Contraseñas

[Yenki]

Las claves de acceso más comunes

En un sitio, rockyou.com, en diciembre robaron 32 millones de contraseñas y luego las publicaron en internet.

Eso ha permitido hacer análisis sobre las mismas que a diferencia de los estudios normales que se hacen con encuestas, considera casos reales, lo que realmente se emplea.

Del análisis surgen cosas bien interesantes:

* Alrededor del 30 % usa contraseñas cuyo largo es 6 caracteres o menos

* Además, casi el 60 % de los usuarios elige sus contraseñas de un conjunto de caracteres alfanuméricos limitado

* Cerca del 50 % de los usuarios emplea nombres, palabras de la jerga inglesa (slang), palabras del diccionario o combinaciones triviales (dígitos consecutivos, teclas adyacentes del teclado, y cosas por el estilo).

* La clave más usada entre los usuarios de rockyou.com fue "123456"





En el gráfico de torta de la izquierda se ve que la mitad usa contraseñas de 7 caracteres o menos.
En el de la derecha se ve que sólo el 37 % mezcla letras y números y no llegan al 4 % las contraseñas que tienen caracteres especiales (como & % $ : #).


Acá abajo las 20 más comunes en este caso:




Fuente: zdnet.com, este archivo pdf de donde tomé las imágenes.

[Yenki]

Hoy en La Nación sacaron un artículo sobre este tema, aludiendo al caso del hurto de 32 millones de palabras clave.

El uso excesivo de claves simples no es un fenómeno nuevo. Un estudio similar examinó claves de computación usadas a mediados de la década de 1990 y concluyó que las más populares entonces eran "12345", "abc123" y "password".

¿Por qué tanta gente sigue eligiendo claves fáciles de adivinar, pese a tantos alertas sobre los riesgos? Los expertos en seguridad sugieren que simplemente estamos abrumados por la cantidad de cosas que tenemos que recordar en esta era digital.

"Hoy en día probablemente tengamos que tener 10 veces más claves en la cabeza que hace diez años", dijo Jeff Moss, que fundó una conferencia popular sobre hacking y es ahora miembro del Consejo Asesor de Seguridad Interna. "Claves de correo de voz, PINs de cajeros automáticos y claves de Internet, es tan difícil tenerlas todas presentes".

En el mundo idealizado que desearían los especialistas de seguridad, la gente tendría claves diferentes para cada sitio que visitan y las guardarían en su cabeza o, si fuese absolutamente necesario, en un papel.

La nota se titula Bienvenido a mis cuentas, la contraseña es 123456

[Yenki]

Cómo elegir contraseñas seguras

En este tema, el principio básico es "la seguridad es incómoda".
Las contraseñas cómodas y más recordables son inseguras, las cortas, las que usan sólo letras , palabras que existen, etc.
Y el desafío es tratar de hacer que la elección de contraseñas se haga de forma tal que no sea muy complejas y las claves no sean fáciles de adivinar.


Una contraseña segura debe
* tener al menos 8 caracteres, (en la wikipedia recomiendan entre 12 y 14)
* mezclar letras mayúsculas, minúsculas, números y caracteres especiales (como ; + & % $ = @ # ~ )

* no debe ser una palabra que exista.
* no hay que usar cosas obvias como 1234, FFFFF, qwerty
* ni la misma palabra clave en todos lados.



Una contraseña sólo en mayúsculas de 6 caracteres implica 308 millones de variaciones, que se averiguan en minutos con programas para crackear contraseñas que se bajan de internet y que hacen ataques de fuerza bruta probando todas las combinaciones posibles de caracteres.

Si en la misma contraseña se usan mayúsculas y minúsculas las combinaciones posibles son 19 mil millones.
Una contraseña de 8 caracteres que use mayúsculas y minúsculas tiene 53 billones de combinaciones.

Una palabra clave de 8 caracteres que use letras y un número y un caracter no alfanumérico tiene 6095 billones de combinaciones posibles.
Se puede crackear probando con ataques de fuerza bruta pero va a requerir más recursos y tiempo.

Fuente: estos consejos de la NASA.

[Yenki]

Cómo usar contraseñas sin esfuerzo
La idea es emplear un administrador de palabras clave que lo haga por nosotros. Y sólo tener que recordar la contraseña del utilitario.



KeePass Password Safe : (sitio web en http://keepass.info/ )
* es código abierto,
* ocupa 1,1 MB,
* tiene una versión portable, y
* se puede poner en español bajando un archivo desde acá.

Hasta tiene un generador de contraseñas incorporado:




De esta forma únicamente hay que recordar la palabra de acceso al programa, y desde el mismo acceder a todas las contraseñas que se usen.
Se puede grabar en una memoria flash USB, para usarlo desde otra PC pues es portable, no se instala.

Con esto las contraseñas pueden ser lo largas y complicadas que se quiera ya que no hay que recordarlas, sólo tener el programa para que lo haga.

[Yenki]

Cómo exportar las claves de los navegadores a KeePass

En howtogeek.com utilizan un utilitario llamado WebBrowserPassView , que extrae las contrañesas de los navegadores y las pone en un archivo, el cual luego se abre con KeePass.

WebBrowserPassView no necesita instalación , su sitio web oficial por acá.


El artículo con imágenes explicando el procedimiento por acá

[Yenki]

No hay que usar la misma contraseña para varias cosas


Una empresa llamada Hold Security tuvo acceso gracias a un joven cracker ruso a los datos de 1170 millones de cuentas, principalmente del servicio ruso de correo electrónico mail.ru, pero también decenas de millones de usuarios de Gmail, Yahoo, y Hotmail.
Eliminando duplicados quedaron con 273 millones de contraseñas .

La cantidad de cuentas cuyos usuarios quedaron expuestos impresiona. Mail.ru tenía 64 millones de usuarios y en lo conseguido hay unos 57 millones. De Yahoo tienen 40 millones de claves, de Hotmail 33 millones, y 24 millones de Gmail.

De Reuters consultaron a los afectados y sólo respondieron mail.ru y Microsoft; de Yahoo y Gmail no dijeron nada.

El joven delincuente pedía 50 rublos, menos de un dólar, por los 1170 millones de claves de acceso.
De la empresa Hold Security, la que los consiguió dicen que se niegan a pagar dinero por los datos, y en cambio obtuvieron esto a cambio de darle "me gusta" y votarlo en su página en una red social.


Fuentes: Exclusive: Big data breaches found at major email services - expert, Hold Security Recovers 272 Million Stolen Credentials From A Collector

Como mucha gente usa una única contraseña para muchas cosas estas bases de datos son usadas por los delincuentes para acceder a más de un servicio de los usuarios hurtados.





Cómo elegir contraseñas
Por otro lado si quieren ver las recomendaciones del editor de tecnología del diario La Nación, para elegir claves de acceso en internet, les recomiendo el artítulo bien claro y didáctico, titulado Escándalo y consejos en el Día de las Contraseñas

(Él cuenta la historia previa diciendo que de la empresa pagaron esos 50 rublos, pero al indagar vi que los protagonistas lo niegan).



De esa nota pego los últimos párrafos
Autenticación de múltiples factores

"... ahora hace falta algo más que una buena contraseña.

Entra en escena la autenticación de múltiples factores. ¿Qué significa? Que además de ingresar tu nombre de usuario y tu clave tendrás que probar tu identidad por algún otro medio. Hay muchos, pero típicamente, para el resto de nosotros, es un PIN que te envían por mensaje de texto.

Por ejemplo, cuando ponés por primera vez tu clave en Gmail o Twitter, el servicio te envía un mensaje de texto con un PIN de 6 números. Lo escribís en el formulario que aparece en pantalla y estás adentro. Si esa es tu máquina, podés decirle que no vuelva a solicitarte un PIN allí. En rigor, el servicio te asocia con una sesión del navegador, por lo que si cambiás de browser o borrás las cookies, va a volver a pedirte el PIN. Es levemente engorroso, pero muy útil. Como mínimo, tus cuentas de correo, Facebook y Twitter, además de los sitios donde gastes dinero, deberían tener activada la autenticación de múltiples factores.

¿Cuál es la utilidad de esto? Que si se roban una base de datos donde figuran tu dirección de correo electrónico y tu contraseña y un pirata trata de robarte alguna de tus cuentas importantes, le va a faltar el PIN y no va a poder entrar. Además, te van a avisar del intento de conexión no autorizada y, en ese caso, no es mala idea. . . , exacto: cambiar la contraseña.

En este caso que da de ejemplo la autenticación sería por dos factores, la contraseña y el número enviado por mensaje de texto.

Con PIN alude a un número de identificación personal que surge del inglés Personal Identification Number.


Como es usual mayor seguridad implica mayores molestias, en este caso además de acceso a internet y computadora, el método de dos factores previstos implica que hay que tener un teléfono celular y darle ese dato a la empresa.







Grandes filtraciones de datos digitales a nivel mundial
El cronista pone un enlace en la nota mencionada que es impresionante, un gráfico interactivo muy bueno, que muestra los hurtos de datos.

Acá abajo a la izquierda están los año y los globos
- en rojo indican hurtos por crackers,
- los verdes fluo los que se originaron en filtraciones internas,
- en lila los agujeros debidos a malas configuraciones .

El tamaño de los círculos da una idea de la importancia de los datos copiados sin permiso.




No se salva nadie, figuran Apple y Minecraft, Adobe y Sony, gobiernos y bancos, Facebook y Ubisoft, Mozilla y Ubuntu, Steam y Blizzard ... empresas y organismos del estado del primer mundo, muy ricos que deberían tener todos los medios para que no les hurten datos y sin embargo los pierden...



¿No será más correcto hablar de inseguridad informática que de seguridad? Al menos es algo que se verifica a diario.