Es impresionante la cantidad de sitios web que visitamos, y de empresas/organizaciones que ofrecen vía web los servicios que demandamos, ya sea como forma de vida, por trabajo, ocio, hobbies, interés particular, etc…
Cada día nos suscribimos a nuevos foros, compramos billetes de avión, tren, reservamos hoteles, accedemos a nuestra banca online, facturas de telefonía, luz, gas, participamos en redes sociales (como Facebook, Twitter, Linkedin…), gestionamos diferentes cuentas de correo (Hotmail, Gmail, Yahoo…), compramos y vendemos (Ebay, Paypal), foros varios dependiendo de si nos gustan los coches, los libros, el cine, la música… entre otros.
Para cada sitio web, es necesario introducir unas credenciales: En algunos casos podremos elegir el nombre de usuario (siempre y cuando no exista, o tendremos que derivar uno diferente al que generalmente usamos) y una contraseña (que en algunos casos deberá seguir un formato dado por la organización para satisfacer ciertos requisitos de complejidad). A no ser que seamos felices viviendo en el campo, ajenos a una conexión a Internet, estamos obligados a tener un montón de identidades digitales o una única con un nombre de usuario lo suficientemente raro y una misma contraseña.
¿Problemas? Pues ambas posibilidades tienen sus ventajas e inconvenientes. Tener diferentes identidades (pares usuario/contraseña) permite ser uno diferente en cada sitio, de manera que no se pueda concluir mediante herramientas online o mediante análisis las costumbres (a veces contradictorias) de un mismo individuo. Así, si un sitio de los que somos usuarios se ve comprometido (o picamos ante un ataque de phising) y nuestras credenciales son expuestas, las que usamos para el resto de los servicios seguirán seguras. Mucha gente, incluso importante en el mundo de la seguridad, utilizan mecanismos de generación de credenciales basados en el nombre del sitio web o servicio que visitan. Una vez comprometido el algoritmo pensado, todas las credenciales de ese individuo, quedan expuestas.
Por lo mismo y dada la cantidad de servicios online que consumimos, lo más normal es que olvidemos aquellos que no utilizamos tan a menudo y haya que usar las opciones \»Lost Password?\».
En el caso de usar el mismo usuario/contraseña (siempre que se pueda) para todos los servicios, si alguien averigua nuestras credenciales (por sniffing, shoulder surfing, compromiso de uno de los websites, ingeniería social, phising, etc…) podrá probar en otros sitios que exista el mismo usuario o de otros en los que conozca nuestros hábitos.
Para evitar este tipo de disyuntivas, las empresas se gastan un dineral anualmente en lo que se llaman proyectos de gestión de identidades, single sign-on y provisioning. Para el usuario \»de a pie\», hay en el mercado variedad de productos, comerciales y libres (como por ejemplo KeepassX), que permiten mantener en un contenedor cifrado las diferentes identidades. Para aplicaciones web, incluso los navegadores proveen de servicios propios de auto-rellenado de usuario y contraseña.
En general, estos programas de protección de contraseñas, así como los de gestión de identidades, requieren una autenticación basada en una contraseña maestra. Lo cuál nos lleva a otro problema más, si esa contraseña maestra cae, todas las demás quedan expuestas.
Este problema se solucionaría utilizando algún tipo de autenticación fuerte como contraseña maestra, basada en al menos dos factores de estos tres: \»algo que se tiene, algo que se sabe, algo que se es\».
Si no es posible la autenticación fuerte, al menos:
- Asegurense de que cuando inserten la contraseña maestra de su gestor de credenciales no haya nadie nadie mirando. Si tapan el PIN cuando meten la tarjeta en el cajero automático, ¿por qué no tener ciertas precauciones en el teclado del PC?
- Como extensión al punto anterior, que no nos miren ni desde fuera ni desde dentro de la PC: mentenela libre de troyanos y keyloggers. Política de parches y antivirus actualizados, firewalls personales, instalar sólo aquello que estéis seguros que no contiene spyware/malware y cuidado con los rogue antivirus.
- Cierren la sesión cuando terminen la actividad para la que se hayan tenido que autenticar (sobre todo para entornos de banca online, los datos son datos, pero la plata/guita es la plata/guita).
- Cuidado con los enlaces sobre los que clickean (los que vean en foros, los que les lleguen por correo), pueden llevarlos a no dar sus contraseñas, pero sí a ceder su sesión por robo de cookies.
- Sigan las recomendaciones y buenas prácticas respecto a la gestión y vida de las contraseñas.
- Cuidado con las \»Preguntas secretas\» para recuperar contraseñas. Extremen precauciones con respuestas demasiado triviales que puedan comprometer su información de una forma trivial por quien los conoce.
- Y sobre todo y más importante, cuidado con los ataques basados en ingeniería social. Cuando hay que dar una contraseña a alguien, no fiarse siempre es la opción correcta!.
Fuente: securitybydefault.com