de datos,
listas para el ataque?
• Comprobar si las siguientes contraseñas están ya registradas en esas bases de datos,
indicando el número de veces que han sido registradas:
o hola hello allez forbidden bienvenidos malpercufa bienvenidos2019

3. Generador automático de contraseñas seguras.

• Entrar en la web http://generaclaves.pacoportillo.es/ . En este portal se pueden obtener
contraseñas que garantizan un nivel de seguridad acorde con las opciones que se seleccionen.
• Obtener las contraseñas automáticas con las siguientes características, capturando el resultado
completo que nos devuelve la web:
o Una contraseña de tres caracteres de longitud con solo letras minúsculas.
o Una contraseña de cinco caracteres de longitud con letras minúsculas y caracteres
especiales.
o Una contraseña de diez caracteres de longitud que combine letras minúsculas,
mayúsculas, dígitos y caracteres especiales.

I.E.S. Al-Ándalus. Finca Santa Isabel, s/n – 04008 ALMERÍA –  950 15 69 36 – Fax 950 15 69 42
E-mail: iesalandalus@iesalandalus.org 1
 SEGURIDAD INFORMÁTICA – 2º SMR – I.E.S. Al-Ándalus (Almería)

4. Recomendaciones para la creación de contraseñas seguras.

• A partir de la información existente en la página web del Banco Santander
https://www.bancosantander.es/es/particulares/banca-online/seguridad-online/aprende-
seguridad-online/como-crear-contrasenas-seguras , contesta a las siguientes preguntas:
o ¿Cuáles son las características de una buena contraseña?
o ¿Cuáles son las características de una mala contraseña?
o Imaginemos un usuario con cuentas en Facebook, Twitter, Instagram, Cajamar, correo
de Gmail, correo de Yahoo! y Skype. Crear una contraseña distinta para cada servicio,
de forma que sea sencilla de recordar, utilizando lo que la web llama “patrón de
contraseñas”.

5. Gestor de contraseñas.
Los gestores de contraseñas generan contraseñas aleatorias y las recuerdan por nosotros.
Simplemente tendremos que limitarnos a saber la contraseña maestra que da acceso a nuestras
cuentas.
Además de generar las contraseñas, estos gestores se integran en nuestro navegador web para
rellenar los formularios de login de los sitios web, de tal forma que con sólo pulsar un botón se copie el
usuario y contraseña. También son capaces de rellenar automáticamente perfiles cuando nos
registramos, o de guardar las contraseñas cuando entramos en un sitio que no teníamos guardado. En
muchos casos también podremos guardar otro tipo de credenciales, aunque no estén ligadas a páginas
web.
Las contraseñas se almacenan cifradas usando nuestra contraseña maestra (y en algún caso
datos adicionales), de tal forma que nadie más que nosotros puede leerlas.
o Ejecutar en la máquina Windows 10 o en una máquina virtual de Windows el gestor de
contraseñas KeePass, versión 2.43 portable. (Descargable en
https://keepass.info/download.html )
o Realizar la siguiente secuencia de acciones con el gestor de contraseñas KeePass,
capturando las pantallas correspondientes:
• Ejecutar la aplicación.
• Pulsar en el icono de la izquierda para la creación de claves.
• Especificar y anotar la ubicación del archivo de base de datos (database) de
las claves.
• Establecer y recordar la contraseña maestra que nos permitirá usar el gestor
de contraseñas.
• Poner nombre a la base de datos de contraseñas. Aceptamos que se imprima
la hoja de información de emergencia “emergency sheet”, imprimiéndola en
formato PDF.

I.E.S. Al-Ándalus. Finca Santa Isabel, s/n – 04008 ALMERÍA –  950 15 69 36 – Fax 950 15 69 42
E-mail: iesalandalus@iesalandalus.org 2
 SEGURIDAD INFORMÁTICA – 2º SMR – I.E.S. Al-Ándalus (Almería)

• Creamos, haciendo Add Entry en la parte derecha de la pantalla, las

contraseñas para los servicios Facebook y Twitter, inventando tanto las
contraseñas como los nombres de usuario. Hay que rellenar también el
nombre del servicio (Title) y el campo URL poniendo la dirección web de la
página donde haya que autenticarse para cada servicio. Pondremos un mes de
validez para cada contraseña, usando Expires.
• Entramos en las páginas de logueo en Facebook y Twitter (que habíamos
introducido también anteriormente en los campos URL de cada uno) y
pulsamos con el botón derecho sobre el registro correspondiente de cada uno
de ellos en el programa KeyPass en la opción Perform Auto-Type,
consiguiendo lo que estábamos buscando, que el usuario y contraseña se
escriban automáticamente.
o Listado de contraseñas automáticas. Generaremos automáticamente un listado
de 100 contraseñas automáticas de 10 caracteres de longitud mediante Tools ->
Generate Password List. Las contraseñas cumplirán los requisitos que se marcan en la
siguiente captura de pantalla:

o Pinchamos en la pestaña Preview y vemos un ejemplo del contenido de las

contraseñas automáticamente creadas. Dichas contraseñas las podemos utilizar en
ese programa o como idea para utilizarlas en otras situaciones.

I.E.S. Al-Ándalus. Finca Santa Isabel, s/n – 04008 ALMERÍA –  950 15 69 36 – Fax 950 15 69 42
E-mail: iesalandalus@iesalandalus.org 3
 SEGURIDAD INFORMÁTICA – 2º SMR – I.E.S. Al-Ándalus (Almería)

6. Eliminación de las contraseñas de acceso a documentos: Advanced PDF Password

Recovery
Existe software destinado a eliminar las contraseñas de acceso a diferentes documentos, tales
como archivos PDF, documentos de Word, hojas de cálculo de Excel, archivos comprimidos en formato
RAR, ZIP, etc… En este apartado instalaremos el programa denominado Advanced PDF Password
Recovery, que elimina la protección por contraseña de los documentos PDF.
• Obtener e instalar en una máquina virtual Windows el programa.
• Obtener el archivo PDF documento-en-pdf-protegido.pdf, comprobando que solamente se
abre usando la contraseña aula06.
• Elegimos el tipo de ataque de contraseñas mediante “fuerza bruta” Type of attack - Brute
Force. En la ficha Range marcamos solamente que busque contraseñas con letras
minúsculas y números.
• Abrimos el PDF a desproteger mediante Open. Como no conocemos, obviamente, la
contraseña de acceso al documento, pulsamos en Start Recovery. A partir de ese
momento, el programa prueba por fuerza bruta todas las combinaciones de contraseñas
posibles en función de las características que hemos establecido (máximo 6 caracteres con
letras minúsculas y números). Al final encuentra la contraseña. Es importante capturar la
ventana final de estadísticas del resultado obtenido. Pulsamos en Decrypt Now y
especificamos el nuevo nombre del documento PDF ya con la contraseña eliminada.

I.E.S. Al-Ándalus. Finca Santa Isabel, s/n – 04008 ALMERÍA –  950 15 69 36 – Fax 950 15 69 42
E-mail: iesalandalus@iesalandalus.org 4