9 ago. 2009

Falla de Gmail demuestra el valor de las contraseñas fuertes

La revelación de una puerta trasera que le permite a los chicos malos intentar adivinar repetidamente las contraseñas de Gmail debería recordarnos a todos nosotros el proteger nuestras cuentas con cadenas de caracteres largas y fuertes.

[Ver noticia de Segu-info: 25/jul/09 Cracking de passwords automatizado a Gmail]


Hay una forma sencilla de proteger sus cuentas en linea - use frases de ingreso que sera fáciles de recordar pero difíciles de adivinar para otros.

La última vulnerabilidad que afecta a las cuentas de Gmail fue revelada recientemente por el investigador de seguridad Vicente Aguilera Díaz en una nota publicada en la lista de seguridad Totalmente Revelado (Full Disclosure). (Aguilera reveló anteriormente una falla de Gmail conocida como "montado a la sesión" (session riding), que subsecuentemente Google solucionó, como fue informado por Scott Spanbauer editor contribuyente de WS el 23 de abril y el 7 de mayo.)

Según el nuevo alerta de seguridad de Aguilera, Google permite que cualquiera con una cuenta de Gmail pueda adivinar la contraseña de otro usuario de Gmail 100 veces cada dos horas, o 1.200 veces por día. Ningún "captcha" impide a los bots hackers de intentar adivinar las contraseñas de esta forma. Lo peor de todo: Si el hacker controla digamos, unas 100 cuentas de Gmail, podría realizar 120.000 intentos por día. Debido a que las cuentas de Gmail son gratuitas, muchos hackers controlan más de 100 cuentas, por supuesto.

Algo a su favor, Gmail requiere contraseñas relativamente largas de 8 o más caracteres. Sin embargo, como señala Aguilera, Gmail le permite a los usuarios crear contraseñas extremadamente débiles como por ejemplo aaaaaaaa.

Una rápida encuesta entre mis amigos y familiares reveló que ninguno de ellos usa contraseñas fuertes. La mayoría de la gente no tiene idea como crearlas. Incluso todos a los que consulte expresaron culpa de estar usando contraseñas sencillas de adivinar: nombres de mascotas, cumpleaños, y palabras comunes del diccionario.

La mayoría de las contraseñas de la gente pueden ser adivinadas en mucho menos de 10.000 intentos. Y, a pesar que usan contraseñas débiles, la gente a que pregunté dicen que rara vez cambian sus contraseñas. (una tercera parte de los encuestados usa la misma contraseña para todo sitio Web en el que debe registrarse, y el infame gusano Conficker necesitó intentar solo con 200 contraseñas comunes para ingresar en muchos sistemas, según un análisis de la firma de seguridad Sophos.)

Y esto es lo peor: ¡mucho de los que contestaron a mi encuesta informal admitieron que mantienen un archivo no cifrado con la lista de todas las contraseñas que usan!

Uno puede pensar que la contraseña de su webmail no es algo valioso. Pero cualquiera con acceso a su cuenta puede usarla para enviar spam y arruinar su reputación en Internet. Más serio aún, uno puede haber usado la misma contraseña para el sitio web de banca en línea, o de PayPal, o sitios donde está almacenado su número de tarjeta de crédito para mayor facilidad de compra en linea, tales como en Amazon.

Use contraseñas difíciles pero hágalas fáciles de recordar

Uno puede ver como sus contraseñas actuales -¿usa más de una, cierto? - son clasificadas como "fuertes" mediante el uso del Verificador de Contraseñas en linea de Microsoft. Apuesto a que le sorprenderá desagradablemente el resultado.
Figura 1. Pruebe la fortaleza de su contraseña ingresándola en Microsoft Password Checker

Las tres claves para la fortaleza de las contraseñas son el largo, la aleatoriedad, y el uso de distinto tipo de caracteres. Cada carácter adicional multiplica las combinaciones potenciales que debería intentar un ataque de fuerza bruta

Las contraseñas aleatorias usan letras mayúsculas y minúsculas, números, y símbolos. Cuando se usan al menos 3 de estas categorías, una contraseña de ocho caracteres debería ser suficiente en la mayoría de los casos. Según el sitio de seguridad de FrontLine, una contraseña semejante demoraría un siglo en ser quebrada por un hacker usando sólo una PC. El estándar de ocho caracteres es también el mínimo que el Verificador de Contraseñas Microsoft considera como "fuerte". Por supuesto, mientras más caracteres tenga su contraseña, más segura será.

Si quiere crear su propia contraseña, use una oración o frase que pueda recordar fácilmente y luego ajústela para cada cuenta.

Por ejemplo, comencemos con la frase "todas las cosas buenas le llegan al que espera." Luego tomamos la segunda letra de cada palabra -o la única letra si es una palabra de una sola letra- para obtener oaouellus. Luego usamos mayúsculas para cada consonante y sustituimos los números o símbolos de puntuación por ciertas vocales: [email protected].

(Nunca use ningún programa de creación de contraseñas que haya leído en un libro o en la Web, incluyendo el ejemplo del párrafo anterior. Los que quiebran contraseñas -crackers- también leen estos artículos.)

Uno pude ser tan creativo como quiera con sus reglas. El propósito es producir una combinación aparentemente aleatoria de letras, números, y caracteres especiales - una generada por un juego de reglas que uno pueda recordar y recrear.

Después, agregue algunos caracteres que le denoten el sitio o la cuenta para la cual es requerida la contraseña. Por ejemplo, podría ingresar las tres primeras letras de la URL del sitio, al comienzo, a la mitad, o al final de su contraseña, pero 5 letras después en el alfabeto, de modo que "ama" para Amazon.com se convierte en frf.

A esta altura, probablemente tendrá una contraseña de al menos entre 8 y 16 caracteres de largo y con apariencia bastante aleatorio - fuerte por cualquier medida. Cuando deba cambiar la contraseña, mantenga las mismas reglas y solo cambie la frase.

Que hacer y que no hacer para mantener sus contraseña seguras.
Ahora que sabe como crear contraseñas fuertes, siga estos diez consejos para usarlas y protegerlas.
  • SI, use un administrador de contraseñas tales como los revisados por Scott Dunn en su columna Insider Tips del 18 de septiembre de 2008. Aunque Scott se concentró en programas gratuitos, a mi realmente me gusta el CallPod's Keeper, una utilidad de u$s15 que viene en versiones para Windows, Mac y iPhone y le permite conservar todas sus contraseñas sincronizadas. Encuentre más información sobre el programa y un enlace para descarga de una versión de prueba gratuita de 15 días en el sitio del vendedor.
Figura 2. La utilidad Callpod's Keeper de adminsitracion de contraseñas le permite sincronizarlas entre Windows, Mac PCs y iPhones.
  • SI, cambie las contraseñas con frecuencia. Yo cambio la mía cada seis meses o cada vez que visito un sitio que no visitaba hace mucho tiempo. No vuelva a usar contraseñas viejas. Los programas administradores de contraseñas pueden asignarle una fecha de vencimiento a sus contraseñas y recordarle cambiarlas cuando están por expirar.

  • SI, mantenga en secreto las contraseñas. Ponerlas en un archivo en su computadora, enviarlas por correo a otros o escribirlas en un papel en su escritorio es el equivalente a revelarlas. Si debe permitir a alguien más acceder a una cuenta, cree una contraseña temporaria sólo para eso y luego vuelva a cambiarla inmediatamente después.
No importa cuanto confíe en sus amigos o colegas, no puede confiar en sus computadoras. Si ellos necesitan tener acceso, considere crear una cuenta separada con privilegios limitados para que ellos la usen.
  • NO use contraseñas compuestas por palabras del diccionario, fechas de cumpleaños, nombres de mascotas, direcciones, o culaquier otra información personal. No use caracteres repetidos tales como 111 o secuencias como abc, qwerty, or 123 en ninguna parte de su contraseña.

  • NO use la misma contraseña para sitios diferentes. Si no, alguien que consiguiera su contraseña de Facebook o Twitter en una explotacion por phishing podría, por ejemplo, acceder a su cuenta bancaria.

  • NO permita que su computadora se registre automaticamente cuando la arranca y por lo tanto use cualquer ingreso automático al correo electrónico, chat o ingreso al navegador. Evite usar la misma contraseña de ingreso en dos computadoras diferentes.

  • NO use la opción "recordar mi contraseña" u opciones de ingreso automático disponibles en muchos sitios Web. En su lugar mantenga los ingresos bajo el control de su administrador de contraseñas.

  • NO ingrese contraseñas en computadoras que no controla -tal como la computadora de su amigo - porque uno no sabe que spyware o keylogger podría haber en esa máquina.

  • NO acceda a cuentas protegidas por contraseña mientras usa redes inalámbricas abiertas o cualquier otra red en la que no confíe a menos que el sitio esté asegurado mediante https. Use una VPN si viaja mucho. (Vea la columna columna de Ian "Gizmo" Richards' Dic. 11, 2008, Best Software , "Conéctese seguro sobre redes inalámbricas abiertas," con consejos de seguridad para Wi-Fi.)

  • NO ingrese la contraseña ni aun si nombre de usuario en ninguna página Web a la cual acceda mediante un enlace de un correo electrónico. Esos son muy probablemente estafas de phishing. En lugar de eso, ingrese la URL del sitio normalmente en su navegador, y proceda a ir a la página en cuestion desde allí.
Seguir estos consejos le ayudará a mantener su información personal en linea de forma segura.

Traducción: Raúl Batista - Segu-info
Autor: Becky Waring
Fuente: Windows Secrets

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!