Hogar Vigilancia de seguridad Reutilización de contraseñas en las redes sociales: ¡no hagas eso!

Reutilización de contraseñas en las redes sociales: ¡no hagas eso!

Video: Como Conectarse A Cualquier Red Wifi Sin La Contraseña 2020 (Noviembre 2024)

Video: Como Conectarse A Cualquier Red Wifi Sin La Contraseña 2020 (Noviembre 2024)
Anonim

No importa qué tan larga y compleja sea su contraseña: si usa la misma contraseña en varios sitios, corre un alto riesgo de ataque.

El mes pasado, los investigadores de Trustwave descubrieron un tesoro de aproximadamente dos millones de nombres de usuario y contraseñas en un servidor de comando y control con sede en los Países Bajos. El servidor, que formaba parte de la botnet Pony, había obtenido credenciales para varios sitios web, así como cuentas de correo electrónico, FTP, Escritorio remoto (RDP) y Secure Shell (SSH) de las computadoras de los usuarios, escribió Daniel Chechik de Trustwave en ese momento. De los 2 millones de credenciales cosechadas, alrededor de 1, 5 millones fueron para sitios web, incluidos Facebook, Google, Yahoo, Twitter, LinkedIn y el proveedor de nómina en línea ADP.

Un análisis más profundo de la lista de contraseñas encontró que el 30 por ciento de los usuarios que tenían cuentas en múltiples cuentas de redes sociales habían reutilizado sus contraseñas, dijo John Miller, gerente de investigación de seguridad de Trustwave. Cada una de estas cuentas sería vulnerable a un ataque de reutilización de contraseña.

"Con un poco de esfuerzo y algunas consultas inteligentes de Google, un atacante podría encontrar servicios en línea adicionales donde el usuario comprometido había usado una contraseña similar y luego también podría obtener acceso a esas cuentas", dijo Miller a Security Watch .

Son las redes sociales "solo"

Obviamente, es malo que los atacantes tuvieran acceso a los servidores FTP y las cuentas de correo electrónico de las víctimas, pero podría no ser tan obvio por qué tener sus contraseñas de Facebook o LinkedIn era tan importante. Es importante recordar que los atacantes utilizan con frecuencia estas listas como punto de partida para lanzar ataques secundarios. Incluso si los atacantes roban "solo" una contraseña de redes sociales, pueden terminar ingresando a su cuenta de Amazon, o ingresar a su red corporativa a través de VPN porque el nombre de usuario y la contraseña fueron los mismos que tenía en esa cuenta de redes sociales.

Security Watch advierte con frecuencia sobre los peligros de la reutilización de contraseñas, por lo que le solicitamos a Trustwave que analice esta lista de contraseñas para cuantificar el alcance del problema. Las cifras resultantes fueron sorprendentes.

De los 1, 48 millones de nombres de usuario / contraseñas asociados con cuentas de redes sociales, Miller identificó 228, 718 usuarios distintos con más de una cuenta de redes sociales. De esos nombres de usuario, Miller descubrió que el 30 por ciento había usado la misma contraseña en varias cuentas.

En caso de que se pregunte, sí, los ciberdelincuentes probarán la misma combinación en sitios aleatorios, ya sea manualmente o mediante un script para automatizar el proceso.

Reutilizar tan mal como contraseñas débiles

Las contraseñas pueden ser difíciles de recordar, y eso es especialmente cierto para las contraseñas que la mayoría de las personas consideran seguras. Si bien se debe elogiar a estos usuarios por no usar contraseñas débiles como "admin", "123456" y "contraseña" (que todavía era un problema entre este grupo), el problema es que incluso las contraseñas complejas pierden su efectividad si no son t único

Miller también identificó otro problema de reutilización. Si bien muchos sitios tienen usuarios que inician sesión con sus direcciones de correo electrónico, otros permiten a los usuarios crear sus propios nombres de usuario. En esa lista original de 1.48 millones de combinaciones de nombre de usuario / contraseña, en realidad había 829, 484 nombres de usuario distintos porque los usuarios usaban palabras comunes. De hecho, "admin" apareció como un nombre de usuario 4, 341 veces. La mitad de los nombres de usuario "débiles" también tenían contraseñas débiles, por lo que es aún más probable que los atacantes puedan abrirse paso a través de múltiples cuentas.

Mantenerse a salvo

Las contraseñas seguras son críticas para mantener nuestros datos e identidad seguros en línea, pero los usuarios con frecuencia optan por la comodidad por encima de la seguridad. Es por eso que le recomendamos que utilice un administrador de contraseñas para crear y almacenar contraseñas complejas y únicas para cada sitio o servicio que utilice. Estas aplicaciones también lo iniciarán automáticamente, lo que hace que sea mucho más difícil para los keyloggers obtener su información. Asegúrese de probar Dashlane 2.0 o LastPass 3.0, ambos ganadores del premio Editors 'Choice para la administración de contraseñas.

Como notamos el mes pasado, la botnet Pony probablemente cosechó la información de inicio de sesión a través de keyloggers y ataques de phishing. Mantenga actualizado su software de seguridad para evitar la infección, Webroot SecureAnywhere AntiVirus (2014) o Bitdefender Antivirus Plus (2014) y siga nuestras pautas para detectar ataques de phishing.

Reutilización de contraseñas en las redes sociales: ¡no hagas eso!