El pasado hackeo a Betazeta dejó algo claro: tenemos demasiado detrás de un password.
No sé si la vida como reza el título (me encanta poner títulos extravagantes) pero a veces pareciera que el uso de una contraseña como única medida de ingreso a una cuenta de correo se está quedando obsoleta. Además, existen demasiados peligros acechando una cuenta de e-mail o de algún servicio online: ataques de diccionario, ataques de fuerza bruta, troyanos, keyloggers e incluso ingeniería social con sus modernas variantes en el phising y el scam. Lo peor de todo esto es que detrás de nuestra cuenta de correo dependen cada vez más cosas, sitios, domains, homebanking, chats, documentos, fotos (si usan Picasa con la cuenta de Google), y lo peor, todas las contraseñas de nuestros servicios dependen de nuestra cuenta de mail ¿O sino adonde creen que van los correos de recuperar contraseña?
Mención aparte y muy especial para todos los que se la dan de genios de la seguridad informática y se mofan de los hackeos a terceros, creyendo que a ellos nunca le va a pasar (ví muchos en Twitter luego de lo que le pasó a Fayerwayer). ¡Como si tener un password fuerte alcanzara! La verdad es que mientras más trascendencia tenés más medidas de seguridad tenés que tomar, porque obviamente vas a ser un blanco más atractivo para los hackers. No hay que creerse un fenómeno y reirse de los demás, la historia dice básicamente que si te quieren hackear y son realmente buenos tarde o temprano te van a hackear. Hay gente muy pero muy capaz detrás de la seguridad informática y tu misma seguridad depende casi exclusivamente de tu nivel de exposición (es como la vida misma, si sos una persona de clase media es muy difícil que sufras de un secuestro extorsivo, ahora si la guardás en el banco cuidate…)
Detrás de todos estos casos de hackeo que sudecieron estos últimos días (Betazeta, Twitter e Imageshack) seguramente existan muchas diferencias y cuestiones, pero de la pregunta que la mayoría los que leemos estas noticias no nos podemos evitar hacer es ¿Como evito ser hackeado?
Y una de las primeras respuestas es asegurar la política de seguridad, especialmente las contraseñas. Pero existe un problema, usamos contraseñas para casi todo servicio web, y una de las cuestiones principales que los expertos recomiendan es no usar la misma clave para todo, ahora hablemos en serio y seamos buenos… ¿A quién le puede resultar fácil usar contraseñas alfanuméricas, de muchos caracteres, que no sean palabras reales para evitar un ataque de diccionario y que además, tengamos una por cada servicio web que usamos?
La verdad es que mientras más nos acercamos a una política de seguridad «ideal» más nos alejamos de la usabilidad y la comodidad. Porque no es para nada cómodo evitar que el navegador recuerde nuestro password, usar una cuenta secundaria que usamos para leer correos (que son forwardeados mediante nuestra cuenta principal) desde lugares no muy confiables o sin seguridad en las conexiones wireless, borrar todos los correos que tengamos guardados en nuestra cuenta online y backapearlos en nuestra PC (eliminando así una de las mejores características del e-mail reinventado por Gmail), usar una cuenta especial y que sea accedida solamente desde una PC ultrasegura y que utilizamos para registrar nuestras cuentas de servicios para así evitar que si nos hackean nuestra cuenta de mail no puedan recuperar los passwords de otras cuentas y así robarnos todo, en fin, si vas a vivir con ese nivel de paranoia lo mejor que podés hacer es prender fuego todo e irte a vivir al medio del amazonas.
¿Cuales deben ser las medidas a tomar para poder vivir tranquilo? ¿Cómo hacen para memorizar 20 passwords diferentes o usan el mismo password para todo? ¿Es posible vivir con una política de seguridad confiable sin la necesidad de tomar medicación para la esquizofrenia? Unas interesantes preguntas que mientras más personas contesten, más y mejores conclusiones podremos sacar.
Cierto lo que decis, yo siempre use la misma contraseña para mi todos los sitios pero NUNCA use una palabra de diccionario.
Recomendación: Elijan algo que tenga sentido para ustedes, pero que no sea una palabra. Una palabra inventada en esa conversación loca donde hubo mucho alcohol con los amigos puede servir, sobre todo si es facil de recordar :P. Porque, como bien dice el post, acordarse codigos puede no ser fácil, pero acordarse una pelotudez graciosa si
hace tiempo vengo leyendo tu blog y es muy interesante y me gusta la comicidad q le pones al asunto q es lo q en realidad me hace leerlo jajaj un saludo segui asi
Yo le di mi contraseña absolutamente a todo el mundo que me conoce. Tengo la misma cuenta desde el 98 y nunca jamas tuve un problema. La clave es decirle: «si la tiene todo el mundo, no sos especial». Eso y entender que lo virtual no es lo mismo que lo real y NO GUARDAR COSAS IMPORTANTES EN INERNET.
jajaja, ¿estoy teniendo un Déjà vu o esto lo charlamos por MSN hace unos días?
Lo que aprendimos con el caso de Betazeta (y antes había pasado a cvander de Maestros del Web) es que como están las cosas, si un hacker accede a tu cuenta de mail, accede a todo lo demás. De nada sirve tener contraseñas distintas si «olvidé mi contraseña» hace que todos los servicios web te envíen una nueva a tu mail (porque «se supone» que sólo vos podés entrar)
Y lo otro que aprendimos es que el eslabón más débil en la cadena de la seguridad informática sigue siendo el usuario: la mayoría sigue usando contraseñas simples como «123456» o «abcd1234» o incluso «password»
Yo tengo dos contraseñas: una para las boludeces (y eso incluye una segunda cuenta de mail, el facebook, twitter, jango y tantos servicios web) y otra para el mail principal (y blogger). Son contraseñas largas, que solo tienen sentido para mi, pero no por eso menos hackeables.
Por cierto, el metodo mas ingenioso que vi para hacerse una contraseña difícil es usar frases. Un cliente mio usaba aemaqm (ayer es mucho antes que mañana), pero bien podría ser euldlmdcnnqa (en un lugar de la mancha etc). Recordando cualquier canción o poesía ya tenemos kilos de contraseñas!
Como dices, si lo que ocultas es suficientemente interesante, al final te cazarán.
Sin embargo conviene poner las cosas difíciles, si hay varios objetivos similares, unos fáciles de asaltar y otros más complicados, es lógico que vayan primero a quien menos se proteja.
Mis recomendaciones son: para servicios que no voy a utilizar desde movilidad (la inmensa mayoría, por lo general, no voy por ahí accediendo a mis cuentas) utilizar keepasx: es software libre, es local (con eso te evitas muchos problemas) y no resulta demasiado incómodo, sólo hay que utilizar un copiar y pegar.
Sitios críticos (banca electrónica) requieren de autentificación offline, en mi banco por ejemplo, usamos una tarjeta de coordenadas, con la contraseña sólo podrías consultar, para mover fondos necesitas una tarjeta que te envían por correo postal ordinario, y en Google, recientemente, han añadido la opción de recuperar contraseña mediante envío SMS a teléfono, de esta forma, además de robarte la contrasña, tendrían que robarte el teléfono.
Yo suelo cambiar letras por números… no es que sea la gran complicación, pero por lo menos elimina las busquedas por diccionario…
Y si le agregas algun simbolo al final, le complicas bastante la vida a los de fuerza bruta también…
Obviamente que si realmente tienen ganas de hackearte lo van a hacer, pero como no tengo nada realmente importante detras de una contraseña… no creo que alguien se vaya a preocupar por querer robarme algo…
Es cierto lo que comentan… en mi caso tambien suelo tener varias contraseñas y, desde hace poco, estoy tratando de ocupar Kee Pass (portable).
Si bien es cierto aun me gusta escribir mas que hacer el Copy / Paste.
Creo que, por el minuto, no soy de interes de los Hackeadores ya que mi uso de la red es meramente de diversion.
Hablando de ello, les dejo un link a una tira comica, que trata de un asunto similar.
Saludos.
http://www.juanelo.cl/tiras/Juanelo1001.png
yo siempre use carácteres raros, y algunas letras mayusculas y minusculas, lo mejor para mi antes que frases son ecuaciones: Aa^2=Bb^2+Cc^2 una contraseña espectacular y facil de recordar.
Que buen post! Me gusta como resumiste esta problemática a la que seguramente en poco tiempo nos enfrentaremos, hopefully, de manera seria. Cada vez aparecen más sitios, más redes sociales, más servicios web. Todos compiten entre si y si queremos estar en todos necesitamos una contraseña diferente para cada uno. Ni hablar de sumarle a eso los pin para los cajeros automaticos y los homebanking. Es para volverse locos!
Yo creo que no hay gente que tenga tantas contraseñas para todo, por lo tanto, todos somos susceptibles de ser hackeados en algun momento. Creo que a esta altura, es inevitable.
Esto me lleva a reflexionar que debemos fortalecer nuestra credibilidad «offline» y no como es la moda en estos momentos. Te presionan para que seas un perfil, un sitio web, pero una vez que alguien viole tu privacidad te pueden destrozar. Sin embargo, no pueden destrozar la persona que sos, lo que sos en la vida real y quienes te conocen. Es fundamental consolidar tu vida real; si sos buena persona, no hay password que pueda decir lo contrario.
Yo tuve estos problemas, o ponia siempre lo mismo, o ponia cosas que tenia a la vista y luego al cambiar de lugar esas cosas me los olvidaba, y un largo etc.
Llego a mi vida el KeePass [un gestor de passwords], solamente tengo uno Master y luego el soft se encarga de generar claves imposibles y recordarmelas.
saludos y se los recomeindo, aunque sea para probarlo.
[…] en La vida detrás de un Password plantea la dificultad de tener y recordar un password seguro para cada sitio en el que estamos […]
La verdad es que trato de no paranoiquear… Cambio los pass regularmente, cada algún tiempo, a veces uso los mismos, a veces no… Depende como se me da. Para recordarlos, a veces anoto en un papel. Nunca dejo los pass anotados en la PC y menos en la cuenta de mail o algo por el estilo.
Yo las tengo en un postix.
Julio, en un post it? jajaja.
No sé si fue adrede pero al principio pensé en un Postfix.
Lo primero que iba a hacer era recomendarte KeePass pero en ya 15 comentarios que tenías era obvio que al menos alguien te lo iba a mencionar. Lo que sí te digo para que vayas y lo uses ya es que además de que la aplicación en sí tiene un montón de medidad de seguridad para no ser manipulada por Windows u otras apliaciones que se ejecuten, ni siquiera hace falta copiar y pegar porque tenés una función de auto-type que te escribe solita usuario y pass en los diálogos de inicio de sesión (no sé si la versión para Linux hace lo mismo, pero calculo que sí). Encima incorpora un generador de claves re flexible por lo que no te cuesta nada crear una nueva clave para cada servicio, y tenés también una versión para Windows Mobile re funcional, también para otros SOs móviles, y otra para J2ME que al menos te permite ver las claves (no editarlas/crearlas). Fijate que alguna vez le dediqué un post.
Ahora sobre el tema central… el problema es uno sólo, y Uberblogged se acercó bastante. La tecnología nos permite hacer cosas en lugares donde no estamos ni nos evidenciamos físicamente en la acción a incurrir, y encima en un mundo totalmente maleable y reprogramable como el de la informática, por ende esa impunidad que implica tienta mucho. Si hace 100 años querías robarle información valiosa a alguien, te veías en muchos problemas: Tenías que ir vos en persona o contratar a alguien que igual te podía comprometer para ir de cuerpo entero y violar cerraduras y urgar cajones, con todo el peligro de ser expuesto fácilmente ante algún ruido o alguien que lo vea. Ahora por supuesto la facilidad y velocidad del acceso de las TI lo hacen igual de fácil tanto para usar benignamente la información como para violar la de otros. Sería lo mismo (o peor) si los humanos hubiéramos dominado alguna clase de «tecnología incorpórea» que nos permitiese controlar espíritus y llegar a donde sea.
Ahora lo peor de todo esto es que el tren de la economía y el avance te empuja cada vez más a todo esto, hasta que se vuelve parte de tu vida si o sí, y ahi si te lo quitan duele. Muchos siguen diciendo que les soba un huevo si les hacken el MSN o Twitter o Facebook porque hacen sólo huevadas, y se engañan. En algún momento mientras le sigan dando uso van a dejar de ser huevadas, si no es que no lo dejaron de ser ya y no lo ven o no quieren hacerlo, ya sea porque conocieron a gente copada que sólo pueden ver asiduamente por ahí, porque estan todos sus amigos y no te pudiste resistir más y empezaste a colgar fotos tuyas y de los tuyos para tus demás seres queridos lejanos las vean, o simplemente porque esto lo están haciendo tus amigos y en esas fotos/lo que sea quedás escrachado vos. Y nunca me olvido de ese puto slogan de Nokia que se parece bastante al título de tu post, con el que empapeló buena parte del país promocionando uno de sus fonos: «Tu vida acá adentro», y todos sabemos que no existe nada más perdible que un celular.
Ya me fui de mambo, y por supuesto es un tema que no vamos a resolver acá…
yo tengo varias que son complicadas (frases que con suerte tienen sentido para mi) y según donde me registre uso unas u otras.
Por ejemplo: «este twitter es una mierda, me viven diciendo boludeces que no le importan a nadie» Et3uM!,!MVdBqnL14n
también tengo varias cuentas de email, si me hackean una no entran a todos lados.
hoy vi Admin:admin y super:admin, asi que lo mio es re seguro
No es un problema de los usuarios (bueno, en parte sí) me parece más un problema de los desarrolladores de servicios. Desde hace décadas existen herramientas como SSL que permiten la autenticación no por usuario/password sino por la existencia de un archivo [certificado]. Esto me parece más seguro, y se puede combinar con los passwords para aumentar la complejidad.
Hablo de par certificado de servidor y cliente, por ejemplo, tener un certificado personal en el almacén de certificados del Firefox (que para algo está) y autenticarse a un servidor HTTPS usando eso en lugar de tipear un password.
El almacén de certificados, tanto de Firefox, IE, Opera, etc. está encriptado por lo que no es accesible a un malware que haya chupado el filesystem del sistema operativo, y un keylogger no tiene nada que capturar porque no hay passwords.
Sólo cuando se exportan los certificados del almacén se genera un archivo encriptado por un password, y en ese caso la combinación keylogger+FS monitor permitiría secuestrar el acceso.
De todos los servicios web que uso, lamentablemente el único que incorpora esa opción es MyOpenID (en el link sign in with an SSL certificate). Ojalá Google haga punta y acerque esta tecnología a las masas.
Hace 10 años hubiera sido impensado un uso masivo porque la gente debía andar con un diskette a cuestas, pero hoy en día todos tienen un pendrive, MP3 player, etc. donde llevar una copia de sus certificados…