domingo, 1 de enero de 2017

Cómo escoger y proteger contraseñas

Cómo escoger y proteger contraseñas

¿Por qué usted necesita contraseñas seguras

Piense en el número de su PIN, contraseñas o frases de contraseña que utiliza a diario: para sacar dinero del cajero automático o utilizar su tarjeta de débito en una tienda, iniciar sesión en el ordenador o correo electrónico, o accediendo a su cuenta del banco en línea. 
La lista de cosas que se pueden hacer en línea se alarga cada día. Hacer un seguimiento de todos los números, letras y combinaciones de palabras que utiliza puede ser frustrante a veces, y tal vez usted se ha preguntado si todo el alboroto vale la pena. Después de todo, ¿qué atacante se preocupa por su cuenta de correo electrónico personal, ¿verdad? O ¿por qué alguien se ca a molestar en querer entrar en su cuenta del banco cuando hay otros con mucho más dinero? A menudo, un ataque no es específicamente sobre su cuenta, sino sobre cómo utilizar el acceso a su información para lanzar un ataque más grande. Y aunque no parezca que alguien va a querer acceder a su correo electrónico personal, piense en las implicaciones de que un atacante consiguiera el acceso a su número de Seguridad Social o a sus registros médicos.
Una de las mejores maneras de proteger información o propiedad física es asegurar que sólo las personas autorizadas tengan acceso a ella. Este proceso de autenticación es el más importante y el más difícil del mundo cibernético. Las contraseñas son el medio más común de autenticación, pero si usted no elige buenas contraseñas y la trata con confidencialidad, son practicamente tan ineficaces como no tener ninguna contraseña en absoluto. Muchos de los sistemas y servicios que han sido violados con éxito, se han debido a contraseñas inseguras e inadecuadas, y algunos virus y gusanos han explotado sistemas cuando los atacantes fueron capaces de adivinar las contraseñas débiles.

¿Cómo elegir una buena contraseña

La mayoría de las personas utilizan contraseñas que se basan en la información personal y son fáciles de recordar. Sin embargo, eso también hace que sea más fácil para un atacante romperlas. 
Considere la posibilidad de un PIN de cuatro dígitos. ¿Es el suyo una combinación de mes, día o año de su cumpleaños? ¿O su dirección o número de teléfono? Piense en lo fácil que es encontrar la fecha de cumpleaños de alguien o información similar. ¿Qué hay de su correo electrónico, su contraseña es una palabra que puede ser encontrada en el diccionario? Si es así, puede ser susceptible de que se realicen ataques de diccionario, que tratan de adivinar las contraseñas basadas en palabras o frases comunes.
Aun siendo una falta de ortografía intencional una palabra ( "lhuness" en lugar de "lunes") puede ofrecer cierta protección contra los ataques de diccionario, un método aún mejor es confiar en una serie de palabras y el uso de técnicas de memoria, o mnemónicos (La mnemotecnia o nemotecnia es la técnica o procedimiento de asociación mental de ideas, esquemas, ejercicios sistemáticos, repeticiones, etc. para facilitar el recuerdo de algo), para ayudarle a recordar cómo decodificar eso. Por ejemplo, en lugar de la contraseña "aros" utlice "4R0s" para "[a] [4] para [r] [R], para [o] [0]. Letras en mayúscula y números añade otra capa de seguridad. Su mejor defensa, sin embargo, es el uso de una combinación de números, caracteres especiales, y las dos letras minúsculas y mayúsculas. Por ejemplo "Golpear" crea una contraseña muy diferente de cualquier palabra del diccionario, con este tipo de combinación "G0!p34R"
passwords-1.jpg
Las contraseñas más largas son más seguros que los más cortas debido a que hay más caracteres que adivinar, así que considere el uso de frases de contraseña cuando se pueda. Por ejemplo, "G0!p34 3! B4!0n" sería una contraseña segura, ya que tiene muchos caracteres e incluye las letras minúsculas y mayúsculas, números y caracteres especiales. Es posible que tenga que probar diferentes variaciones de una frase de contraseña (algunas aplicaciones limitan la longitud de las contraseñas, y algunas no aceptan espacios, algunas no adminte caracteres especiales). Evite frases comunes, citas famosas, y letras de canciones.
No asuma que una vez que usted ha desarrollado una contraseña segura se debe utilizar para cada sistema o programa. Si los atacantes la adivinan, tendrían acceso a todas sus cuentas. Debe utilizar estas técnicas para desarrollar contraseñas únicas para cada una de sus cuentas:
  • Utilizar diferentes contraseñas en diferentes sistemas y cuentas.
  • No utilice contraseñas que se basan en la información personal que pueden ser fáciles de adivinar.
  • Use una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.
  • No utilice palabras que se pueden encontrar en cualquier diccionario de cualquier idioma.
  • Desarrollar mnemotécnicos como las frases de contraseña para recordar contraseñas complejas.
  • Considere el uso de un programa gestor de contraseñas para realizar un seguimiento de sus contraseñas. (lastpast, 1Password, KeePass).

Cómo proteger sus contraseñas

Ahora que usted ha elegido una contraseña que sea difícil de adivinar, tiene que asegurarse de no dejarla en ningun lugar donde sea posible encontrarla. Escribirlo y dejarlo en su escritorio, al lado de su ordenador, o, peor aún, pegado a su computadora, es simplemente lo más fácil para alguien que tiene acceso físico a su oficina. No decirle a nadie sus contraseñas, y detectar a los atacantes que le intenten engañar a través de llamadas telefónicas o mensajes de correo electrónico que solicitan que revele sus contraseñas.
Programas llamados gestores de contraseña ofrecen la opción de crear contraseñas generadas aleatoriamente para todas sus cuentas. A continuación, accede a esas contraseñas seguras con una contraseña maestra. Si utiliza un gestor de contraseñas, recuerde usar una contraseña maestra.
Otros problemas se derivan de la capacidad de los navegadores web de permitir guardar sus sesiones en línea en la memoria. Dependiendo de la configuración de la web de los navegadores, cualquier persona con acceso a la computadora puede ser capaz de descubrir todas sus contraseñas y acceder a su información. Por lo tanto, recuerde siempre cerrar la sesión cuando se utiliza un equipo público (en la biblioteca, un cibercafé, o incluso un ordenador compartido en su oficina). Evitar el uso de equipos públicos y de acceso Wi-Fi para acceder a las cuentas sensibles como la banca y de correo electrónico.
Más información sobre este autenticación de múltiples factores y temas relacionados con contraseña:

¿Qué niveles de seguridad adicional están disponibles?

Autenticación de múltiples factores , el uso simultáneo de múltiples piezas de información para verificar su identidad, es cada vez más común. Incluso si un atacante obtiene su contraseña, puede no ser capaz de acceder a su cuenta si está protegido por la AMF. La teoría detrás de este enfoque es que requieran dos o más formas de identificación o dos teclas para abrir una caja de seguridad. Debe activar el MFA siempre que esté disponible. Categorías de autenticación incluyen algo que sabes (por ejemplo, respuestas a las preguntas secretas o contraseñas); algo que tienes (por ejemplo, un elemento de contador u otro en su posesión); algo que está (por ejemplo, una medida biométrica tal como una huella dactilar).
Algo que sabes - Esto incluye contraseñas o respuestas preestablecidas a las preguntas.
Algo que tienes - Esta podría ser una pequeña muestra física tal como una tarjeta inteligente, un llavero especial, o una unidad USB. Es posible utilizar este token en conjunción con una contraseña para iniciar sesión en una cuenta. Sin embargo, fichas basadas en software también son comunes. Estos tokens basados en software pueden generar un único inicio de sesión al usar el número de identificación personal (PIN). Otras variaciones incluyen mensajes SMS, llamadas telefónicas o mensajes de correo electrónico enviando al usuario un PIN de verificación. Estos pines de normalmente pueden ser utilizados una sola vez y se anulan inmediatamente después de su uso. Por lo tanto, incluso si un atacante intercepta el intercambio, el atacante no podrá utilizar la información de nuevo para acceder a su cuenta.
Algo que está - La identificación biométrica puede incluir la exploración de los ojos (retinas o iris) o huellas dactilares, reconocimiento facial, otra de reconocimiento de voz, o la autenticación de firmas a través de pulsaciones de teclas o movimientos. Un ejemplo común de identificación biométrica es el escáner de huellas dactilares se utiliza para iniciar sesión en los usuarios de muchos teléfonos inteligentes modernos.
Otra forma de verificación es el uso de certificados web personales. A diferencia de los certificados utilizados para identificar sitios web, los certificados web personales se utilizan para identificar a los usuarios individuales. Un sitio web utilizando certificados web personal, se basa en estos certificados y el proceso de autenticación de las claves públicas / privadas correspondientes para verificar que usted es quien dice ser. Debido a la información de identificación que se inserta dentro del certificado, una contraseña adicional es innecesaria. Sin embargo, usted debe tener una contraseña para proteger su clave privada para que los atacantes no puedan tener acceso a su clave y representarse a sí mismos como si fueran usted. Este proceso es similar a la AM, pero se diferencia de esta manera: la contraseña de protección de la clave privada se utiliza para descifrar la información en su equipo y nunca se envía por la red.

¿Y si pierde su contraseña o certificado?

Tal vez se le ha olvidado su contraseña o ha formateado el ordenador y perdió su certificado de web personal. La mayoría de las organizaciones tienen procedimientos para que le de acceso a su información en estas situacionesEsto incluye direcciones de correo electrónico o números de teléfono alternativos que pueden ayudar a verificar su identidad si usted olvida su contraseña.
En el caso de los certificados, puede que tenga que solicitar que la organización le de uno nuevo. En el caso de las contraseñas, es posible que sólo necesite un recordatorio. No importa lo que pasó, la organización necesita una manera de verificar su identidad. Para ello, muchas organizaciones se basan en preguntas secretas .
Al abrir una nueva cuenta (por ejemplo, correo electrónico, tarjeta de crédito), algunas organizaciones le sugerirán que les proporcione la respuesta a una pregunta. Se le puede pedir estar respuest a la pregunta si se le olvida su contraseña o solicitar información sobre su cuenta a través del teléfono. Si su respuesta coincide con la respuesta que tienen en archivo, asumirán que en realidad están comunicando con usted. En teoría, preguntas y respuestas secretas pueden proteger su información. Sin embargo, las preguntas secretas comunes piden el nombre de soltera de la madre, número de seguridad social, fecha de nacimiento o el nombre de su mascota. Debido a que tanto la información personal está disponible en línea o a través de otras fuentes públicas, los atacantes pueden ser capaces de descubrir las respuestas a estas preguntas.
Dese cuenta de que la pregunta secreta es en realidad sólo una contraseña adicional. Al establecer la respuesta, usted no tiene que suministrar información real. De hecho, si se le pide dar una respuesta preestablecida, la falta de honradez puede ser la mejor política. Elija su respuesta como se puede elegir cualquier otra buena contraseña, guárdelo en un lugar seguro (por ejemplo, en un administrador de contraseñas), y no lo comparta con otras personas.
Las prácticas de seguridad adicionales ofrecen más protección que el uso de una sola contraseña, pero no deben ser considerados completamente eficaces. Aumentar el nivel de seguridad sólo hace que sea más difícil para los atacantes tener acceso a su información. Sea consciente de la AM y otras prácticas de seguridad al elegir un banco, compañía de tarjeta de crédito, u otra organización que tendrá acceso a su información personal. No tenga miedo de preguntar qué tipo de prácticas de seguridad utiliza la organización.
No se olvide de seguridad básico
  • Mantenga su sistema operativo, el navegador y otro software actualizado.
  • Utilizar y mantener el software antivirus y un firewall. (Ver Cómo entender el software anti-virus y El uso de cortafuegos .)
  • Regularmente escanear su ordenador en busca de spyware. (Algunos programas antivirus incorporan detección de software espía.)
  • Tenga cuidado con los archivos adjuntos de correo electrónico y con enlaces no confiables.
  • Esté atento a actividades sospechosas en sus cuentas.
No hay ninguna garantía de que estas técnicas eviten que un atacante aprender su contraseña, esto que hará que sea más difícil que lo consiga.

Las contraseñas son una forma común de autenticación y son a menudo la única barrera entre usted y su información personal. Hay varios programas que los atacantes pueden utilizar para ayudar a adivinar las contraseñas o "crack". Pero si usted elige una buena contraseña y la trata con confidencialidad, puede hacer que sea más difícil para una persona no autorizada a acceder a su información.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)