Archivo de la etiqueta: inseguras

(In)seguridad en las contraseñas

Un articulo de Oscar Abendan (AV-PH)

El mes de junio se está convirtiendo en un mes muy malo para la seguridad de las contraseñas. La semana pasada tres sitios principales – Linkedin, eHarmony y last.fm – han sufrido importantes fugas que han publicado millones de contraseñas de los usuarios en línea. A principios de esta semana, se reveló que el juego League of Legends también ha sufrido su propio capitulo de fallos, que ha supuesto que los datos de los clientes – incluyendo contraseñas – salieran a la luz pública.

¿Qué hemos aprendido con estos incidentes sobre la seguridad de las contraseñas? Que la gente sigue utilizando contraseñas lamentablemente inseguras. Demasiadas personas siguen utilizando contraseñas muy cortas como 1234, o las palabras que son demasiado cortas o previsibles (por ejemplo:  job  o LinkedIn). Incluso algunas contraseñas que a primera vista parecen seguras luego serán simples de adivinar (nombres y combinaciones de sitios como davidlinkedin, boblinkedin; relacionados con el sitio. También  juegos de palabras como leakedin linkedout formaban parte de la lista).

Los atacantes tienen ahora una cantidad abrumadora de poder de computación a sus disposición gracias a las GPU, que pueden ser fácilmente convertidas en herramientas  para llevar a cabo ataques de fuerza bruta. Esto hace que el almacenamiento seguro de contraseñas sea actualmente un tema de debate que involucra tanto a investigadores de seguridad como a administradores de TI. Sin embargo, esto es algo sobre lo que los usuarios no tienen control.

Lo que si pueden hacer los usuarios es mejorar las contraseñas que utilizan. He aquí nuestros consejos para hacerlo:

  •  Frases, no palabras. Tener una contraseña más larga es una parte esencial de la mejora de las contraseñas de usuario. De diez a doce caracteres es un buen comienzo; para los sitios más sensibles (como los bancos) es recomendable contraseñas más largas. Por supuesto,  si tus palabras claves son tan largas deberías usar frases claves en vez de palabras. Palabras excesivamente largas como Supercalifragilisticoespialidoso pueden ser un poco difíciles de recordar con precisión. Lo más seguro es que cometamos algún fallo. Elige frases completamente al azar (incluso sin sentido) que puedas recordar de alguna manera… de forma creativa y personal, y se mantengan alejadas de contraseñas potenciales, como películas y otros asuntos de la cultura pop de hoy. Por ejemplo,” ZombiesWantBrains” probablemente no sería una buena contraseña. Una frase más adecuada, más aleatoria, sería “ComputerSwimmingMelonLamp”.
  • Reciclar es bueno menos para las contraseñas. Hagas lo que hagas, no recicles contraseñas. Como mínimo, una contraseña descubierta será añadida  a la lista de contraseñas conocidas que los atacantes podrían utilizar en primer lugar. Si el nombre de usuario fue también comprometido, entonces el atacante podría  ser capaz de tener una combinación de nombre de usuario + contraseña que utilizará en otros lugares. Resumiendo: no reciclar la misma contraseña en varios sitios.

Por supuesto, estos consejos se basan fundamentalmente en las limitaciones de la mayoría de las personas que tienen dificultades para recordar las contraseñas. Gestores de contraseñas, tales como DirectPass también puede ayudar a reducir la carga sobre los usuarios almacenando las contraseñas de estos. Además de almacenar las contraseñas en la nube hacen que estas sean accesibles mediante múltiples dispositivos, ya sean PCs, smartphones o tabletas.