domingo, 29 de mayo de 2011

La contraseña segura es la que no puedes recordar.

Como me ocurre a menudo, leyendo otra cosa llegué a este artículo y me pareció muy interesante. Creo que el trabajo de configurar un administrador de contraseñas es algo que puede rendir frutos en términos de seguridad, así que aquí se los traigo, el original es de LifeHacker. El autor es Troy Hunt, aquí está su sitio. Hay varios temas en nuestro sitio relativos a la seguridad, así que pueden revisarlos. Casi inicia la semana, así pues, provecho!
La contraseña segura es la que no puedes recordar.
Troy Hunt - Supongamos que usted se conecta a un montón de sitios diferentes, Facebook, Gmail, eBay, PayPal, probablemente algunos bancos, tal vez a algunos foros de discusión, y muchos, probablemente, muchos más. Considere un par de preguntas:
  1. ¿Siempre crea contraseñas únicas, de modo que nunca utilice la misma dos veces? jamás?
  2. Sus contraseñas siempre utilizan diferentes tipos de caracteres, como letras mayúsculas y minúsculas, números y puntuación? ¿Son "fuertes"?
Si usted no puede contestar "sí" a ambas preguntas, entonces tiene un problema. Pero la cosa es que simplemente no hay manera en que usted podrá recordar todas sus contraseñas únicas y seguras, y cuanto antes lo reconozca, más pronto podrá adoptar una alternativa más segura.
Déjeme ayudarle a demostrar el problema, le mostraré lo que pasa cuando reutiliza o crea contraseñas débiles sobre la base de algunos ejemplos del mundo real, que realmente deberían llegar a casa.También le mostraremos cómo superar estos problemas con un buen administrador de contraseñas por lo que no todo son malas noticias, a menos que esté tratando de recordar sus contraseñas.

La tiranía de las cuentas múltiples.
Piénselo, cuántas cuentas tiene usted en Internet? 10? 20? 50? Recientemente identifiqué 90 de las mías y hay muchas más que simplemente he olvidado. No hay absolutamente ninguna manera, incluso con sólo 10 cuentas, en que pueda crear contraseñas fuertes, únicas y memorables.

"... La seguridad es un asunto de reducción del riesgo - en realidad ud nunca está seguro, solo se limita a reducir su riesgo."


Lo que sucede es que la gente repite ciertos patrones incluidos los nombres de familiares, mascotas, aficiones y todo tipo de catástrofes naturales, criterios ciertamente predecibles. Los patrones son un arma de doble filo en el sentido de que, si bien son memorables, también son previsibles por lo que incluso si el patrón puede parecer oscuro, una vez que se le conoce, bueno, pues tienes un tremendo problema.
Los patrones y las palabras predecibles son malos, pero lo que es aún peor es la reutilización de contraseñas. Porque, simplemente, acabamos con tantas malditas contraseñas, que solucionamos el problema simplemente repitiéndolas. Fácil? Sí. Seguro? De ninguna manera.

El problema con las contraseñas débiles.

En primer lugar, ¿qué es exactamente una contraseña débil? Permítanme responder a esto de una manera indirecta, centrándome en contraseñas seguras, una contraseña segura es aquella que tiene un alto grado de lo que llamamos entropía, o en términos simples, que es tan larga y tan aleatoria (en términos de tipos de caracteres y de secuencia), como es posible. Como explica en el enlace de entropía:

...Las personas son notoriamente negligentes en el logro de la entropía suficiente para generar contraseñas satisfactorias.

Permítanme demostrar el problema con esto, basado en una serie de eventos acaecidos recientemente. En primer lugar tenemos Gawker que en diciembre pasado fue víctima de un ataque (Nota editorial: Probablemente recuerde esto) que condujo a la revelación de cerca de un millón de cuentas de usuario. Peor aún, estas cuentas fueron publicadas en línea y quedaron fácilmente accesibles a cualquier persona que quisiera echar un vistazo a quienes se habían inscrito en el servicio y cuáles eran sus contraseñas.
Lo interesante en el contexto de la fortaleza de la contraseña es la prevalencia de opciones erróneas de contraseñas. Echemos un vistazo a estos ejemplos:

123456, password, 12345678, qwerty, abc123, 12345, monkey, 111111, consumer, letmein, 1234, dragon, trustno1, baseball, gizmodo, whatever, superman, 1234567, sunshine, iloveyou, fuckyou, starwars, shadow, princess, cheese

Estas 25 contraseñas se utilizaron un total de 13.411 veces por personas con cuentas en Gawker. La primera de ellas - 123456 - se utilizó ella sola mas de dos mil quinientas veces.
Otro ejemplo muy similar fue un ataque el mes pasado a rootkit.com. Un análisis en la base de datos comprometida mostró estas 25 contraseñas principalmente:

123456, password, rootkit, 111111, 12345678, qwerty, 123456789, 123123, qwertyui, letmein, 12345, 1234, abc123, dvcfghyt, 0, r00tk1t, ìîñêâà, 1234567, 1234567890, 123, fuckyou, 11111111, master, aaaaaa, 1qaz2wsx

- ¿Le resulta familiar? Peor aún, usted puede ver fácilmente el nombre de usuario correspondiente, si sabe dónde buscar (los he mostrado borrosos intencionalmente, pero los originales no son difíciles de encontrar):

Pero aquí está lo realmente interesante de estos dos casos y la relevancia de por qué de la contraseña es importante - todos estas fueron almacenadas en forma encriptada en la base de datos. Sin ahondar en los conceptos de criptografía, el quid del problema con estos dos sitios es que el cifrado se implementó mal.
Cuando una base de datos, tal como la de rootkit.com se hace pública con un cifrado mal implementado, los hackers son capaces de recrear el proceso de cifrado alimentándola con un diccionario de contraseñas comunes y tratando de compararlas con la base de datos para encontrar coincidencias. La naturaleza de cifrado puede significar que este proceso debe ser repetido millones de veces, pero es un proceso completamente automatizado.

Los diccionarios de contraseñas están comúnmente disponibles (me pregunto si usted ve alguna de las suyas allí?), y así mismo el software para probarlas en la base de datos violada. La mayor limitación es la potencia de computación necesaria para llevar a cabo un proceso bastante intensivo en recursos, pero como todos sabemos, el poder de cómputo está aumentando a un ritmo muy rápido y, además, usted puede fácilmente adquirir suficiente capacidad de procesamiento para probar 400.000 contraseñas por segundo por sólo 28 centavos de dólar por minuto.
Pero el asunto es este, si su contraseña se ajusta a un patrón reconocible, hay una buena probabilidad de que o bien estará en un diccionario de contraseñas o bien será deducible sobre la base de otras informaciones sobre usted (el nombre de su esposa, hijos, etc) Si es corta o no contiene suficientes variaciones de caracteres, el número de intentos necesarios para adivinarla va a ser mucho más bajo; y usted se convertirá en la fruta que cuelga bajo.

El problema con la reutilización de contraseñas.
Usted probablemente ya sabe que no debe volver a utilizar la misma contraseña en varios lugares, pero permítanme ilustrarlo con tanta claridad como puedo, desde una perspectiva de primera mano, ¿por qué no. Esto es lo que me esperaba en mi correo electrónico cuando me conecté recientemente:

En caso de que no le quede perfectamente claro, que su dirección de correo electrónico y su contraseña estén comprometidos no es precisamente ideal. Cuando el ámbito de aplicación de las credenciales es un sitio web, es un inconveniente. Sin embargo, si esas credenciales fueran reutilizadas en sus instituciones financieras, sus sitios de redes sociales o en particular en su cuenta de correo electrónico, eso no es inconveniente, es francamente aterrador y potencialmente muy costoso tanto para su bolsillo como para su reputación.

Sólo el día después del incidente con Trapster, empezaron a aparecer tweets así:

Volviendo al incidente de Gawker que he mencionado antes, poco después, algo extraño empezó a ocurrir con las cuentas de Twitter de personas que también tenían cuentas en Gawker, comenzaron a despotricar sobre las bayas de Acai.
Este es un ejemplo muy claro de lo que sucede cuando se reutilizan las credenciales. La base de datos Gawker era lo suficientemente grande y el fenómeno de la reutilización de las contraseñas tan desenfrenado que los perpetradores pasaron a comprometer un montón de cuentas de Twitter. Lo que estos hechos nos están mostrando es que basados en el análisis de los datos del mundo real, la reutilización de contraseñas es alarmantemente alta.
Sin duda, gran parte de este problema está relacionado con pobres implementaciones de seguridad en los sitios web. Es muy, muy fácil crear sitios web con fallos de seguridad fundamentales. Otro problema en esta área es que muchos desarrolladores de software a menudo toman la actitud de "La información en nuestro sitio no es tan sensible de modo que la seguridad no es demasiado importante".Por supuesto, si ha utilizado las mismas credenciales para ese sitio y su cuenta de PayPal, usted podría tener un grave problema a la vuelta de la esquina.
Debido a que todos reutilizamos los nombres de usuario - ya menudo su nombre de usuario es su dirección de correo electrónico entonces aquí no hay muchas opciones - hay un salto muy corto entre una cuenta comprometida como consecuencia de la divulgación de una bases de datos a otra cuenta comprometida simplemente haciendo coincidir los nombres de usuario y contraseñas. De hecho hay una escuela de pensamiento de que los nombres de usuario te traicionan e incluso Hotmail recientemente dio la posibilidad de crear fácilmente direcciones de correo electrónico adicionales que podrían reducir el riesgo de hacer coincidir las cuentas, pero eso probablemente vaya un poco más allá de lo que realmente necesita en este momento.

¿Qué tan frecuente es este tipo de cosas?
Mucho. Gawker, rootkit.com y Trapster son ejemplos muy recientes, pero hay muchos, muchos más. En citas en línea? Usted probablemente ha oído hablar de "un montón de pescado":

Al igual que el perfumado jabón de Lush? Su sitio en el Reino Unido fue atacado a principios de este año:
No está en el Reino Unido y cree que los detalles sobre su Lush son seguros? No del todo (pero no te preocupes, los incidentes no están relacionados ...):
Por supuesto, estos fueron ataques muy específicos. Las actividades maliciosas en las computadoras van mucho más allá de esto y son a menudo muy indiscriminadas. Ahora tenemos cerca de 50 millones de virus y contando, 20 millones ellos dañaron a la gente el año pasado.
No estoy definiendo estos puntos para asustarte, lo que trato de hacer ver es que esto es en realidad algo muy común. Los ejemplos anteriores son sólo algunos de los que conocemos de tiempos muy recientes. Hay un orden de magnitud más importante en el que sus credenciales se han expuesto y que no conocemos, y del que probablemente una buena parte de los operadores de sitios web ni siquiera saben de la violación. Esto es algo trivial amigos, y les toca a ustedes ejecutar un ataque preventivo contra los malos.

Los mitos de las contraseñas "seguras". En primer lugar, la palabra "seguro" con frecuencia se utiliza como si fuera un término absoluto. No lo es. No busque más, el virus Stuxnet; los equipos que controlan las centrífugas en las instalaciones nucleares iraníes y que están totalmente desconectado de la Internet fueron atacados con éxito por el virus. Sin duda, estos sistemas se han considerado "seguros" por cualquier definición razonable de la palabra.
Es un poco como decir que un coche es "seguro". Algunos son mejores que otros, sin duda, pero al final del día se convierte en un ejercicio de reducción de riesgo. Ud puede negociar algunas cosas - como la sencillez de una contraseña o el precio pagado por un coche - y obtiene un mejor perfil de riesgo a cambio, como más tiempo para romper la clave o más bolsas de aire en el coche.
Así es como algunas personas (Google, en este caso), cree que debe crear - y recordar - contraseñas seguras:

¿En serio? ¿Te imaginas tratando de recordar docenas de contraseñas al estilo de "Me encantan los sandwiches"? Tenga en cuenta que tiene que recordar lo que era la frase, los caracteres que sustituyó y cuales utilizó para qué sitio.
Además, la idea de las contraseñas seguras es evitar patrones predecibles. La sustitución de una "@" en lugar de una "a" o un "3" en lugar de una "e" realmente va a mantener alejados a los malos? Los patrones memorizados con caracteres sustituidos son una protección muy delgada de seguridad y confíen en mi, los chicos malos han oído hablar de este truco.

De hecho, los diccionarios de contraseñas a los que me referí antes contienen muchas situaciones comunes de sustitución de caracteres. En ella podrán encontrar ejemplos como "s@yg00dbye" y "s0cc3rRul3s" - y esto no es exactamente "seguro".
Escribir sus contraseñas en un papel tampoco te va a hacer ningún favor. Debido a que usted tiene demasiadas contraseñas (y acéptelo, las tiene), va a tener que escribir también a que cuenta corresponde la contraseña lo que significa que tienes la veta madre de las credenciales madura, esperando a los ladrónes / niños / clientes curiosos.

El otro problema con tener escritos los detalles de las cuentas es que en estos días muchos de nosotros ingresamos desde diferentes lugares, tales como la PC de casa, la PC del trabajo, y cada vez más, nuestros dispositivos móviles. Simplemente no podemos tener las claves de nuestro mundo en línea bajo llave en un cajón en alguna parte - es simplemente un inconveniente demasiado grande para muchas personas.
Y, por último, es simplemente demasiado doloroso volver a escribir esa contraseña fuerte escrita a mano cada vez que nos conectamos a algún sitio. Recuerde, una contraseña segura es muy larga y muy aleatoria, exactamente los atributos que la hacen tediosa de escribir y propensa a errores.
¿Y si simplemente la almacenamos en un documento de Word o en un sistema de notas como Outlook? Debido a que son demasiado fáciles de robar y cuando esto sucede, son fáciles de extraer, ya que no está encriptados. Alguien consigue poner sus manos en ese archivo y usted estará real y verdaderamente comprometido de la manera más desagradable.

Libérate de la tiranía de las contraseñas.
En principio, el título de este post suena raro. ¿Cómo es posible que continúe conectándose a sitios web si has olvidado tu contraseña?! Usted necesita un sistema de gestión de contraseñas dedicado, pura y simplemente. No hay otra manera práctica y segura de tratar con esto hoy en día.
Afortunadamente, hay herramientas por ahí dedicadas a hacer precisamente eso. Por ejemplo, están LastPass, KeePass y mi favorito personal, 1Password. Todas estas herramientas le dan la posibilidad de grabar todas tus contraseñas en un lugar único y fuertemente cifrado. Por supuesto, usted todavía necesita una contraseña para desbloquear el archivo cifrado, pero como indican los nombres de algunas de las aplicaciones antes mencionadas, tendrá que recordar una sola.


Nota editorial: Hemos hablado mucho en los últimos meses acerca de cómo mejorar su situación con las contraseñas usando LastPass. A continuación, Troy profundizará un poco en 1Password. Siéntase libre de utilizar cualquier opción que funcione para usted, lo más importante es que usted esté usando alguna.


Aquí está el punto crítico: esta única contraseña debe ser fuerte! Si usted va a guardar las llaves para cada sitio web solo con una contraseña, puede olvidarse de los cumpleaños y los nombres de los niños y los bocadillos, realmente necesita elegir algo decente esta vez.

El enfoque de 1Password.
Ejecutemos 1Password, déjeme mostrarle lo que pasa cuando me conecto a un sitio web de la manera tradicional. Voy a entrar en Slashdot que es un sitio web para aficionados a la tecnología, pero el proceso es más o menos el mismo para casi todos los sitios web por ahí.
Comenzamos con el nombre de usuario y contraseña habituales:

Pero después de hacer clic en el botón "Log In", 1Password le ofrecerá guardar sus credenciales:
El valor por defecto del nombre será la dirección de la página, pero siempre puedo cambiarle el nombre a algo más lógico, ya sea ahora o un poco más adelante. Una vez me hago clic en "Guardar", 1Password me pide la contraseña "Maestra", que es la única contraseña necesaria para gestionar todas las demás:
Esta es una, única, contraseña fuerte que he memorizado. De hecho, es ahora la única que he memorizado y no, no es "Iloves@nDwich3s"!

Con esta salvada, ahora voy a salir de Slashdot y luego volveré y trataré de entrar de nuevo pero esta vez, en lugar de entrar con mis credenciales Slashdot (que convenientemente y deliberadamente he olvidado), hago clic en el icono de la llave a la derecha de la barra de direcciones:

Ahora me pedirá mi contraseña maestra de nuevo - la única que alguna vez tendré que recordar. Una vez dentro, puedo ver la entrada creada anteriormente en:
Podría haber varias entradas aquí (es posible que tenga más de una cuenta en un sitio determinado), pero sólo voy a hacer doble clic en la entrada existente. Y eso es todo - ahora estamos conectados!
La belleza de este proceso es que es idéntica para cada sitio único. No necesito recordar esas 90 contraseñas extrañas más, sólo tendré que seguir todo el procedimiento de registro de forma manual en cada sitio una vez y permitir que 1Password guarde las credenciales.
También puede hacerlo desde diferentes navegadores. Usé Google Chrome en los ejemplos anteriores, pero 1Password también se integra con otros navegadores.

Asegurándose.
Por supuesto, hay posibilidades de que sus contraseñas no sean realmente seguras para empezar, y todo este proceso lo que está haciendo es mantener un registro seguro de contraseñas inseguras. Este es un buen momento para hacer algo de limpieza y 1Password hace que sea muy fácil.
Luego de añadir todas mis cuentas, cada vez que encontré una con una contraseña débil que incluí en la aplicación 1Password, abrí la cuenta que acababa de crear y generé una nueva. Hay una pequeña herramienta realmente fantástica adicional que hace de esto un proceso muy simple:

Así luce una contraseña segura (resaltado en azul). Si no es algo que necesita ser un sabio para memorizar, no es lo suficientemente segura. Pero por supuesto, en el proceso descrito arriba, no importa que la contraseña sea totalmente incomprensible, todo lo que necesitas recordar es la contraseña maestra.
Ahora, este proceso en realidad no va a cambiar su contraseña en la página web, sólo la que ha definido en 1Password. Usted tendrá que copiar ésta en el portapapeles y luego ir a la página web y cambiarla en consecuencia. Sí, es un poco enredado, pero con invertir unos minutos acaba de crear una contraseña muy segura y singular que no puede ser usada en su contra en cualquiera de sus cuentas en línea.
Hay una especie de "te tengo" en todo esto, algunos sitios web no te permiten crear contraseñas seguras. A principios de este año escribí sobre el Quién es quién de las prácticas de contraseñas incorrectas - los bancos, las compañías aéreas y más cuando me encontré con algunos de estos sitios web - en especial los bancos, por extraño que parezca - simplemente no le permitirán construir contraseñas largas y aleatorias. O bien limitan la longitud a un número muy bajo, no permiten muchos tipos de caracteres o en casos extremos, insisten en un PIN corto que contiene sólo números. Por desgracia está totalmente a merced de los controles de estos sitios en lo que a contraseñas se refiere de modo que cuando usted choca con una limitación como ésta todo lo que puede hacer es maximizar lo que puede hacer dentro de estas ridículas restricciones.

Llevando sus contraseñas con usted.
Una cosa que era importante para mí era que no podía acceder a mis contraseñas desde cualquier lugar, en cualquier dispositivo, en cualquier momento. La PC del trabajo, la PC de casa, el IPAD y el iPhone necesitaba sincronizarlos todos.

1Password le permite hacer todo esto mediante el servicio de sincronización de archivos de Dropbox. Este es un gran producto que ha demostrado ser muy robusto y es fácil de configurar para mantener el archivo de 1Password sincronizado. Al final, significa que todos mis equipos tienen el mismo archivo de contraseñas seguras y mi IPAD y el iPhone, respectivamente, tienen pequeñas aplicaciones amigables como las siguientes:

¿Es peligroso poner en línea el archivo de contraseñas? Bueno hay un grado de riesgo, seguro, pero el servicio de Dropbox ha demostrado ser una aplicación muy segura a través de los años. Y, por supuesto, el archivo de 1Password todavía está cifrado por lo que incluso si alguien llega a poner sus manos en el, todavía necesita la contraseña maestra (fuerte). De hecho, el eslabón más débil de todo el asunto es probablemente la contraseña que protege su cuenta de Dropbox con lo que, por ahora, por supuesto, es también muy fuerte:)

¿No es esto algo así como "tener todos los huevos en una canasta"?

Sí, lo es, pero es una canasta que está muy bien pensada y muy bien asegurada. Alguien tendría que obtener en primer lugar, el archivo que contiene todas las contraseñas expuestas y en segundo lugar conseguir su contraseña maestra o adivinarla o reventarla usando la fuerza bruta, ninguna de las cuales debe pasar si uno elige bien.
Aun cuando tener todos los detalles de su cuenta expuestos a la vez es, sin duda, algo muy malo, el riesgo es ínfimo en comparación con las posibilidades de violar el sitio web.
Por supuesto, el otro riesgo es que una vulnerabilidad hasta ahora desconocida se encuentre en el software de 1Password. Ciertamente lo que yo llamaría una vulnerabilidad de día cero (que todavía no se conoce), es posible. De hecho, encontraron una en LastPass el mes pasado y algo que les da crédito, solucionaron el agujero en no mas de una cuantas horas. Y de eso se trata con productos profesionales de esta naturaleza, su razón se centra en ofrecer una solución segura y si se encuentra una vulnerabilidad, puede estar muy muy seguro de que va a ser solucionada rápidamente.

Resumen
Así que ahora que tiene toda esta super seguridad, eres casi invencible ¿no? Uh...

Caricatura desde XKCD
Y esto me lleva a una conclusión filosófica clara, la seguridad se trata de reducción del riesgo - en realidad nunca estará "seguro", solo se limitará a reducir su riesgo. A fin de cuentas, el riesgo de los detalles de su cuenta deambulando por ahí, incluso en un sitio web muy seguro es significativamente mayor que tenerlos todos en el archivo de 1Password.
Pero más allá de la seguridad, el camino del administrador de contraseñas es una solución muy práctica. Tener todas sus cuentas a mano en todos los dispositivos y ser capaz de simplemente iniciar la sesión con una contraseña muy fuerte es una ruta muy conveniente en realidad.
Y finalmente, cuando llegue el momento en que te des cuenta de que una de tus cuentas ha sido violada (y créeme, que llegará), no será el momento de pensar en contraseñas seguras, ya será muy tarde.Así que dedíquele una horas una tarde, gástese unos cuantos dólares y organícese. O eso, habitúese al sabor de las bayas del acai!