Video: Clase 6. Teología Liberal. Primera Parte. (Noviembre 2024)
El mes pasado, John Dvorak, columnista de PCMag desde hace mucho tiempo y autoproclamado "geek malhumorado", escribió una diatriba sobre el proceso de restablecimiento de contraseña. Estaba muy ocupado cubriendo la Conferencia RSA en San Francisco, así que no le presté mucha atención. Ahora que he echado un vistazo, puedo afirmar que la posición de John está completamente y completamente equivocada. Para tomar prestada una frase de " Juego de tronos ", ¡no sabes nada, John Dvorak!
Dvorak dijo: "¿Qué pasó con la idea de enviarle a alguien la contraseña en lugar de un enlace de restablecimiento? Me gustó la contraseña anterior". Luego se burló del uso de un enlace de reinicio, diciendo: "Nada de esto me protege a mí ni a nadie más de nada. Es una farsa. ¿Cómo protege eso algo?" Bueno, John, te lo diré.
Ellos no lo tienen
La razón principal por la que un sitio web seguro no le enviará una contraseña olvidada es muy simple: no la tienen. No lo almacenan en ningún lado. Y eso es algo bueno. Si no almacenan su contraseña, los hackers no pueden robarla ni publicarla en Pastebin por un empleado descontento. Realmente, un sitio web que realmente almacena su contraseña está poniendo en peligro su privacidad.
Entonces, si no almacenan su contraseña, ¿cómo pueden saber que ha ingresado la correcta? La respuesta se encuentra en un concepto llamado hashing. El hash es muy parecido al cifrado, pero es un proceso unidireccional. La misma entrada a un algoritmo de hash siempre produce la misma salida, pero no hay forma de tomar esa salida y redescubrir el original.
Supongamos que se registra para una nueva cuenta en línea utilizando su contraseña favorita, que resulta ser "contraseña". El sitio coloca lo que ingresó a través de un algoritmo de hash y recupera algunas tonterías como 991CEFz & Nw36, que almacena. Cuando inicia sesión, el sitio ejecuta la contraseña que ingresó a través del mismo algoritmo. Si el resultado coincide, estás dentro.
No deberían enviarlo
Incluso si un sitio seguro tenía su contraseña real almacenada, no debería enviársela por correo electrónico. El correo electrónico es inherentemente inseguro. Sus mensajes rebotan de un servidor a otro en el camino a su bandeja de entrada. A menos que haya utilizado algún tipo de cifrado de correo electrónico, su contraseña simplemente no es segura durante sus viajes.
Dvorak argumenta que un enlace de restablecimiento de contraseña es igual de vulnerable. Él está equivocado. Por un lado, los enlaces de reinicio suelen ser de corta duración. Un poco después de solicitar el enlace, deja de ser válido. Una vez que haya usado el enlace, nuevamente, se vuelve inválido. Además, el uso del enlace configura una conexión SSL segura entre su navegador y los servidores del sitio. Ingrese su nueva contraseña, el sitio la codifica y almacena el resultado, y está de vuelta en el negocio.
¡Pero no puedo recordar!
Dvorak plantea el problema de su cuenta de Dropbox, que solo usa unas pocas veces al año. Naturalmente, cuando se ve obligado a usarlo, no puede recordar la contraseña. De hecho, una contraseña que puede recordar fácilmente es muy probable que otra persona pueda adivinarla. Lo que realmente necesita hacer es comenzar a usar un administrador de contraseñas y cambiar todas sus contraseñas existentes por nuevas, seguras y únicas.
- Cómo hacer contraseñas increíblemente seguras Cómo hacer contraseñas increíblemente seguras
- Los mejores administradores de contraseñas para 2019 Los mejores administradores de contraseñas para 2019
- El dilema de restablecimiento de contraseña El dilema de restablecimiento de contraseña
Sí, hay una cierta cantidad de trabajo involucrado en cambiar a contraseñas seguras, pero vale la pena el esfuerzo. Nuestra propia Jill Duffy explica cómo lo hizo durante un período de cinco semanas. Y no tiene por qué ser costoso. Algunos de los administradores de contraseñas gratuitos disponibles hacen un excelente trabajo.
"Pero aún tengo que recordar esa contraseña maestra segura", casi puedo escuchar a John decir. De hecho lo haces. Pero es solo una contraseña, y hay maneras de hacerla memorable. Además, lo usará todos los días, no una vez al año. Entonces, John, considera esta tu llamada de atención; Es hora de unirse al mundo moderno y obtener un administrador de contraseñas.
