‘12345’ es realmente malo: su guía definitiva para la seguridad de las contraseñas

Les hemos advertido una y otra vez que la única forma segura de almacenar y usar contraseñas es confiar en un administrador de contraseñas, pero algunos de ustedes no están escuchando. En una encuesta de PCMag sobre contraseñas, solo el 24 por ciento de ustedes informó que usaba un administrador de contraseñas. ¿Qué están haciendo el resto de ustedes? ¿Utiliza contraseñas sencillas como contraseña o 12345678? ¿Memorizar una contraseña compleja y usarla en todas partes? Escuche, cuidar la seguridad de las contraseñas no es un asunto menor, pero dada la enorme escala del riesgo, como se ilustra en la reciente violación de la Colección # 1, que expuso 773 millón direcciones de correo electrónico pirateadas: debe hacer todo lo posible para mantener sus contraseñas seguras.

Incluso si está utilizando el mejor administrador de contraseñas, no garantiza la seguridad de sus cuentas, no si usa el administrador de contraseñas para recordar esas mismas viejas y cansadas contraseñas. Tienes que meterte en las trincheras y cambiar las contraseñas incorrectas por otras nuevas y más fuertes.

Esa encuesta mencionada anteriormente reveló que el 35 por ciento de los lectores de PCMag nunca cambian sus contraseñas, a menos que se vean obligados a hacerlo por una infracción. En general, eso no es semejante una cosa mala. El Instituto Nacional de Estándares y Tecnología ya no recomienda cambiar las contraseñas cada 90 días. NIST ahora recomienda usar frases de contraseña largas como “Correct-Horse-Battery-Staple” y cambiarlas solo cuando sea necesario. Pero si utiliza contraseñas terribles, “cuando sea necesario” significa ahora mismo.

¿Qué hace que una contraseña sea incorrecta? Veremos algunos de los atributos de las contraseñas terribles y luego le daremos algunos consejos sobre cómo usar las contraseñas de la manera correcta.

Manténgase fuera del diccionario

Cada pocos meses, un medio de noticias u otro publica una lista de las peores contraseñas. Vemos muchas opciones fáciles de escribir, como 123456 y 12345678 y qwerty. ¿Fácil para ti? Por supuesto. Pero también es fácil de descifrar para los piratas informáticos. Otras contraseñas comunes (y deficientes) consisten en palabras sencillas del diccionario. Hemos visto béisbol, mono y guerra de las galaxias en la lista de las peores contraseñas. Estos también son fáciles de romper.

Contraseñas incorrectas

Algunos sitios web seguros se bloquean después de una cantidad determinada de intentos de contraseña incorrectos, pero muchos no lo hacen. Para aquellos que no tienen un bloqueo erróneo, los piratas informáticos pueden cruzar una lista de direcciones de correo electrónico con una lista de contraseñas populares y configurar un proceso automatizado para seguir probando combinaciones hasta que ingresen.

Un sitio web debidamente protegido no almacena su contraseña en ningún lugar. En cambio, ejecuta la contraseña a través de un algoritmo hash, una especie de cifrado unidireccional. La misma entrada siempre produce la misma salida, pero no hay forma de volver a la contraseña original del hash resultante. Si la contraseña que escribe tiene el mismo valor almacenado, obtiene acceso. Incluso si los piratas informáticos capturan los datos del usuario del sitio, no obtienen contraseñas, solo hash.

Pero los piratas informáticos inteligentes pueden descifrar contraseñas débiles incluso cuando están codificadas, si saben qué función de hash utilizó el sitio. Comienzan ejecutando un gran diccionario de contraseñas comunes a través de la función hash. Luego, buscan los hashes resultantes en los datos capturados. Cada partido es una contraseña descifrada. Los sitios con la mejor seguridad mejoran la función hash con una técnica llamada salazón, que hace imposible este tipo de craqueo basado en tablas, pero ¿por qué correr el riesgo? Manténgase fuera del diccionario.

Piensa diferente

Una amiga me dijo una vez su contraseña perfecta: 1qaz2wsx3edc4rfv. Podía “escribirlo” simplemente deslizando un dedo por cuatro columnas inclinadas del teclado. Era tan perfecto que lo usaba en todas partes. Y eso fue un gran error.

Apenas pasa una semana sin noticias de una brecha en alguna empresa o sitio web, exponiendo miles o millones de nombres de usuario y contraseñas. Las víctimas inteligentes cambian sus contraseñas de inmediato. Aquellos que ignoran el problema pueden verse bloqueados en sus propias cuentas después de que los piratas informáticos restablezcan la contraseña.

SecurityWatch

Esos hackers saben que demasiadas personas reciclan sus contraseñas. Una vez que encuentran un nombre de usuario y una contraseña que funcionan, prueban las mismas credenciales en otros sitios. Puede que no esté tan preocupado por perder el acceso a su cuenta de Club Penguin, pero si utilizó el mismo inicio de sesión en el sitio web de su banco, tiene un gran problema.

Se pone peor. Si alguien más toma el control de su cuenta de correo electrónico, primero puede bloquearlo cambiando la contraseña. Luego, pueden ingresar a sus otras cuentas enviando un enlace de restablecimiento de contraseña por correo electrónico a esa cuenta. ¿Preocupado todavía?

No seas personal

Usar información personal como base para sus contraseñas es terriblemente tentador, pero es una mala idea. Es muy probable que el nombre de su perro aparezca en los diccionarios que utilizan los piratas informáticos para los ataques de fuerza bruta. Otras posibilidades, como las iniciales y la fecha de nacimiento de un miembro de la familia, probablemente no caerán en un ataque de fuerza bruta, pero si alguien quiere piratear su cuenta específicamente, esos datos personales pueden alimentar un ataque de prueba y error.

No piense ni por un minuto que sus datos personales son privados. Hay docenas de sitios que las personas pueden usar para encontrar detalles sobre cualquier persona: dirección, fecha de nacimiento, estado civil y más. Sus publicaciones en las redes sociales pueden ser otra fuente de información personal, especialmente si no ha asegurado adecuadamente sus cuentas. Un hacker determinado (o un vecino entrometido) probablemente pueda adivinar cualquier contraseña que construya basándose en sus propios datos.

Cierra la puerta trasera

Si no está utilizando un administrador de contraseñas, seguramente ha experimentado olvidar la contraseña de un sitio. Es demasiado común, por lo que prácticamente todas las páginas de inicio de sesión incluyen un “¿Olvidó su contraseña?” Enlace. Algunos sitios envían un enlace de restablecimiento a su dirección de correo electrónico, mientras que otros le permiten restablecer la contraseña después de responder sus preguntas de seguridad. Y eso abre una puerta trasera para cualquiera que quiera hackear su cuenta.

Pregunta y respuesta de seguridad

La mayoría de los sitios ofrecen opciones abismales para cuestiones de seguridad. ¿Cuál es el apellido de soltera de tu madre? ¿Dónde fuiste a la escuela secundaria? ¿Cuál fue su primer trabajo? Como se señaló, su vida personal es un libro abierto para cualquier persona con habilidades de búsqueda en Internet. Cuando sea posible, ignore las preguntas preestablecidas. Crea tu propia pregunta, con una respuesta única que siempre recordarás pero que nadie más podría adivinar.

Es más difícil cuando el sitio no le permite definir sus propias preguntas. En ese caso, su mejor opción es usar una respuesta memorable que sea una mentira total. El apellido de soltera de mi madre es Obama. Fui a la escuela en Communist Martyrs High. Para mi primer trabajo, fui domador de leones. Existe un elemento de riesgo, ya que puede olvidar la mentira que eligió. Sugeriría almacenar estas respuestas extrañas como notas seguras en su administrador de contraseñas … pero si estuviera usando un administrador de contraseñas, habría recordado la contraseña por usted.

Qué hacer ahora que te importa

Espero haberte convencido de que usar contraseñas comunes es una mala idea, como crear contraseñas a partir de información personal. E incluso la mejor contraseña aleatoria segura se convierte en un riesgo si la usa en todas partes. Si está listo para actuar, aquí tiene algunos puntos de partida:

  • Utilice un administrador de contraseñas.
  • Cambie a un mejor administrador de contraseñas.
  • Recuerde una contraseña maestra increíblemente segura para su administrador de contraseñas.
  • Aproveche un generador de contraseñas aleatorias para actualizar sus viejas y malas contraseñas.
  • Incluso podría crear su propio generador de contraseñas aleatorias en Excel.
  • Habilite la autenticación de dos factores siempre que esté disponible.

Si un sitio seguro no se ocupa de la seguridad, aún podría perder las credenciales de ese sitio por una violación de datos, pero al hacer que todas sus contraseñas sean largas, sólidas y únicas, ha hecho todo lo posible para proteger sus cuentas en línea.

¡Y oye! Ahora que está en racha, en cuanto a seguridad, considere agregar una red privada virtual o VPN. El uso de contraseñas seguras para sitios seguros significa que otros no pueden ingresar a sus cuentas; agregar una VPN significa que no hay posibilidad de que nadie pueda interceptar su conexión a esos sitios seguros.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *