Todo lo que sabes de contraseñas está mal, pero el remedio es mejor de lo esperado

P

pilou12

Guest
Todo lo que sabes de contraseñas está mal, pero el remedio es mejor de lo esperado

La era de las contraseñas de 8 caracteres alfanuméricos está concluyendo. En el futuro no habrá que inventar combinaciones raras y previsibles


JORDI PÉREZ COLOMÉ
17 OCT 2018



1539734442_630080_1539771174_noticia_normal.jpg

Los passwords más usados hoy en internet son inmensamente fáciles de descifrar. PIXABAY


Los humanos somos previsibles también creando contraseñas. La mayoría tiene entre 6 y 8 caracteres, porque así nos lo aconsejaron. Un 55% tiene minúsculas y algún número, según esta base de datos de más 500 millones de passwordsfiltradas. Las mayúsculas y los signos especiales aparecen solo en un 0,6% de ellos. Los números más usados al final de las letras son también inmensamente previsibles. Las tres combinaciones de dos números más usadas son, al menos en esta muestra de 3 millones de contraseñas, 00, 23 y 69. Quien hace el esfuerzo de añadir tres cifras, tampoco se esfuerza especialmente: 123, 000, 001, 111, 007, 666.

Al final, lo familiar se impone: números cercanos, repetidos, s*x* deseado, James Bond o el demonio. Un algoritmo entrenado para buscar secuencias lógicas junto a la potencia de las máquinas actuales destrozarían nuestra mediocridad para inventar contraseñas.

El peligro de los códigos malos es por tanto cada día mayor. Aunque además de tenerlos malos, un 52% de los usuarios los recicla, según un estudio de la Universidad de Virginia Tech: "Aún más sorprendente, servicios online sensibles como webs de compra y email tienen la mayoría de passwords repetidos o modificados", dicen los autores. Una contraseña modificada es la que tiene uno dos caracteres cambiados para no repetir.

De momento, incomprensiblemente, no ha habido catástrofes generalizadas en ciberseguridad para usuarios comunes.

El email privado del autor de este artículo ha sido comprometido cinco veces: en los hackeos de bit.ly, Dropbox, LinkedIn, Tumblr y Stratford. Y acaba de enterarse: en esta web se pueden comprobar los emails afectados en 314 hackeos. Algunos de los códigos más usados también están miles de veces repartidos por internet. Aquí se pueden comprobar. Las fechas de nacimiento, por ejemplo, son passwords inmensamente repetidos. La inmensa mayoría de combinaciones de 6 minúsculas está ya en la base de datos.

El autor del consejo de 2003 de que usáramos contraseñas de al menos 8 caracteres con letras y números se arrepintió hace un año. Bill Nurr, antiguo director del National Institute of Standards and Technology de Estados Unidos, ahora jubilado con 73 años, dijo en 2017 en una entrevista al Wall Street Journalque lamentaba su propuesta: había creado un ejército de humanos buscando combinaciones sencillas de números y letras. Aquello que parecía un buen consejo se convirtió en millones de "abcd123" o "password1".

Cómo mejorar este drama
Una mejora posible es alargar esos 8 caracteres a 20 o más. Pero una sola combinación maravillosa tampoco es la solución. Mark Risher, director de seguridad de Google, ha comprobado que un password perfecto no sirve: es peor copiar el mismo, por bueno que sea, en varias webs que tener otros más sencillos, pero distintos. "Nuestra investigación ha probado que si alguien usa el mismo código en muchas webs y uno es comprometido, incrementa la probabilidad de ataque por un factor de 10. Pero si alguien cae en una trampa de phishing [suplantación de identidad] la probabilidad de un ataque con éxito se incrementa por 500", explica Risher.

La solución ideal es aparentemente sencilla: una contraseña distinta y compleja para cada web. Pero aquí viene el problema: ¿quién recordará docenas de "d$%29fht_pp*?2o8"? "Escríbelo en un papel o aún mejor archívalo en un gestor de passwords", dice Risher.

Las grandes tecnológicas tienen sus propios gestores. Hay además apps específicas, que no siempre son extremadamente intuitivas de usar. Hay una solución intermedia aceptable: crear frases o grupos de palabras. Contraseñas de 35 caracteres (con alguna ñ, mejor) son más difíciles de reventar.

El problema de fondo, sin embargo, sigue siendo el mismo: los usuarios no tienen incentivos para mejorar su seguridad porque no han visto peligrar sus datos. La creciente perfección del phishing puede cambiar esto. Un ejemplo reciente de un email creíble con phishing (comunicaciones@endesatemponegocios.com) decía: "Hemos detectado que una de tus facturas ha sido doblemente pagada. El origen de la mala estimación en nuestro sistema de débito automático, hemos deducido de su cuenta un importe de 765,00 EUR. En este caso debe confirmar su solicitud de reembolso". Y un enlace para poner tus datos. La cifra y el español malo dan pistas del fraude, pero es bastante más sofisticado que el eterno príncipe nigeriano.

Este tipo de phishing tiene grados de perfección. En el reciente hackeo de 29 millones de usuarios de Facebook, los atacantes se llevaron las cuatro últimas cifras de millones de tarjetas de crédito. No sirven para sacar dinero, pero tienen otros usos, según Risher: "Otra cosa que da bastante miedo. Algunos de los grandes hackeos ofrecen información que dan credibilidad. Por ejemplo, los cuatro últimos dígitos de tu tarjeta. Así que te pueden escribir algo así: 'Jordi, somos el Banco Santander sobre tu tarjeta de crédito que termina en ****3456'. Eso puede ser bastante creíble incluso si no saben tu número completo de tarjeta. Ese poco que saben hacer que parezca mucho más legítimo".

El phishing es para todos. Luego está el spear phishing, donde alguien busca entrar específicamente en tu cuenta, con una motivación que probablemente vaya más allá del dinero: "Los datos pueden ser más importantes que el dinero. Nuestra propia información puede ser usada para comprometer nuestras cuentas personales, organizaciones o, en casos extremos, la seguridad nacional del país", dice Michael Sirivianos, profesor en la Universidad de Tecnología de Chipre. El spear phishing fue el origen del hackeo al Partido Demócrata de Estados Unidos antes de las elecciones de Trump. O de la intrusión en Sony por parte de Corea del Norte.


1539734442_630080_1539772088_sumario_normal.jpg

Mark Risher, director de seguridad de Google. GOOGLE


A Risher no le gusta admitirlo para no dar sensación de derrota, pero el mayor éxito de seguridad de nuestra vida online es que no hemos sido interesantes para nadie. Porque, si alguien quiere, va a encontrar el modo de acceder a tu información más secreta: "Espero que la impresión que los lectores se lleven es que no todo es hackeable. Hay muchas cosas que se pueden hacer que limitan las oportunidades de que pase algo malo", dice Risher, pero sigue: "Aunque el porcentaje no llega a cero porque hay esa asimetría entre atacante y defensor. Como defensores tenemos que asegurarnos de que cada ventana, cada puerta, la chimenea, el sótano, todo esté cerrado. El atacante solo necesita una abierta para entrar. Eso es una gran ventaja, pero no significa que debas dejar la puerta sin cerrar".

El fin de todos los 'passwords'
El futuro de la contraseña es desaparecer. La seguridad online será tan importante que dependerá en algo físico: una llave, el móvil. Un equipo codirigido por Sirivianos ha creado uno de estos sistemas, ReCRED, donde la seguridad depende de poder acceder al móvil con factores biométricos: huella, reconocimiento facial. "Este sistema pasa la carga de la autenticación del usuario al móvil que siempre llevamos encima", explica, y da un plazo de 5 años para que su uso se generalice.

Google y otras plataformas ya ofrecen el doble factor de autenticación: si lo activas, solo puedes acceder a tu cuenta en un ordenador si lo permites desde el móvil. Así que si alguien no tiene tu móvil no puede entrar. Ahora mismo "el pináculo de la seguridad" que ofrece Google a sus usuarios es el Sistema de Seguridad Avanzado, que obliga a comprar dos llaves físicas, limita las apps de terceros que se pueden usar dentro del correo y analiza con más profundidad los mensajes para evitar phishings.

Aún otro modo de dejar atrás las contraseñas será el análisis del comportamiento online de cada usuario: "Hoy se investiga en sistemas de autenticación continua, que monitorizan las acciones del usuario. En caso de que el comportamiento difiera suficientemente de lo esperado se dispara un evento para que el sistema tome medidas", dice Andrés Marín, profesor de la Universidad Carlos III de Madrid.

La magnitud del negocio del hackeo es enorme. Risher no explica si hay incluso gobiernos detrás de algunos esfuerzos criminales: "Es posible localizar dónde está esta gente, pero no es una inversión porque vemos los mismos tipos de ataques de muchos adversarios distintos, y no dedicamos por tanto mucha energía a atribución". Sus recursos van más allá de unos cuantos hackers en un sótano de algún país lejano: "Es un negocio provechoso. Hay grupos donde un equipo investiga, otro trabaja con infraestructura (servidores), otros preparan los mensajes e incluso un último equipo lleva recursos humanos y salarios. Algunos tienen oficinas por todo el mundo para tener diferentes coberturas horarias y mucha especialización", explica Risher, que añade: "Desafortunadamente, los 20 años de historia de email y spam ha enseñado a la gente que se puede hacer dinero ahí y es útil investir".

Algo que sin embargo no ha ocurrido es que en Hollywood hayan pillado de qué va esto del hackeo: "En las películas ves a un hacker de élite que trabaja para el Gobierno, con recursos infinitos, pero en realidad esos recursos se usan para tener una habitación llena de gente apretando el botón de "enviar" hasta que un mensaje sale", dice Risher.

https://elpais.com/tecnologia/2018/10/17/actualidad/1539734442_630080.html
 
Al principio sera seguro esa nueva forma, pero normalmente consiguen una forma de quebrantar esa seguridad y el ciclo continua.
 
Típicos errores que cometemos al usar nuestras contraseñas, y cómo corregirlos




c3_img_blog_cabecera_errores_comunes.jpg

¿Eres de los que recicla tus contraseñas? ¿Utilizas tu fecha de nacimiento o el nombre de tu mascota? Quizás te identifiques más con el uso de cadenas de números o letras como las típicas “123456” o “qwerty”. Este tipo de prácticas son muy habituales entre los usuarios y tras leer el siguiente artículo sobre los errores más comunes a la hora de crear una contraseña, probablemente te replantees si deberías cambiar las tuyas.
¿Por qué crear contraseñas robustas?
c3_img_blog_dispositivos_seguros.jpg


Ya sea por comodidad o desconocimiento, muchos de nosotros, los usuarios, solemos utilizar la misma contraseña en diferentes cuentas cambiando algún que otro carácter; a esto se le llama “reciclar contraseñas”. El riesgo de este tipo de prácticas es muy alto, ya que, si una de ellas se filtra, cualquier ciberdelincuente no tardaría en vulnerar la seguridad del resto.

Las contraseñas son las llaves que abren la puerta a nuestros datos personales, éstos que queremos mantener a salvo bajo cualquier circunstancia, como: número de teléfono móvil, mensajes de correo y chat, transacciones bancarias, información sobre pedidos online, etc.

Evitar que nuestras contraseñas caigan en malas manos es algo que depende solo de nosotros. Por ello, es tan importante que, a la hora de generar contraseñas, las generemos de manera segura.

¿Cuáles son los errores más comunes a la hora de crear una contraseña?
Uno de cada cinco españoles escribe sus contraseñas en un cuaderno para no tener que recordarlas. Este es otro de los errores más comunes que solemos cometer como usuarios. Obviamente hacer esto no es una buena práctica, ya que cualquiera que lo vea, podrá acceder a nuestros servicios.

Elegir una buena contraseña a veces puede suponer un desafío, ya que contamos con varias cuentas que proteger; entre éstas están la contraseña de nuestros ordenadores, de nuestra cuenta bancaria, de las redes sociales que usemos, de nuestros correos y nuestros móviles, entre otras.

La mejor forma de empezar a diseñar una contraseña robusta y segura es utilizar el sentido común y evitar conceptos demasiado evidentes. Un ejemplo de esto puede ser el uso de palabras como “contraseña” o “admin”. También debemos evitar los datos personales. ya que estos son aún más fáciles de descifrar por medio de técnicas de ingeniería social o entre los mismos conocidos.

Es importante tener en cuenta que cuando creamos una contraseña, ésta debe resultar fácil de recordar, por supuesto, sin que este hecho afecte a su robustez. Teniendo en cuenta estos dos aspectos, podemos generar un criterio para que la contraseña nunca se nos olvide ¡sin necesidad de tener que apuntarla en ningún sitio! Nos referimos a utilizar alguna regla nemotécnica como explicaremos más adelante del artículo.

En cualquier caso, hay que evitar cometer errores tan comunes como los siguientes:

  1. Reciclar contraseñas: un error muy frecuente es utilizar la misma clave para múltiples cuentas o aplicaciones.
  2. Memorizar contraseñas en función del teclado: muchos usuarios usan el teclado como guía para recordar contraseñas fácilmente (ej.: “123456” o “qwerty”).
  3. Usar expresiones hechas: entre otro de los errores más comunes es el uso como contraseñas de frases como “teamo”, “iloveyou”, “teodio”, etc.
  4. Utilizar aficiones: algunos usuarios fanáticos suelen usar el nombre de sus marcas, deportes, equipos o bandas de música favoritas.
  5. Apuntarlas en notas: aunque se haya creado una clave robusta, nunca se debe dejar por escrito y mucho menos a la vista de cualquiera.
  6. Hacer uso de patrones sencillos: como que la primera letra esté en mayúscula seguida de 4 o 5 en minúscula o usar uno o dos números y finalizar con un carácter especial como un punto o signo de exclamación (Ej.: Perro26!).
Gestionar contraseñas robustas no debería ser una tarea complicada o difícil de recordar. Una opción es sustituir algunas letras por números parecidos, por ejemplo, la “e” por el “3”. De esta manera la clave termina siendo difícil de descifrar, pero al mismo tiempo fácil de recordar.

c3_img_blog_clave_simple_robusta.jpg


El método que utilicemos para hacer nuestras contraseñas robustas depende de nosotros.

Otro ejemplo podría ser utilizar como patrón, las teclas del teclado:

c3_img_blog_clave_simple_nemotecnica.jpg


Gestionar múltiples contraseñas y uso de gestores de contraseñas
Hoy en día, existen muchas aplicaciones que funcionan como gestores de contraseñas. Este tipo de servicios permiten almacenar diferentes claves para distintos servicios, pudiendo mantener una gran cantidad de cuentas de usuario sin necesidad de tener que memorizarlas todas.

El sistema es muy sencillo. Generalmente bastará con crearnos una cuenta para acceder a nuestro gestor por medio de un usuario y contraseña. Estos datos de acceso son los únicos que necesitaremos memorizar, por lo que ¡tratemos de no olvidarlos!

Una vez dentro del servicio, solo tendremos que añadir aquella cuenta que queramos almacenar, junto a su servicio asociado. Por ejemplo, cuentas en las distintas redes sociales. Podremos almacenar todas las cuentas que necesitemos, sin la preocupación de tener que memorizar todas sus contraseñas.

Entre sus ventajas están:

  1. Generar contraseñas robustas aleatorias.
  2. Almacenan todas nuestras contraseñas de manera cifrada. Así que solo nosotros podemos acceder a ellas.
  3. Nos recuerda que debemos cambiar nuestras contraseñas al pasar un tiempo determinado, si son demasiado débiles o si están repetidas en otros servicios.
c3_img_blog_lastpass_gestor_contrasenas.png


Nuestras cuentas podrán ser consultadas únicamente por nosotros y siempre que lo necesitemos. Algunos de estos servicios disponen de versión para nuestros dispositivos móviles, por lo que siempre podremos llevarlas con nosotros.

¿Y si nuestras contraseñas se han filtrado?
Ahora bien, supongamos que ya contamos con contraseñas robustas y además, usamos un gestor de contraseñas, ¡perfecto! Pero aun así… nuestra cuenta podría estar comprometida. Si se han filtrado credenciales de servicios que usamos es importante saberlo, y así determinar si debemos cambiar nuestras contraseñas inmediatamente. No es tan raro que esto suceda, recientemente se hizo pública una filtración de datos (usuarios y contraseñas), que se dio a conocer por el nombre de #Collection1, que afectó a millones de usuarios de todo el mundo.

Para comprobar si nuestras credenciales de los servicios en los que estamos registrados se han filtrado, podemos acceder a este portal “HAVE I BEEN PWNED” el cual cuenta con una base de datos de credenciales que han sido filtradas. ¡Nos ayudará a mantenernos al día con nuestras cuentas y contraseñas! Si detectamos que alguna de nuestras cuentas está afectada, rápidamente deberemos cambiar la contraseña.

Recordemos la importancia de crear contraseñas robustas, los pasos que debemos seguir para lograrlo, cómo gestionar nuestras credenciales de los diferentes servicios y cómo mantenernos al día con la seguridad de nuestras cuentas.

Y tú ¿crees que tus contraseñas y credenciales están lo suficientemente seguras? ¿Te identificas con alguno de los errores más comunes? Comparte tus opiniones y experiencias con el resto de los usuarios y estate atento a las nuevas actualizaciones para mejorar la seguridad de tus contraseñas.

Artículo enmarcado dentro de la campaña ¡Contraseñas seguras!
https://www.osi.es/es/actualidad/bl...cometemos-al-usar-nuestras-contrasenas-y-como
 
DÍA MUNDIAL DE LA CONTRASEÑA
Cómo crear una contraseña robusta y fuerte
De cara a mantener nuestra información segura te explicamos algunas pautas y consejos a seguir en los servicios digitales
34932339-koP--620x349@abc.jpg


@abc_tecnologia
MADRID
Actualizado:02/05/2019 01:31h

La mayoría de servicios digitales emplean contraseñas para gestionar la información de sus usuarios. Un dato que, pese a tener asumido como elemento indispenable, todavía se suele descuidar por parte de muchos usuarios registrando combinaciones suaves y débiles como el empleo de nombres personales o fechas de nacimiento.

Y eso a pesar del peligro que ello conlleva. Según apuntan expertos de la firma Entelgy Innotec Security, los ataques más comunes que sufren tanto empresas como particulares son, por un lado, los llamados ataques de fuerza bruta -el ciberdelincuente utiliza programas especiales que prueban contraseñas al azar hasta dar con la correcta-, el «phishing» -suplantación de identidad- o ataques de ingeniería social -no se llevan a cabo a través de equipos informáticos sino que puede ser incluso espiar lo que escribe la víctima-.

Un escenario que, además de los quebraderos de cabeza que ocasiona, puede derivar en importantes pérdidas económicas para una empresa. Según las estimaciones de la consultora Ponemon Institute, un robo de información puede provocar pérdidas de 3,41 millones de euros. Los expertos creen que en la mayoría de los casos se debe al empleo de contraseñas poco robustas.

«Contar con contraseñas seguras es un factor fundamental tanto para organizaciones empresariales como para el usuario. Es mucha e importante la información que hay detrás de una clave por ello, a la hora de crear una contraseña tiene que ser la más segura y robusta posible», explica en un comunicado Félix Muñoz, director general de Entelgy Innotec Security.

Un diagnóstico en el que coinciden otros expertos. «En la era digital en la que vivimos, casi todos nuestros servicios online requieren una contraseña. Se han convertido en la llave para acceder a todos nuestros datos personales: contactos, detalles bancarios, fotos y más. Por eso, los cibercriminales con su malware, bots, spam y campañas de phishing, siempre están en busca y captura de nuestras contraseñas», añade por correo electrónico Francisco Sancho, Product Partner Manager Consumer and Mobile en McAfee España.

Recomendaciones y pautas a seguir:

1.- Cambiar la contraseña por primera vez: Según el último informe del Centro Nacional de Ciberseguridad de Reino Unido (NCSC) 23,2 millones de usuarios de todo el mundo que han resultado víctimas de una brecha de seguridad utilizaban como contraseña para sus cuentas «123456». Para evitar estos ataques es recomendable, en primer lugar, modificar la contraseña la primera vez que accedemos a una nueva cuenta o equipo.

2.- Cuidar la contraseña: Otra de las recomendaciones más necesarias puede ser algo rudimentaria pero funciona. Hay que evitar darle la combinación de la clave a una persona. De hecho, según varios estudios, en torno a un 69% de profesionales admite compartir contraseñas con sus compañeros de trabajo, una práctica muy poco segura si, además, esta información se transmite por algún medio online. Lo recomendable es no dar este dato a ningún compañero de trabajo ni dejarla apuntada en ningún documento.

3.- Utilizar una contraseña distinta: En muchas ocasiones, los usuarios, por los motivos que sean (pereza, comodidad, desconocimiento), empelan la misma clave para todos sus servicios, como el buzón de correo electrónico o la red social donde tenga presencia. Eso es un error. Los expertos creen que es muy importante crear una contraseña diferente para cada cuenta de usuario, de forma que si una es robada no se vean comprometidos varios servicios.

4.- Combinar mayúsculas, minúsculas y caracteres especiales: Se suele decir a menudo, pero es necesario recalcarlo más. Es preferible elegir una contraseña de más de 8 caracteres, la cual deberá incluir signos, caracteres especiales y alternar mayúsculas y minúsculas. Además, será importante evitar palabras comunes o relacionadas con información personal del usuario.

https://www.abc.es/tecnologia/consu...na-robusta-y-fuerte-201905020131_noticia.html
 
Back