Se escribe mucho a diario sobre seguridad en Internet, donde se explican los ciento y un motivos habituales que concurren en el ataque a sitios web, el robo de contraseñas de servicios web, FTP, correo, etc., y las muchas maneras de evitar esto poniendo un poco de parte del usuario, pues ni todas las inseguridades vienen de la mano del servicio de Hosting.
Mientras trazaba los puntos importantes a tratar en este artículo, comentaba con César Maeso (sysadmin de Webempresa) cuál sería la mejor forma de llamar la atención de los usuarios que habitualmente no leen este tipo de artículos, que casualmente son los que más veces incurren en inseguridades y sus sitios o servicios webs suelen ser vulnerables, y pensamos en títulos llamativos para este artículo como las "10 maneras de que te hackeen tu cuenta de Hosting", pero como al final nuestra labor debe ser educativa y siempre orientada al soporte, entendimos que la mejor forma de ayudar es informando.
El propósito de este artículo es pues ponerte al corriente de hasta que punto pueden ser inseguras las contraseñas que utilizas para acceder a tu Panel de Hosting, tus cuentas de correo, tu Área de Cliente, tus cuentas de FTP, y un largo etcétera que suele tener como resultado que las puertas de tus servicios online están abiertas para quienes gustan de hacer uso de lo ajeno. ¿Quieres poner solución a este problema? ...sigue leyendo!
Las claves de las contraseñas seguras
Toda contraseña, para ser segura, debe cumplir una serie de requisitos que pasamos a considerar a continuación:
Longitud y Complejidad
Si tiempo atrás la recomendación eran 8 caracteres alfanuméricos, que incluyesen al menos alguna mayúscula y caracteres especiales, hoy día está demostrado que este nivel de complejidad en la formación de contraseñas se puede quebrar con tiempo y algunas herramientas.
Atrás deben quedar pues contraseñas como 123456 o qwerty pues es evidente que ya forman parte de miles de diccionarios existentes ya sean para Cain u otras herramientas más sofisticadas.
Está claro que contra más larga sea la contraseña más difícil va a ser adivinarla y si además es aleatoria, sin vinculación alguna con nuestro nombre, apellidos o fechas significativas, mejor, pues es el objetivo principal de una contraseña es ese, pasar desapercibida y que no pueda ser adivinada por asociación de datos del propietario de la misma.
Cambios regulares
Existen servicios online que obligan al usuario cada determinado tiempo a cambiar su contraseña de forma que no pueda seguir usando la misma durante un periodo prolongado de tiempo, ni repetir contraseña una y otra vez.
Esta política debería ser aplicable a todos nuestros servicios online y máxime si, como cada vez más sucede, mezclamos los servicios online personales con los laborales, donde no existe una línea que defina el límite de unos y otros y donde es fácil acabar contaminando servicios de trabajo por no observar esta premisa en el plano personal.
Haz que tu contraseña caduque o tenga un tiempo de vida limitado. ¿Porqué deberías obligarte a cambiarlas regularmente? A pesar de que es posible que a estas alturas de concienciación tus contraseñas sean más seguras, sigue siendo posible que las descubran, es posible que te hayan visto teclearlas, o las hayan capturado mediante keyloggers.
Cambiarlas con cierta frecuencia hará que si en algún momento alguna contraseña tuya fue expuesta, con o sin tu conocimiento, la seguridad de tus servicios no se vea afectada tras un cambio regular por nuevas contraseñas, diferentes de las anteriores.
Almacenarlas de forma segura
¡Si!, las contraseñas también necesitan ser almacenadas, en muchas ocasiones dentro de herramientas protegidas por otras contraseñas, por lo que la buena elección del almacén de contraseñas es parte importante de todo este proceso.
Hemos hablado de herramientas como LastPass, que en los últimos años vienen demostrando que es posible tener un almacén seguro en la nube de contraseñas de acceso a los más variopintos servicios, sitios webs, servicios de correos, etc., de forma que nos resulte más fácil recordar una sola contraseña, la del almacén, que cientos de contraseñas de cada servicio que utilicemos.
Tu navegador no es el mejor y más seguro almacén de contraseñas, eso lo saben los amigos de lo ajeno, y será uno de los lugares a los que recurrirán para localizar accesos a servicios bancarios, de correo, de servicios de alojamiento web (Hostings), de redes sociales y otros para verificar si fuiste tan descuidado como para almacenar o memorizar la contraseña en tu navegador habitual.
Una contraseña por servicio
Sabemos que es difícil recordar una contraseña diferente para cada servicio que utilicemos con frecuencia, pero eso no justifica que acabemos utilizando la misma para todo, banco online, sitios web, cuentas correos, porque si la contraseña es adivinada o descubierta automáticamente todos nuestros servicios asociados a la misma contraseña quedarán expuestos de igual forma.
No compartirla de forma insegura
Toda contraseña para seguir siendo segura, una vez esta cumple los principales requisitos de longitud y composición alfanumérica, es que sea compartida, si es necesario hacerlo, de forma segura.
No es adecuado generar contraseñas muy robustas, de 13 o 15 caracteres, con letras, números y caracteres especiales, y sin asociación directa con nosotros y luego compartirlas por WhatsApp, correo electrónico o mediante una nota o Post-It ya que rompe todo principio de la seguridad que es "no exponer datos confidenciales por canales abiertos o no encriptados".
Existen formas de compartir contraseñas de manera que no se quebrante su confidencialidad, una de ellas es por ejemplo mediante LastPass, que dispone de un método seguro, con encriptación AES 256 bits con PBKDF2, y del propietario de la misma al destinatario final, de forma segura, y lo que es más importante, por un canal seguro.
Una de las muchas ventajas de esta herramienta, LastPass, es que puedes compartir contraseñas con terceros sin que estos necesiten conocer la contraseña, pues podrán usarla para acceder al servicio deseado sin necesidad de visualizarla o de exponerla en texto plano.
Hay otras muchas herramientas, aparte de Lastpass, que te permiten compartir contraseñas de forma segura ¡usalas!.
Otras opciones a considerar, que no abordamos en este artículo para no extendernos, son la autenticación en dos pasos, el uso de tokens físicos como Latch u otros y la consideración de accesos biométricos a servicios que así los dispongan, ¡pero eso es un tema para futuros post!
Protege y bloquea el dashboard de WordPress con Latch, de Eleven Paths
Conclusión:
- ¿Sabes que el 55% de usuarios siempre utiliza la misma contraseña para todos sus sitios?.
- Lectura recomendada: http://www.segu-info.com.ar/articulos/2-porque-caen-password-clave.htm
- Vídeo recomendado: http://goo.gl/kNTUS
- Verifica la robustez de tu contraseña: http://www.passwordmeter.com/
- Por tu seguridad, la contraseña debe tener al menos 10 caracteres y entre ellos algún carácter extraño uno o dos (#@$%&/())
La seguridad de tus servicios online empieza por ti y las contraseñas son el primer firewall frente a usos no autorizados de tus datos sensibles.