'12345' es realmente malo: tu guía definitiva para la seguridad de contraseñas

Le hemos advertido una y otra vez que la única forma segura de almacenar y usar contraseñas es confiar en un administrador de contraseñas, pero algunos de ustedes no están escuchando. En una encuesta de PCMag sobre contraseñas, solo el 24 por ciento de ustedes informó haber usado un administrador de contraseñas. ¿Qué están haciendo el resto de ustedes? ¿Usa contraseñas fáciles como contraseña o 12345678? ¿Memorizar una contraseña compleja y usarla en todas partes? Escuche, cuidar la seguridad de la contraseña no es poca cosa, pero dada la enorme escala del riesgo, como se ilustra en la reciente violación de la Colección # 1, que expuso a 773 millones de direcciones de correo electrónico pirateadas, debe hacer todo lo posible para mantener sus contraseñas. seguro.

Incluso si está utilizando el mejor administrador de contraseñas, no garantiza la seguridad de sus cuentas, no si usa el administrador de contraseñas para recordar esas mismas contraseñas viejas y cansadas. Tienes que bajar a las trincheras y cambiar las contraseñas malas por otras nuevas y más seguras.

Esa encuesta mencionada anteriormente reveló que el 35 por ciento de los lectores de PCMag nunca cambian sus contraseñas, a menos que se vean obligados a hacerlo por una violación. En general, eso no es tan malo. El Instituto Nacional de Estándares y Tecnología ya no recomienda cambiar las contraseñas cada 90 días. El NIST ahora recomienda usar frases de contraseña largas como "Corregir-Caballo-Batería-Grapa" y cambiarlas solo cuando sea necesario. Pero si está usando contraseñas terribles, "cuando sea necesario" significa en este momento .

Justo lo que hace una contraseña incorrecta? Analizaremos algunos de los atributos de las contraseñas terribles, y luego le daremos algunos consejos sobre cómo hacer las contraseñas de la manera correcta.

Manténgase fuera del diccionario

Cada pocos meses, un medio de noticias u otro publica una lista de las peores contraseñas. Vemos muchas opciones fáciles de escribir, como 123456 y 12345678 y qwerty. ¿Fácil para ti? Seguro. Pero también es fácil de descifrar para los hackers. Otras contraseñas comunes (y deficientes) consisten en palabras simples del diccionario. Hemos visto béisbol, mono y guerra de las galaxias en la lista de las peores contraseñas. Estos también son fáciles de descifrar.

Algunos sitios web seguros se bloquean después de un número determinado de intentos de contraseña incorrecta, pero muchos no lo hacen. Para aquellos que no tienen un bloqueo erróneo, los hackers pueden cruzar una lista de direcciones de correo electrónico con una lista de contraseñas populares y configurar un proceso automatizado para seguir probando combinaciones hasta que entren.

Un sitio web debidamente protegido no almacena su contraseña en ningún lado. En cambio, ejecuta la contraseña a través de un algoritmo hash, una especie de encriptación unidireccional. La misma entrada siempre produce la misma salida, pero no hay forma de volver a la contraseña original desde el hash resultante. Si la contraseña que escribe tiene hash con el mismo valor que está almacenado, obtendrá acceso. Incluso si los piratas informáticos capturan los datos de usuario del sitio, no obtienen contraseñas, solo hash.

Pero los piratas informáticos inteligentes pueden descifrar contraseñas débiles incluso cuando están en hash, si saben qué función de hash utilizó el sitio. Comienzan ejecutando un gran diccionario de contraseñas comunes a través de la función hash. Luego buscan los hashes resultantes en los datos capturados. Cada coincidencia es una contraseña descifrada. Los sitios con la mejor seguridad mejoran la función hash con una técnica llamada salazón, que hace que este tipo de grietas basadas en tablas sea imposible, pero ¿por qué correr el riesgo? Solo mantente fuera del diccionario.

Piensa diferente

Una amiga me dijo una vez su contraseña perfecta: 1qaz2wsx3edc4rfv. Podía "escribirlo" simplemente deslizando un dedo por cuatro columnas inclinadas del teclado. Era tan perfecto que lo usaba en todas partes. Y eso fue un gran error.

Apenas pasa una semana sin noticias de una violación en alguna empresa o sitio web, exponiendo miles o millones de nombres de usuario y contraseñas. Las víctimas inteligentes cambian sus contraseñas de inmediato. Aquellos que ignoran el problema pueden verse bloqueados de sus propias cuentas después de que los piratas informáticos restablecen la contraseña.

Esos hackers saben que demasiadas personas reciclan sus contraseñas. Una vez que encuentran un par de nombre de usuario y contraseña que funciona, prueban las mismas credenciales en otros sitios. Es posible que no esté tan preocupado por perder el acceso a su cuenta de Club Penguin, pero si utilizó el mismo inicio de sesión en el sitio web de su banco, tiene grandes problemas.

Se pone peor. Si alguien más controla su cuenta de correo electrónico, primero puede bloquearlo cambiando la contraseña. Luego, pueden ingresar a sus otras cuentas enviando un enlace de restablecimiento de contraseña a esa cuenta. ¿Preocupado ya?

No te pongas personal

Usar información personal como base para sus contraseñas es muy tentador, pero es una mala idea. Lo más probable es que el nombre de su perro aparezca en los diccionarios que usan los hackers para los ataques de fuerza bruta. Otras posibilidades, como las iniciales y la fecha de nacimiento de un miembro de la familia, probablemente no caerán en un ataque de fuerza bruta, pero si alguien quiere hackear su cuenta específicamente, esos datos personales pueden alimentar un ataque de adivinanzas de prueba y error.

No piense ni por un minuto que sus datos personales son privados. Hay docenas de sitios que las personas pueden usar para encontrar detalles sobre cualquier persona: dirección, fecha de nacimiento, estado civil y más. Sus publicaciones en las redes sociales pueden ser otra fuente de información personal, especialmente si no ha asegurado adecuadamente sus cuentas. Un pirata informático determinado (o un vecino entrometido) probablemente pueda adivinar cualquier contraseña que cree basándose en sus propios datos.

Cerrar la puerta de atrás

Si no está utilizando un administrador de contraseñas, seguramente ha experimentado olvidar la contraseña de un sitio. Es muy común, por lo que prácticamente todas las páginas de inicio de sesión incluyen un "¿Olvidó su contraseña?" enlazar. Algunos sitios envían un enlace de restablecimiento a su dirección de correo electrónico, mientras que otros le permiten restablecer la contraseña después de responder sus preguntas de seguridad. Y eso abre una puerta trasera para cualquiera que quiera hackear su cuenta.

La mayoría de los sitios ofrecen opciones abismales para preguntas de seguridad. ¿Cuál es el apellido de soltera de tu madre? ¿A dónde fuiste a la secundaria? ¿Cuál fue su primer trabajo? Como se señaló, su vida personal es un libro abierto para cualquier persona con habilidades de búsqueda en Internet. Cuando sea posible, ignore las preguntas preestablecidas. Cree su propia pregunta, con una respuesta única que siempre recordará pero que nadie más podría adivinar.

Es más difícil cuando el sitio no le permite definir sus propias preguntas. En ese caso, su mejor opción es usar una respuesta memorable que sea una mentira total. El apellido de soltera de mi madre es Obama. Fui a la escuela en Communist Martyrs High. Para mi primer trabajo, era domador de leones. Existe un elemento de riesgo, ya que puede olvidar qué mentira eligió. Sugeriría almacenar estas respuestas extrañas como notas seguras en su administrador de contraseñas… pero si estuviera usando un administrador de contraseñas, habría recordado la contraseña por usted.

Qué hacer ahora que te importa

Espero haberte convencido de que usar contraseñas comunes es una idea podrida, como construir contraseñas a partir de información personal. E incluso la mejor contraseña fuerte y aleatoria se convierte en una responsabilidad si la usa por todas partes. Si está listo para tomar medidas, aquí hay algunos puntos de partida:

• Utiliza un administrador de contraseñas.
• Cambie a un mejor administrador de contraseñas.
• Recuerde una contraseña maestra increíblemente segura para su administrador de contraseñas.
• Aproveche un generador de contraseñas aleatorias para actualizar sus viejas y malas contraseñas.
• Incluso podría crear su propio generador de contraseñas aleatorias en Excel.
• Habilite la autenticación de dos factores siempre que esté disponible.

Si un sitio seguro no se ocupa de la seguridad, aún podría perder las credenciales de ese sitio por una violación de datos, pero al hacer que todas sus contraseñas sean largas, sólidas y únicas, ha hecho todo lo posible para proteger sus cuentas en línea.

Y oye! Ahora que está en una buena racha, en términos de seguridad, considere agregar una red privada virtual o VPN. El uso de contraseñas seguras para sitios seguros significa que otros no pueden ingresar a sus cuentas; agregar una VPN significa que no hay posibilidad de que alguien pueda interceptar su conexión a esos sitios seguros.