Blogia
Shibbo - Seguridad informática

Contraseñas

El 73% utilizan la misma contraseña para los servicios web

Según un reciente artículo sobre estudio de Trusteer, un 73 por ciento de los usuarios utiliza la misma contraseña de su banca on-line para al menos otro servicio on-line.

Además, un 47 por ciento de los usuarios utilizan ambos, identificador y contraseña, en al menos otro servicio.

La mejor opción para evitar esta peligrosa práctica es el uso de un gestor de contraseñas, aquí vamos a recomendar por razones obvias a Shibbo, pero hay otras aplicaciones que evitan tener que reutilizar las mismas contraseñas o recordar un buen puñado de ellas...

Vía: http://www.cosassencillas.com/2010/02/16/73-utilizan-misma-contrasena/

Entrada  anterior relacionada:
-
El peligro de reutilizar contraseñas

Trucos fáciles para mejorar las contraseñas de uso cotidiano

Los Microsiervos hacen referencia a un artículo con consejos para mejorar las contraseñas. Entre ellas, hay algunas discutibles como la de apuntarla en un papel (mejor guardarla en Shibbo... o en otro gestor de contraseñas).

Enlace al post: http://www.microsiervos.com/archivo/seguridad/trucos-mejorar-contrasenas.html

¿Cúanto se tardaría en averiguar una contraseña?

¿Cúanto se tardaría en averiguar una contraseña?

Hackosis es un servicio online que nos dice el tiempo que tardaría un ordenador en averiguar una contraseña determinada en un ataque de los denominados por "fuerza bruta".

No es necesario registrarse ni facilitar la contraseña a analizar, simplemente hay introducir en un formulario una serie de parámetros relacionados con la contraseña como el número de mayúsculas, minúsculas, números o caracteres especiales.

¿incorporaremos esta funcionalidad a Shibbo como hicimos anteriormente con Passwordmeter?  Seguiremos informando...

Vía: http://wwwhatsnew.com/2008/11/06/hackosis-cuanto-se-tarda-en-hackear-una-contrasena/

Passwordmeter: Analizador de contraseñas

Passwordmeter: Analizador de contraseñas

Passwordmeter (www.passwordmeter.com)  es una página web donde poder analizar la calidad de nuestras contraseñas de acuerdo con una serie de parámetros relacionados con la seguridad de las mismas: longitud, combinación de letras mayúsculas y minúsculas, números caracteres, palabras de diccionario, etc.

Aquellos usuarios de Shibbo, conocerán que la aplicación les avisa cuando una de las contraseñas almacenadas figura en los diccionarios de contraseñas más comúnmente utilizados por los ladrones de contraseñas...

No está de más recordar posts anteriores relacionados:
- Ábrete sésamo: cuidado con las contraseñas
- Creación de contraseñas seguras

Vía: http://wwwhatsnew.com/2008/03/19/passwordmeter-comprobar-la-fortaleza-de-tu-contrasena/

Ábrete Sésamo: Cuidado con las contraseñas

Buen artículo sobre seguridad y contraseñas publicado en Webtaller: http://www.webtaller.com/maletin/articulos/abrete-sesamo-cuidado-contrasenas.php?bol0907-4  

El artículo original está en: http://www.enplenitud.com/nota.asp?notaid=4319

No descubre nada nuevo que no se supiera ya pero no está de más, recordar por qué veces falla la seguridad y cómo són las contraseñas utilizadas por los usuarios en general.

El peligro de reutilizar contraseñas

Interesante artículo publicado en Kriptópolis sobre la reutilización de contraseñas en dirferentes servicios y sus riesgos: http://www.kriptopolis.org/el-peligro-de-reutilizar-passwords

La combinación entre usar contraseñas seguras (recomiendo releer post anterior sobre cómo crear una contraseña robusta: http://passreminder.blogia.com/2007/032202-creacion-de-contrasenas-robustas.php) y un gestor de contraseñas como Shibbo parece ser la más adecuada (aunque siempre haya gente que no sea partidaria de utilizarlos...).

Creación de contraseñas robustas

Cuando se cree una contraseña segura, es una buena idea seguir las siguientes pautas:

 

No haga lo siguiente:

 

  • No utilice solamente palabras o números — Nunca debería utilizar únicamente letras o sólo números en una contraseña.

    Algunos ejemplos inseguros incluyen:

     

    • 8675309

    • juan

    • atrapame

  • No utilice palabras reconocibles — Palabras tales como nombres propios, palabras del diccionario o hasta términos de shows de televisión o novelas deberían ser evitados, aún si estos son terminados con números.

    Algunos ejemplos inseguros incluyen:

     

    • john1

    • DS-9

    • mentat123

  • No utilice palabras en idiomas extranjeros — Los programas de descifrado de contraseñas a menudo verifican contra listas de palabras que abarcan diccionarios de muchos idiomas. No es seguro confiarse en un idioma extranjero para asegurar una contraseña.

    Algunos ejemplos inseguros incluyen:

     

    • cheguevara

    • bienvenue1

    • 1dumbKopf

  • No utilice terminología de hackers — Si piensa que usted pertenece a una élite porque utiliza terminología hacker — también llamado hablar l337 (LEET) — en su contraseña, piense otra vez. Muchas listas de palabras incluyen lenguaje LEET.

    Algunos ejemplos inseguros incluyen:

     

    • H4X0R

    • 1337

  • No utilice información personal — Mantengase alejado de la información personal. Si un atacante conoce quién es usted, la tarea de deducir su contraseña será aún más fácil. La lista siguiente muestra los tipos de información que debería evitar cuando esté creando una contraseña:

    Algunos ejemplos inseguros incluyen:

     

    • Su nombre

    • El nombre de sus mascotas

    • El nombre de los miembros de su familia

    • Fechas de cumpleaños

    • Su número telefónico o código postal

  • No invierta palabras reconocibles — Los buenos verificadores de contraseñas siempre invierten las palabras comunes, por tanto invertir una mala contraseña no la hace para nada más segura.

    Algunos ejemplos inseguros incluyen:

     

    • R0X4H

    • nauj

    • 9-DS

  • No escriba su contraseña — Nunca guarde su contraseña en un papel. Es mucho más seguro memorizarla.

  • No utilice la misma contraseña para todas las máquinas — Es importante que tenga contraseñas separadas para cada máquina. De esta forma, si un sistema es comprometido, no todas sus máquinas estarán en peligro inmediato.

Haga lo siguiente:

 

  • Cree contraseñas de al menos ocho caracteres — Mientras más larga sea la contraseña, mejor. Si está usando contraseñas MD5, debería ser de 15 caracteres de largo o más. Con las contraseñas DES, use el largo máximo (ocho caracteres).

  • Mezcle letras mayúsculas y minúsculas — Red Hat Enterprise Linux es sensitivo a las mayúsculas y minúsculas, por la tanto mezcle las letras para reenforzar su contraseña.

  • Mezcle letras y números — Agregando números a las contraseñas, especialmente cuando se añaden en el medio (no solamente al comienzo o al final), puede mejorar la fortaleza de su contraseña.

  • Incluya caracteres no alfanuméricos — Los caracteres especiales tales como &, $, y > pueden mejorar considerablemente su contraseña (esto no es posible si esta usando contraseñas DES).

  • Seleccione una contraseña que pueda recordar — La mejor contraseña en el mundo será de poca utilidad si usted no puede recordarla. Por lo tanto utilice acrónimos u otros dispositivos nemónicos que lo ayuden a memorizar las contraseñas.

Con todas estas reglas, puede parecer dificil crear una contraseña que reúna todos estos requisitos para las buenas contraseñas a la vez que se evitan los rasgos de las malas. Afortunadamente, hay algunos pasos que uno puede tomar para generar una contraseña segura y fácil de recordar.

 Metodología para la creación de contraseñas seguras

Hay muchos métodos que la gente utiliza para crear contraseñas seguras. Uno de los métodos más populares incluyen acrónimos. Por ejemplo:

 

  • Piense en una frase memorable, tal como:

    "Es más fácil creer que pensar con espíritu crítico."

  • Luego, cámbielo a un acrónimo (incluyendo la puntuación).

    emfcqpcec.

  • Añada un poco de complejidad sustituyendo números y símbolos por letras en el acrónimo. Por ejemplo, sustituya7 por e y el símbolo arroba (@) por c:

    7mf@qp@7@.

  • Añada un poco más de complejidad colocando mayúscula al menos una letra, tal como M.

    7Mf@qp@7@.

  • Por último, no utilice esta contraseña de ejemplo en ninguno de sus sistemas.

Mientras que la creación de contraseñas seguras es imperativo, manejarlas adecuadamente es también importante, especialmente para los administradores de sistemas dentro de grandes organizaciones.

Fuente original: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html

¿Por qué es seguro usar Shibbo para almacenar tus contraseñas?

¿Por qué es seguro usar Shibbo para almacenar tus contraseñas?

Algunas razones:

- El registro es anónimo y el único dato personal que se puede facilitar es el correo electrónico (de forma opcional y sólo para casos de recuperación de contraseña)

- Toda la información asociada a cada cuenta o servicio (ej: mi cuenta de correo 1, mi servicio web 2) es opcional, por lo que se puede almacenar el login y la pista o pregunta que nos recuerda cuál es la contraseña de ese servicio (o sólo el login y parte de la contraseña)

- Los datos que se almacenan en la base de datos están encriptados con una clave única generada para cada usuario, por lo que ni siquiera el Administrador puede descifrar esa información (en el caso de perder el lápiz USB, una persona aún con grandes conocimientos informáticos no podría acceder a la información).

- Tanto el servicio web como la aplicación instalada en el pendrive está desarrollada y mantenida por una empresa informática con más de 25 años de experiencia en el sector TIC:  Base, Cía. de Soporte Lógico S.A.L.