Plantilla:Committed identity

Documentación de la plantilla[ver] [editar] [historial] [purgar]

Esta plantilla le da un manera para demostrar que usted es la persona que controlaba la cuenta el día en que se colocó esta plantilla. Esto se hace poniendo un código (llamado "hash") en su página de usuario para que, en el caso de que su cuenta está comprometida, puede convencer a alguien que usted es realmente la persona detrás de su usuario.

¿Por qué?

El uso previsto de esta plantilla es ayudar en el caso de que su cuenta esté comprometida. Si usted publicó su identidad de la vida real, entonces esa identidad podría ser usada para restablecer el contacto con usted si su cuenta fue comprometida; Sin embargo, muchos usuarios de Wikipedia no revelan sus identidades de la vida real, o revelan poco lo que puede ser difícil para establecer su identidad.

Esto no es un reemplazo para tener una contraseña robusta, ni para registrar una dirección de correo electrónico para su cuenta. Debería hacer todo lo posible para evitar que su cuenta se vea comprometida, incluyendo el uso de una contraseña segura y recordar que debe cerrar la sesión cuando use una computadora a la que otros puedan tener acceso. Si tiene una, también puede ser útil publicar su clave pública PGP. Pero incluso con las mejores precauciones, su cuenta podría verse comprometida, por ejemplo, a través de un troyano (caballo de troya) o un ataque de fuerza bruta contra su contraseña. Esto está destinado a ser un último recurso.

Como

La idea es usar un hash criptográfico: Elegir una cadena secreta conocida solo por usted, pasarla por una función hash unidireccional y publicar el resultado. Es imposible determinar la cadena secreta para el hash, por lo tanto, un atacante puede llegar a comprometer su cuenta pero no puede proporcionar su cadena secreta.

Syntax

{{Committed identity|hash|tipo función empleada|background=CSS color|border=CSS color}}

Donde

• Hash es la cadena que se obtiene al pasar su secreto por la función hash
• En tipo función empleada indica la función hash empleada, por omisión es SHA-512.
• El parámetro background define el color de fondo a usar, por omisión es #E0E8FF .
• El parámetro border define el color del recuadro a usar, por omisión es #E0E8FF .

Por ejemplo, si usted tiene un hash ef7c4c55a176bd20ed558aaefde21c4803080195 empleando SHA-3 puede emplear el código:

{{Committed identity|ef7c4c55a176bd20ed558aaefde21c4803080195|SHA-3|background=#FC9|border=#000}}

esto produce

Escogiendo una buena cadena secreta

1. Su cadena secreta debe terminar con una larga serie aleatoria como «fFfwq0DuDmMXj8hYTM3NTKeDhk». Esto asegura que la fuerza bruta y los ataques de diccionario no pueden inferir la identidad de su hash público.
2. Su cadena secreta debe especificar suficiente información que, si la cadena fue revelada, podría inequívocamente probar que coincide con esa identidad. Al menos dos medios de contacto es una buena regla. Por ejemplo, su cadena secreta podría incluir un número telefónico y una dirección de correo electrónico a la que puede ser contactado. Sin embargo, no debería contener datos que no esté dispuesto a mostrar al personal administrativo de Wikipedia.
3. Trate de no elegir una cadena secreta que represente información que pueda cambiar. Por ejemplo, puede ser malo elegir una cadena que especifique sólo su número de teléfono pues ese número podría cambiar.
4. Si desea cambiar su cadena secreta, hágalo, pero mantenga un registro de todas sus viejas cadenas secretas. Es mejor revelar todas si alguna vez desea confirmar su identidad, ya que esto establecerá que usted es la misma persona que utilizó su cuenta desde el primer momento en que se publicó la identidad comprometida.
5. Opciones avanzadas:
   • Si tiene cuentas públicas en otros sitios web con contraseñas diferentes, enumere las URL de esas cuentas. Posteriormente, puede tomar una acción especificada para demostrar que posee esas cuentas. Por ejemplo, si tiene una cuenta de YouTube, un administrador puede proporcionar una cadena que inserte en un comentario de vídeo.
   • Puede incluir información como su número de licencia de conducir, número de identificación nacional o número de pasaporte. A continuación, puede proporcionar copias de estos documentos como evidencia adicional para probar su identidad.
   • Otra opción es tomar una foto o vídeo de ti mismo, tomar un hash SHA del archivo resultante, e incluir ese hash en tu cadena secreta. Conserve el archivo de esa foto o vídeo. A continuación, puede suministrar el archivo a un administrador, y pueden hacer videollamadas con usted y comparar el archivo con su aspecto actual. Esto seguirá siendo eficaz incluso si el atacante ha comprometido todos sus medios de contacto de la lista.

Ejemplos

Datos mínimos: al menos dos formas de contacto y una cadena aleatoria:

joe@example.com 555-123-3456 fFfwq0DuDmMXj8hYTM3NTKeDhk

Un ejemplo mas completo: Nombre y apellidos, múltiples formas de contacto, información de contacto para amigos de confianza y una cadena aleatoria:

Joe Schmoe. joe@example.com. 555-123-3456. P.O. Box 1234, San Jose, CA. My best friend Bob's email: bob@example.com. fFfwq0DuDmMXj8hYTM3NTKeDhk

Un ejemplo completo que incluye varias personas de confianza y opciones avanzadas:

Joe Schmoe. joe@example.com. 555-123-3456. P.O. Box 1234, San Jose, CA.
My best friend Bob's contact info: bob@example.com, 555-234-5678
My wife's contact info: anne@example.com, 555-345-6789
Other accounts: http://www.youtube.com/user/joeschmoe http://flickr.com/photos/joeschmoe/
Driver's license number: 123456789, SSN: 123-45-6789, passport number: 9876H432L
SHA-512 of joeschmoe.jpg: 747ec1836486a3dbe8a5d6805a2cc080fb8dc427d9535579ecb04c750d7a4a515641fd0411ed6bb97242a3e63ab9cbd4d6d66c27611ff5f98aa84497bf64b8a8
NSffKWSHaGbcTm3WGtE8hyUQ

En este caso, Joe proporcionaría la cadena anterior (por ejemplo, como un archivo de texto) y joeschmoe.jpg al personal administrativo. El personal podría pedirle que publique un comentario específico en YouTube, que envíe un escaneo de su pasaporte o una videollamada para confirmar que su apariencia coincide con joeschmoe.jpg.

Obtener el hash

Asegúrese de anotar la cadena exacta que ingresa en el formulario, en caso de que necesite usarla más tarde. Es importante que esta cadena sea fácilmente recordada por usted y difícil de adivinar o encontrar por cualquier intruso: si un intruso conoce la cadena secreta, entonces este esquema es parcialmente socavado. El nombre de usuario es público y trivialmente adivinable; La contraseña no es una buena opción, ya que en el caso de una cuenta comprometida, es probable que la contraseña haya sido adivinada.

Hay varios métodos que puede utilizar para obtener el hash de su cadena secreta. Algunos métodos utilizan sitios web, mientras que otros usan sólo software que se ejecuta en su computadora (local). Los pros y los contras de ambos se describen a continuación.

Seguridad

Los métodos basados en Web requieren que ingrese su cadena secreta en una página web que podría estar recopilando esa información. Sin embargo, si su cadena secreta incluye información acerca de las cosas que controla, como se recomienda, alguien que conociera su cadena secreta y su nombre de usuario de Wikipedia no podría tomar el control de su cuenta de Wikipedia. Por lo tanto, el riesgo de seguridad asociado con los métodos basados en web es bastante bajo. También considere que cualquier información personal en su cadena secreta podría ser revelada a los operadores del sitio web. Si estos factores son inaceptables para usted, utilice un método local.

Facilidad de uso

Los métodos locales son más difíciles de usar y pueden requerir que instale software adicional en su computadora. Los métodos basados en Web son en gran medida auto-explicativos: simplemente copia y pega la cadena secreta en un cuadro de una página web y haz clic en un botón o enlace. El sitio web calcula el hash y lo muestra, y lo copia y lo pega en su plantilla {{ Committed identity}}. Sólo necesita realizar las operaciones de copiar y pegar correctamente, teniendo cuidado de no dejar caer ni añadir ningún carácter.

Para verificar cualquier método de hash SHA-512, utilícelo para generar el hash para la siguiente cadena: My name is Joe Schmoe, and I can be contacted at: joe@example.com

Método web

Uno de los sitios web que puede utilizar para generar fácilmente un hash SHA-512 es éste. Copie y pegue la cadena secreta en el primer cuadro y, a continuación, haga clic en el botón "Convertir archivo". El sitio mostrará una caja que contiene su hash en cuatro formatos: hex, HEX, h: e: x y base64. Utilice el primer formato, denominado "hexadecimal", e ignore los tres formatos restantes. Copie y pegue el valor de hash de 128 caracteres, sin incluir la etiqueta "hexadecimal". El cuadro es desplazable horizontalmente, lo que requiere que seleccione el valor de izquierda a derecha, haciendo que el cuadro se desplace. Cuando se selecciona todo el valor (resaltado), cópielo usando Ctrl+C, ⌘ Cmd+C u otro método apropiado para su tipo de computadora. A continuación, pegue el valor en su plantilla.

Método local

En sistemas tipo unix las utilerías sha1sum, sha224sum, sha256sum, sha384sum y sha512sum se incluyen en las GNU Core Utilities.

Los usuarios de Windows pueden utilizar uno de los métodos mencionados a continuación; Aquellos que tienen PowerShell instalado pueden generar un hash utilizando el siguiente comando. (La plantilla predeterminada es SHA-512 si se omite el parámetro de función hash). Proporcione su frase secreta en la ubicación indicada:

[bitconverter]::tostring((new-object security.cryptography.sha512managed).computehash([text.encoding]::utf8.getbytes("cadena secreta"))).replace("-", "")

Los usuarios de Windows 7 y Windows 8.1, en los que PowerShell está instalado de forma predeterminada, pueden generar un hash mediante el comando Get-FileHash. Un hash de 512 bits se puede generar guardando su frase secreta en un archivo de texto, que se indica aquí como el archivo "secreto.txt", ubicado en la carpeta "C:\Users\JoeShmoe" and ejecutando el comando:

PS C:\Users\JoeShmoe> Get-FileHash secreto.txt -Algorithm SHA512 | Format-List

Se recomienda utilizar SHA-512, ya que recientemente se ha demostrado que SHA-1 es un algoritmo inseguro que debe ser evitado. Por seguridad, sólo debe utilizar programas ejecutados localmente, o javascript de cliente, para crear su hash. Ejemplos de tales calculadoras de hash incluyen SHA512 Encrypt, jsSHA and HashCalc 2.01.

Cuenta comprometida

En caso de que su cuenta esté vulnerada, para hacer uso de su identidad comprometida y demostrar que es la misma persona que originalmente controló la cuenta, dé a un bibliotecario de confianza la cadena secreta exacta que ingresó originalmente en la caja. A continuación, se puede calcular el hash adecuado de esa misma cadena, verificar que es el mismo resultado y confirmar que eres quien dices ser.

Una vez que haya establecido su identidad y configurado una nueva cuenta o recuperado el control de la cuenta original, probablemente querrá crear un nuevo hash.

Debilidad

Esta técnica de establecer la identidad mediante la revelación de la cadena secreta detrás del hash no es intrínsecamente defensa a un ataque. Aumenta sustancialmente el esfuerzo del atacante (si la cadena secreta es elegida y manejada adecuadamente con poco esfuerzo al usuario legítimo) lo que vale la pena. Pero es atacable cuando cualquiera puede inventar su propia cadena secreta con un hash y reclamar una identidad.

Un atacante con acceso a la cuenta podría sobrescribir el hash. Entonces podría decir que el dueño anterior de la cuenta era un atacante que demandó su identidad y generó su propio hash.

Un atacante sin acceso a la cuenta podría alegar que el propietario de la cuenta corriente robó su identidad. El atacante podría declarar que no publicó un hash cuando solían poseer la cuenta o que no registraron una cuenta y que otra persona está usando su nombre.

Esta debilidad no indica que carece de valor.

Véase también

• Don't leave your fly open (essay)
• User:Unimaginative Username/Simple Committed ID Instructions
• Strong password
• Wikipedia:Changing username
• Wikipedia:Security
• Wikipedia Signpost: Committed identity
• Two-factor authentication

Userbox

{{Usuario:PetrohsW/userbox CommittedIdentity|97276338}}

Este usuario emplea Committed identity para confirmar su identidad