in

Una receta para el fracaso: contraseñas predeciblemente malas


Los expertos en seguridad desaconsejan nunca utilizar «Beef Stew» como contraseña. Simplemente no es un stroganoff.

Las contraseñas son la pesadilla de la vida de todos, pero seamos sinceros, todos las necesitamos. Y no desaparecerán tan rápido como a Microsoft le gustaría. Por el momento, seguiremos dependiendo de ellos durante un período de tiempo indefinido. Puede tener 50, 100 o incluso 200 cuentas en línea, pero ¿cuántas contraseñas tiene? ¿Son todos únicos? Bueno, aquí hay una anécdota que sugiere que las personas todavía usan las mismas pocas contraseñas personalizadas para sí mismas. Todo el mundo sus cuentas.

Recientemente asistí a una conferencia organizada por una empresa de gestión de activos donde me invitaron a dar una charla sobre ciberseguridad. Asistieron más de 50 personas, y cuando mencioné las contraseñas, hicieron lo que tantas personas hacen cuando menciono el tema: empezaron a mirar alrededor de la habitación, evitando el contacto visual, esperando que no les molestaran. Rápidamente me di cuenta de que su lenguaje corporal me decía que tenían una mala higiene de contraseñas, así que decidí profundizar un poco más y les hice preguntas sobre la administración de contraseñas con algunas respuestas interesantes.

Primero pregunté si alguien estaba usando un administrador de contraseñas. Un oyente levantó la mano y dijo que era solo porque habían escuchado una de mis conferencias en el pasado (¡me sentí tan humillada!). Entonces, el 98% de las personas en la sala no usaban un administrador de contraseñas o no tenían un sistema para administrar sus cuentas. Luego les pregunté cómo administraban sus cuentas en línea y algunos dijeron que usaban las mismas tres o cuatro contraseñas y muchos dijeron que esas contraseñas contenían información personal como fechas especiales o nombres que les importaban (wow, sí, ese fue un momento de facepalm en el que yo realmente lo hizo Sí, en serio trató de mantener la calma).

Decidí realizar espontáneamente un pequeño experimento con uno de los delegados. Siempre he encontrado que los experimentos en la vida real funcionan de maravilla cuando funcionan «en el momento» porque si funcionan, los espectadores tienen que hacer sus deberes antes de irse a la cama esa noche.

Con su permiso, este señor en particular me permitió continuar y rápidamente lo encontré en Facebook. Ubiqué todo su contenido público e hice una lista en la pizarra de las posibles contraseñas que pensé que podría usar. Apunté imágenes, nombres de animales, nombres de niños, fechas interesantes, equipos deportivos, libros, música … todas las posibilidades clásicas. Tenía alrededor de 20 palabras y números diferentes en una lista. Esta fue la parte impactante en la que sentí que encontré un tesoro enterrado.

Cuando se quitó la mandíbula del suelo, no solo dijo que había encontrado una de sus contraseñas, sino que encontré iteraciones de tres de sus cuatro contraseñas que «usó para todo». Más tarde descubrí que a las iteraciones les faltaba una letra mayúscula al principio y un número al final (típico, ¿eh?). Ese número era siempre el mismo: la fecha del mes en que nació. La multitud se sorprendió de que hubiera descifrado sus contraseñas. Yo no estaba. Este es un comportamiento estándar y los ciberdelincuentes lo saben.

Entonces surge la pregunta de por qué alguien, especialmente con acceso a una gran cantidad de activos, datos y medios de vida, seguiría usando una contraseña débil, en tantos niveles.

El futuro

¿Cómo se ve el futuro de la contraseña? ¿Podemos realmente ir donde la gente no se ha atrevido y probar una sociedad real sin contraseña? ¿O crees, como yo, que las contraseñas y frases de contraseña tienen un lugar en la sociedad cibernética y, cuando se usan correctamente, son en realidad una ventaja? A diferencia de la biometría, no hay límite en la cantidad que puede tener y puede guardar sus contraseñas en un administrador de contraseñas y generar una para usted. Además, cuando se usa con autenticación de múltiples factores, como una aplicación de autenticación o una clave de seguridad, el acceso a una cuenta es transparente y muy fácil incluso para los principiantes. Incluso tengo a mis padres, a mediados de los 70, que usan administradores de contraseñas junto con aplicaciones de autenticación basadas en teléfonos para todas sus cuentas que lo admiten, ¡y no pueden dejar de decirme lo fácil que es!

Una brecha es suficiente para darle acceso a un pirata informático a todas sus cuentas cuando está reciclando contraseñas. Por lo tanto, debe guardar sus contraseñas en un lugar seguro. Muchas personas ya usan el administrador de contraseñas de llaveros de Apple o simplemente las guardan en su navegador. Sin embargo, si alguna vez le roban su computadora portátil o computadora y no está completamente encriptada, el pirata informático potencial aún puede obtener acceso a la computadora sin ver la contraseña. Por lo tanto, un administrador de contraseñas entre dispositivos de terceros puede ser más beneficioso.

Otro consejo importante para proteger sus datos de miradas indiscretas o violaciones de datos es utilizar una función en los dispositivos Apple que le permita ocultar su dirección de correo electrónico a otras personas. Puede utilizar Iniciar sesión con Apple para anonimizar su dirección de correo electrónico cuando se registre en servicios que admitan esta función. De hecho, hubo una actualización reciente que permite a los usuarios de iCloud aprovechar la función «Ocultar mi correo electrónico». Esto hace exactamente lo que dice en la lata al hacer que genere una dirección unidireccional que reenvía los correos electrónicos entrantes a su cuenta real. De esta manera, su dirección de correo electrónico permanecerá segura en caso de que los datos se vean comprometidos.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Microsoft corrige el bypass de Surface Pro 3 TPM con código de explotación pública

Se lanza el descifrador gratuito de BlackByte después de que los investigadores dijeron que encontraron errores en el código de ransomware • Graham Cluley