Introducción perfecta a la contraseña: actualice su seguridad

La mayoría de nosotros sabemos que la seguridad es importante, pero aun así elegimos la opción perezosa cuando se trata de la seguridad de las contraseñas. Por supuesto, es malo usar la misma contraseña para todos los sitios web. Pero ni siquiera es lo suficientemente bueno usar una contraseña segura; ahora vivimos en un mundo en el que tanto está relacionado con nuestras vidas en línea que los piratas informáticos están haciendo cada vez más para entrar en las cuentas en línea.

Entonces, vamos a ver todo el tema de la seguridad de las contraseñas y, por lo tanto, la seguridad de las cuentas en línea, cómo podemos elegir mejores contraseñas, cómo podemos hacer que nuestras vidas sean más fáciles pero también más seguras, cómo podemos aumentar la protección más allá de las contraseñas y cómo los piratas informáticos atacan y usan los detalles de su cuenta.

Algunos de estos consejos probablemente los hayas escuchado antes, algunos de ellos son nuevos, pero al final, estarás adecuadamente aterrorizado de que superarás tu propensión humana a la pereza, levantarás tu trasero y protegerás tu contraseñas!

Google Chrome puede administrar y sincronizar contraseñas en todos sus dispositivos.

Comencemos por asustarlo: ha habido una gran cantidad de investigaciones sobre la seguridad de las contraseñas, mucho más fáciles por la gran cantidad de violaciones de bases de datos en los últimos años. Uno de los esfuerzos de investigación de mayor alcance fue el de Google, publicado a mediados de 2017 en su artículo “¿Violaciones de datos, phishing o malware? Entendiendo los riesgos de las credenciales robadas” documento.

Algunas pepitas dulces de ese pequeño caché incluyen el hecho de que los investigadores barrieron más de 1.900 millones de nombres de usuario y contraseñas de cuentas no únicas. Estos fueron tomados de una variedad de fuentes de fugas, pero en su mayoría foros de seguridad blackhat. Un increíble 76 por ciento de estos podrían convertirse (o ya lo fueron) fácilmente a texto sin formato (la mejor práctica es usar hash y saltear las credenciales almacenadas). Los investigadores pudieron revertir un impresionante 36 por ciento de las contraseñas codificadas, utilizando un ataque de palabra clave adecuado.

De los robados a través de ataques de phishing, el 49 por ciento eran estadounidenses. Cuando se trataba de filtraciones de seguridad puras, el 39 por ciento de las credenciales estaban vinculadas a estadounidenses. En cuanto a las credenciales robadas a través de keyloggers, los estadounidenses fueron el blanco del 8 por ciento de los incidentes; Brasil representó la cantidad más alta en este grupo con un 18 por ciento.

Las filtraciones de credenciales parecen ocurrir regularmente en estos días. La más grande sigue siendo la fuga de Yahoo inicialmente silenciada, en 2013, en la que básicamente se filtraron todas las cuentas de Yahoo. Tres mil millones en total. Adult Friend Finder superó los 412 millones, la brecha de Equifax de 2017 afectó a 143 millones de estadounidenses, mientras que MySpace, Adobe, LinkedIn, Dropbox, LastFM, NexusMods y muchos más han tenido sus filtraciones, cada una de las cuales ha publicado individualmente los detalles de millones de usuarios.

Estas filtraciones muestran el problema básico con la reutilización de contraseñas: si está utilizando la misma contraseña en todas sus cuentas en línea, solo se necesita una única fuga y todas sus cuentas están comprometidas.

¡La ciencia nos salva!

La mayoría de los administradores de contraseñas funcionan a través de un complemento de navegador, ya que es donde todos vivimos ahora.

Entonces, la siguiente pregunta lógica es: ¿Qué hace que una contraseña sea segura? Entropía. Eso significa el nivel de aleatoriedad en un sistema. Por aleatoriedad, nos referimos a la verdadera aleatoriedad. No es suficiente tener una contraseña larga, tiene que ser larga y verdaderamente aleatoria. Nos topamos con un hermoso análisis de contraseñas deficientes realizado por WPEngine, que puede leer aquí.

Vale la pena leerlo, además de ser divertido e interesante, destaca muchas fallas generales de los humanos cuando se trata de crear contraseñas.

Los comienzos obvios son las malas contraseñas estándar: “123456” y cualquier variación de las mismas, “contraseña”, “qwerty” y nuevamente cualquier variación de esas. Cosas obvias. Otro problema es que muchas pautas de contraseña son malas: forzar letras mayúsculas, por ejemplo, porque las personas tienden a escribir en mayúscula la primera letra; forzar al menos un número, porque la gente simplemente pone “1” al final; o exigir una contraseña de al menos una cierta longitud, porque la gente usa un patrón en el teclado. Por ejemplo, el aparentemente aleatorio “ADGJMPTW” es en realidad gente que escribe del 2 al 9 en el teclado numérico de un teléfono inteligente. Esto es lo que pasa; no crea contraseñas seguras, porque son más fáciles de adivinar con una entropía mucho más baja.

See also  Revisión de la carcasa de la PC mid-tower Corsair iCUE 5000T RGB

Es esa cosa de la naturaleza humana. Un grupo quiere proteger un sistema, otro quiere una vida fácil, por lo que elude las reglas, un tercer grupo intenta entrar. Entonces, ¿cómo hacemos contraseñas más seguras?

Hace algunos años, un ingeniero de Dropbox, Dan Wheeler, escribió una publicación de blog en la que se hace referencia a la caricatura XKCD correcthorsebatterystaple clásica de Randall Munroe sobre la entropía de la contraseña, junto con la investigación anterior de Mark Burnett. La publicación de Dan es larga y compleja, y se centra en lo que hace que una contraseña sea segura (alta entropía), además de cómo se puede medir y comunicar fácilmente al usuario. Por el contrario, el punto de Randall era en parte la seguridad de las contraseñas, pero en gran medida exaltaba la necesidad de hacer que los sistemas de contraseñas fueran amigables para los humanos.

No queremos entrar demasiado en detalles, pero efectivamente una buena contraseña es una contraseña larga. Sencillo. El enfoque de XKCD consiste en utilizar una serie de palabras o frases memorables, por lo general pintando una escena extraña, como el ejemplo clásico de un “elemento básico de batería de caballo correcto”, pero podría ser una frase como “baloncesto en un monociclo volando alto”. ” Desde un punto de vista memorable, esto aprovecha las técnicas utilizadas por los expertos en memoria. Agregue algunos números y símbolos, y es aún más fuerte.

Sin embargo, nada de esto aborda el problema central, que ahora tenemos una cantidad aparentemente interminable de servicios en línea para usar y probar, cada uno con su propia contraseña e inicio de sesión. Incluso hacer que las contraseñas sean memorables no resolvería el problema innato de tener que recordarlas todas. La solución a eso es un administrador de contraseñas.

¡Microsoft sálvanos!

El lugar obvio para comenzar es preguntar qué herramientas proporciona Microsoft en Windows 10 y Windows 11. La respuesta indiferente es ninguna. Windows no viene con ninguna herramienta específica de administración de contraseñas. Lo que Microsoft ha hecho es crear un administrador de contraseñas básico en su navegador Edge, que permite que esas contraseñas guardadas se sincronicen en sus cuentas de Windows y en cualquier otra instancia del navegador Edge que pueda estar ejecutando, por ejemplo, Edge en Android. 

Pero, ¿y si no estás en tu cuenta de Windows? ¿Qué pasa si no estás en Windows en absoluto? ¿Qué pasa si estás usando Chrome o Firefox? ¿Qué sucede si desea crear una contraseña segura? ¿Qué pasa si un sitio exige credenciales no estándar? El administrador de contraseñas de Edge es básico en el mejor de los casos y no ayuda en todos los escenarios, excepto en los más simples.

Una aplicación móvil bien integrada maneja las cuentas en línea y los inicios de sesión de aplicaciones locales.

¡Los navegadores nos salvan!

Los códigos de acceso de un solo uso permiten el acceso de emergencia si pierde su dispositivo TFA.

¿Qué tal un navegador que realmente quieras usar? El navegador más utilizado es Google Chrome, y viene con un administrador de contraseñas razonable incorporado. Para comenzar, si ha iniciado sesión con su cuenta de Google, sincroniza las contraseñas en todos sus dispositivos y sistemas operativos (Windows, MacOS, Linux, Chrome OS) y, por supuesto, está disponible en dispositivos Android e iOS. , también. Google también ofrece un servicio en línea que le permite iniciar sesión y acceder a contraseñas desde cualquier navegador en cualquier dispositivo.

Más allá de las contraseñas, Chrome también admite el llenado inteligente de formularios. Puede ingresar una dirección predeterminada, un número de teléfono y una dirección de correo electrónico, y si Chrome cree que está completando esos detalles, ofrece intentar completar automáticamente formularios completos o elementos individuales. Junto a esto, tiene una opción de almacenamiento seguro de tarjetas de crédito, si encuentra buena la idea de que Google tenga los datos de su tarjeta de crédito… ¿Qué puede salir mal?

El administrador de contraseñas básico pero lo suficientemente inteligente de Chrome significa que siempre que haya iniciado sesión en su cuenta de Google, un clic derecho en un campo de contraseña ofrece la opción de generar una contraseña segura. No hay opciones, solo proporciona una contraseña aleatoria de longitud adecuada. Luego, por supuesto, guarda y administra ese nombre de usuario y contraseña por usted. Puede establecer excepciones y administrar las contraseñas guardadas desde la “Configuración avanzada”. El acceso a estos está protegido a través de un aviso del sistema para ingresar su contraseña de Windows.

El otro navegador principal que vale la pena mencionar es Mozilla Firefox, aunque no proporciona muchas más funciones que Microsoft Edge. Sincroniza su contraseña a través de su propia cuenta de Firefox con cualquier sistema operativo o dispositivo compatible. No admite formularios, no generará contraseñas para usted, pero ofrece una contraseña maestra independiente para proteger el acceso.

See also  Twitter finalmente te permite ordenar tus DM desordenados

LastPass sálvanos!

(Crédito de la imagen: LogMeIn)

Por lo tanto, los navegadores generalmente nos dejan con ganas de más cuando se trata de la administración real de contraseñas. Podrías arreglártelas con Google Chrome, pero podemos hacerlo mejor. Ingrese al mundo de los administradores de contraseñas dedicados. Nos vamos a concentrar en LastPass en esta sección principal; para ver alternativas, vea los distintos cuadros a lo largo de la función. Sin duda, es una de las principales opciones a tener en cuenta cuando se trata de elegir un administrador de contraseñas; la cuenta gratuita brinda la mayoría de las funciones básicas que las personas requieren, mientras que la edición premium paga solo cuesta $ 2.60 por mes.

LastPass es una herramienta para múltiples dispositivos, múltiples sistemas operativos y múltiples navegadores. Funciona en gran medida como un complemento de navegador para los cinco grandes: Chrome, Firefox, Safari, Edge/Internet Explorer y Opera. Se ejecuta en todos los principales sistemas operativos de escritorio: Windows, macOS, Linux y OpenBSD. Y para dispositivos móviles, hay soporte para Android, iOS y Windows Phone. Además, también puede iniciar sesión en su bóveda de contraseñas de LastPass a través de cualquier navegador.

El nombre LastPass proviene del hecho de que la contraseña de su cuenta de LastPass será la última contraseña que debe recordar; se encargará de todo el resto. ¿Entonces Qué es lo que hace? El uso principal es a través de un complemento de navegador y aplicaciones en sus dispositivos móviles. A medida que crea nuevas cuentas o inicia sesión en las existentes, LastPass almacena sus nombres de usuario y contraseñas u ofrece generar nuevas contraseñas a medida que se crean las cuentas.

El generador de contraseñas de LastPass es bastante bueno. Puede elegir cualquier longitud, hasta 100 caracteres, seleccionar cualquier combinación de mayúsculas y minúsculas, elegir cuántos números usar y decidir si debe usar símbolos. También hay opciones avanzadas para evitar símbolos ambiguos o intentar hacerlos pronunciables.

Las cuentas se pueden agrupar en categorías y buscar. Puede agregar notas y optar por inicios de sesión automáticos, para ayudarlo a ingresar rápidamente a las cuentas. LastPass también admite el llenado automático de formularios estándar: nombres, direcciones, correos electrónicos, números de teléfono, cuentas bancarias, tarjetas de crédito y campos personalizados. También hay una herramienta general de notas cifradas. También ofrece una advertencia para formularios inseguros, además de una auditoría de seguridad de las cuentas existentes que podrías importar desde tu navegador. También se admite la autenticación de dos factores.

El servicio de pago amplía el llenado de contraseñas a otras aplicaciones, tanto en Android como en Windows: LastPass puede completar la contraseña y los campos de un programa; útil en estos días ya que más programas requieren algún tipo de inicio de sesión para las suscripciones. Una vez instalado, vale la pena mirar las “Preferencias”. Nos gusta agregar un tiempo de cierre de sesión, por lo que si deja su PC sola, se desconecta después de una hora, por ejemplo.

LastPass no es el único administrador de contraseñas que ofrece todas estas funciones, pero brinda una idea de las capacidades ampliadas, la seguridad mejorada y la verdadera facilidad de uso que ofrece un servicio dedicado.

Pero un gran poder conlleva una gran responsabilidad. Un servicio como LastPass requiere que use una contraseña maestra segura; si eso es pirateado, alguien obtendrá acceso a todos los servicios que use. O si olvida la contraseña, LastPass no puede restaurar su contraseña maestra, ya que nunca se envía en primer lugar, como medida de seguridad deliberada. Puede sonar como si estuviéramos poniendo todos nuestros huevos en una sola canasta, pero ¿qué quiere: una canasta individual para cada huevo o solo una canasta asombrosamente segura?

Incluso las empresas preocupadas por la seguridad pueden ser pirateadas y tener problemas. LastPass ha tenido una serie de vulnerabilidades expuestas e incluso tuvo un ataque de pirateo exitoso en sus propios servidores en 2016. Pero como debe ser una empresa preocupada por la seguridad, LastPass ofrece recompensas por errores, que respeta, y está abierto sobre las infracciones con sus usuarios, mientras que utilizando las mejores prácticas en su almacenamiento seguro. Entonces, incluso la violación del servidor en 2016 significó que las propias contraseñas de los usuarios permanecieron seguras.

Mantén Steam seguro

Una pregunta que los expertos en seguridad comenzaron a hacerse hace un tiempo fue: ¿Hay algo mejor que las contraseñas? No le gustará la respuesta, pero es poco probable que alguna vez estemos completamente libres de contraseñas, aunque la autenticación de dos factores ofrece un respiro. Llamado TFA, o 2FA, para abreviar, la premisa es que las personas requieren dos formas de identificación, también conocidas como autenticación; por lo general, la primera es una contraseña segura (algo que conoce), y la segunda puede ser su huella digital, su cara encantadora o un código de acceso de un solo uso generado (algo que tiene).

See also  El próximo paso de Google para mantener vivo a Stadia: licenciarlo a cualquier persona con efectivo

Como habrás notado, muchos teléfonos ahora usan huellas dactilares y escaneos faciales para autenticar el acceso. Los institutos financieros incluso están lo suficientemente contentos de que los teléfonos equipados con NFC puedan autenticar transacciones con tarjetas de crédito. Algunos sistemas (LastPass, VeraCrypt) aceptan memorias USB y llaves USB especializadas (Yubikey) como segunda forma de autenticación.

Steam es un buen ejemplo de un servicio que proporcionó rápidamente autenticación de dos factores. Debe estar familiarizado con su verificación de correo electrónico, que envía un código a su dirección de correo electrónico predeterminada. Valve también presentó la aplicación Steam Authenticator, que es necesaria si estás jugando con sus intercambios.

Gerentes suplentes

Vamos a sugerir otros tres administradores de contraseñas comerciales, los que surgen con más frecuencia y, en general, ofrecen características similares a costos similares. Por lo tanto, depende de usted cuál cree que funciona mejor. El primero es 1Password.com; los precios comienzan en $2.99 ​​por mes para un solo usuario y $4.99 para una cuenta familiar para cuatro personas.

DashLane es un jugador importante y ofrece una serie de planes que se adaptarán a una amplia gama de usos comerciales y de consumo. El plan básico es gratuito para todos, pero se limita a trabajar en un solo dispositivo. El plan de hogar pagado cuesta $ 3.99 al mes y admite dispositivos ilimitados, uso compartido de contraseñas y soporte Yubikey TFA. Un plan comercial comienza en $ 4 por usuario e incluye administración remota, uso compartido grupal de contraseñas y opciones mejoradas de TFA, entre otras cosas.

Nuestra última opción es Keepersecurity.com. Tiene una estructura similar a DashLane, pero opta por tener un precio de suscripción anual. El paquete básico para un solo usuario cuesta $ 29.99, efectivamente $ 2.50 por mes, y ofrece dispositivos ilimitados con sincronización, almacenamiento ilimitado de contraseñas, copia de seguridad segura en la nube, acceso con huella digital y acceso web con soporte. Una opción familiar cuesta $59.99 para cinco usuarios. hay, por supuesto, un host más administradores de contraseñas. Puede encontrar una lista vagamente independiente en Wikipedia, o nuestro sitio web hermano techradar mantiene una lista de administradores de contraseñas gratuitos (ish).

El camino del código abierto

Nos gusta el código abierto; es posible que no siempre produzca el software de apariencia más pulida [tos] GIMP [tos], pero para el software de seguridad, su código públicamente escudriñable tiende a brindar tranquilidad, al tiempo que garantiza en gran medida que un proyecto puede continuar incluso si la organización original o el desarrollador empaquetan recoger sus maletas, ya que el código fuente permanece abierto para ser recogido por otra persona.

Vamos a destacar dos fuertes candidatos de código abierto. El primero es el conocido KeePass.info. No confunda esto con KeePassX.org, en gran parte extinto, que no se ha actualizado durante dos años. Hay una bifurcación llamada KeePassXC.org, que está actualizada, pero nos quedaremos con KeePass, ya que tiene muchos respins no oficiales para Android y otros dispositivos que lo hacen más fácil de usar.

KeePass no es tan fácil de usar como las alternativas comerciales; el aro principal por el que debe pasar es para la sincronización de múltiples dispositivos, donde un servicio en la nube de terceros, como Dropbox o Google Drive, debe estar conectado. Pero la amplitud del soporte, las opciones personalizadas y el conjunto de funciones no tienen comparación. , sin cuotas a pagar.

La otra opción sólida de código abierto es Bitwarden. Ofrece un excelente modelo gratuito, una suscripción familiar de $ 3.33 al mes que admite hasta seis usuarios, una versión comercial básica a $ 5 por mes, más opciones empresariales. Es una aplicación moderna, elegante y de código abierto compatible con macOS, Windows, Linux, todos los principales navegadores, incluidos Opera, Tor y Brave, además de dispositivos Android e iOS. Si eres fanático del código abierto, te sugerimos que le eches un vistazo.

Este artículo se publicó originalmente en el número 151 de Maximum PC . Para obtener más artículos de calidad sobre todo lo relacionado con el hardware de PC, puede suscribirse a Maximum PC ahora.

bullfight-doc
bullfight-doc