12345′ es realmente malo: Tu última guía para la seguridad de las contraseñas

Les hemos recordado repetidamente que la única forma segura de almacenar y usar las contraseñas es usar un administrador de contraseñas, pero algunos de ustedes no están escuchando. En una encuesta sobre las contraseñas, sólo el 24 por ciento de ustedes dijeron que usan un administrador de contraseñas. ¿Qué hacen los demás? ¿Utilizas contraseñas simples como Password o 12345678? ¿Recordar una contraseña compleja y usarla en todas partes? Mira, no es poca cosa preocuparse por la seguridad de las contraseñas, pero dada la enorme escala del riesgo – como lo demuestra la reciente violación de la Colección No. 1, que descubrió 773 millones de direcciones de correo electrónico hackeadas – debes hacer todo lo posible para mantener tus contraseñas seguras.

Aunque uses el mejor administrador de contraseñas, no garantiza la seguridad de tus cuentas – no si usas el administrador de contraseñas para recordar las mismas viejas y cansadas contraseñas. Tienes que ir a las trincheras y reemplazar las malas contraseñas por otras nuevas y más fuertes.

La encuesta mencionada anteriormente mostró que el 35 por ciento de los lectores  nunca cambian sus contraseñas a menos que se vean obligados a hacerlo por una infracción. En general, esto no es así que es algo malo. El Instituto Nacional de Estándares y Tecnología ya no recomienda cambiar las contraseñas cada 90 días. El NIST recomienda ahora usar frases largas como «Correcto-Caballo-Batería-Grapa» y cambiarlas sólo cuando sea necesario. Pero si usas contraseñas horribles, «cuando sea necesario» significa ahora mismo .

¿Qué es exactamente lo que hace que una contraseña sea mala? Veremos algunas de las características de las contraseñas terribles, y luego le daremos algunos consejos sobre cómo hacer las contraseñas correctas.

Aléjate del diccionario

Cada pocos meses una u otra agencia de noticias publica una lista de las peores contraseñas. Vemos muchas opciones fáciles de introducir como 123456 y 12345678 y qwerty. ¿Fácil para ti? Claro, pero también es fácil de descifrar para los hackers. Otras contraseñas comunes (y malas) consisten en simples palabras de diccionario. Hemos visto Béisbol, Mono y Starwars en la lista de las peores contraseñas. También son fáciles de romper.

Bad Passwords12345' es realmente malo: Tu última guía para la seguridad de las contraseñas

Algunos sitios web seguros se bloquean después de un cierto número de intentos de contraseñas incorrectas, pero muchos no lo hacen. Los hackers pueden cruzar una lista de direcciones de correo electrónico con una lista de contraseñas comunes y establecer un proceso automatizado para seguir intentando combinaciones hasta que lleguen.

En un sitio web debidamente asegurado, su contraseña no se almacena en ningún lugar. En su lugar, ejecuta la contraseña a través de un algoritmo hash, una especie de encriptación unidireccional. La misma entrada siempre produce la misma salida, pero no hay forma de volver a la contraseña original a partir del hash resultante. Si la contraseña que ingresa es codificada con el mismo valor que se almacena, se obtiene acceso. Incluso si los hackers capturan los datos de los usuarios del sitio, no obtendrán contraseñas, sólo hashes.

Pero los hackers inteligentes pueden descifrar contraseñas débiles incluso si están «hash», si saben qué función de «hash» utiliza el sitio web. Comienzan por ejecutar un enorme diccionario de contraseñas comunes a través de la función de hashing. Luego buscan las pistas resultantes en los datos capturados. Cada coincidencia es una contraseña descifrada. Los sitios con la mejor seguridad amplían la función de hashing con una técnica llamada salazón, que hace imposible este tipo de craqueo en la mesa, pero ¿por qué arriesgarse? Sólo mantente alejado del diccionario.

Piensa de forma diferente

Una amiga me dijo una vez su contraseña perfecta: 1qaz2wsx3edc4rfv. Podía «teclear» simplemente deslizando un dedo por cuatro columnas inclinadas del teclado. Era tan perfecto que lo usaba en todas partes. Y eso fue un gran error.

Apenas pasa una semana sin que se sepa de una violación de una empresa o sitio web que exponga miles o millones de nombres de usuario y contraseñas. Las víctimas inteligentes cambian sus contraseñas inmediatamente. Los que ignoran el problema pueden sentirse bloqueados en sus propias cuentas después de que los hackers restablezcan la contraseña.

Estos hackers saben que demasiada gente recicla sus contraseñas. Una vez que han encontrado un par de usuario/contraseña que funciona, intentan las mismas credenciales en otros sitios. Puede que no te preocupe tanto perder el acceso a tu cuenta del Club Penguin, pero si has usado el mismo login en la página web de tu banco, estás en un gran problema.

Se pone peor. Si otra persona obtiene el control de tu cuenta de correo electrónico, primero puede bloquearte cambiando tu contraseña. Luego pueden entrar en sus otras cuentas haciendo que se les envíe por correo electrónico un enlace para restablecer la contraseña de esa cuenta. ¿Ya estás preocupado?

No te vuelvas personal

Usar la información personal como base de sus contraseñas es terriblemente tentador, pero es una mala idea. Es probable que el nombre de tu perro aparezca en los diccionarios que los hackers usan para los ataques de fuerza bruta. Otras posibilidades, como las iniciales y la fecha de nacimiento de un miembro de la familia, probablemente no caigan en un ataque de fuerza bruta, pero si alguien quiere específicamente hackear su cuenta, esta información personal podría desencadenar un ataque de adivinación de prueba y error.

No piense ni por un minuto que sus datos personales son privados. Hay docenas de sitios web donde puedes encontrar detalles sobre cada persona: dirección, fecha de nacimiento, estado civil y más. Sus publicaciones en los medios sociales pueden ser otra fuente de información personal, especialmente si no ha hecho una copia de seguridad de sus cuentas correctamente. Un hacker decidido (o un vecino entrometido) probablemente puede adivinar cualquier contraseña que crees en base a tu propia información.

Cierra la puerta trasera

Si no estás usando un administrador de contraseñas, probablemente has olvidado la contraseña de un sitio web. Por eso prácticamente todas las páginas de acceso tienen un «¿Olvidó su contraseña? Algunos sitios envían un enlace de restablecimiento a tu dirección de correo electrónico, mientras que otros te permiten restablecer tu contraseña después de responder a tus preguntas de seguridad. Y eso abre una puerta trasera para cualquiera que quiera hackear tu cuenta.

12345' es realmente malo: Tu última guía para la seguridad de las contraseñas

La mayoría de los sitios ofrecen oportunidades miserables para los problemas de seguridad. ¿Cuál es el apellido de soltera de tu madre? ¿A qué escuela secundaria fuiste? ¿Cuál fue tu primer trabajo? Como se mencionó anteriormente, su vida personal es un libro abierto para cualquiera con habilidades de búsqueda en Internet. Si es posible, ignora las preguntas que se han hecho. Crea tu propia pregunta con una respuesta única que siempre recordarás pero que nadie más podría adivinar.

Es más difícil si el sitio web no le permite definir sus propias preguntas. En este caso es mejor usar una respuesta pegadiza que es una mentira total. El apellido de soltera de mi madre es Obama. Fui a la escuela en el instituto Mártires Comunistas. En mi primera profesión, era domador de leones. Existe un cierto riesgo porque podrías olvidar la mentira que has elegido. Le sugiero que guarde estas extrañas respuestas como notas seguras en su administrador de contraseñas… pero si usas un administrador de contraseñas, éste recordará la contraseña por ti.

Lo que puedes hacer ahora, donde es importante para ti

Espero haberle convencido de que usar contraseñas compartidas es una mala idea, al igual que crear contraseñas a partir de datos personales. Y hasta la mejor contraseña aleatoria más fuerte se convierte en una desventaja si la usas en todas partes. Si estás listo para hacer algo, aquí tienes algunos puntos de partida:

  • Usa un administrador de contraseñas.
  • Cambie a un mejor administrador de contraseñas.
  • Piensa en una contraseña maestra insanamente segura para tu administrador de contraseñas.
  • Usa un generador de contraseñas aleatorias para actualizar tus viejas y malas contraseñas.
  • Incluso podrías crear tu propio generador de contraseñas aleatorias en Excel.
  • Habilitar la autenticación de dos factores siempre que esté disponible.

Si un sitio web seguro no se preocupa por la seguridad, aún podría perder las credenciales de ese sitio web debido a una violación de datos, pero al hacer que todas sus contraseñas sean largas, fuertes y únicas, ha hecho todo lo posible para proteger sus cuentas en línea.

¡Y oye! Ahora que está en racha, debería considerar una red privada virtual (VPN) por razones de seguridad. El uso de contraseñas fuertes para los sitios seguros significa que otros no pueden entrar en sus cuentas; añadir una VPN significa que nadie puede interceptar su conexión a estos sitios seguros.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)
Compártelo!

Deja un comentario