Cuando hablamos de seguridad en los equipos, siempre nos referimos a la necesidad de tenerlos actualizados con las últimas versiones del sistema operativo. Cómo los equipos más recientes, son los más seguros al incluir opciones como Windows hello o Face ID que mejoran el acceso a los mismos. Pero ¿qué ocurre cuando el agujero de seguridad lo generamos nosotros mismos?.
Eso es lo que pasa con las contraseña de seguridad usadas para acceder a nuestros terminales, ya sean en formato móvil o PC, así cómo a una gran cantidad de servicios a los que estamos conectados. De nada sirve contar con lo último en cuanto a seguridad para acceder al equipo si luego usamos como clave "1234".
Y no, no piensen que se trata de un hecho aislado. Pese a lo que siempre hemos leído, pese a las recomendaciones que nos hacen, las contraseñas accesibles (demasiado) siguen siendo muy usadas. Aunque el año que estamos a punto de terminar nos ha ensañado como se filtran miles de datos en la red en los que aparecen contraseñas, claves de acceso y nombres, pese a que la seguridad es cada vez más importante, siguen existiendo usuarios que hacen uso de contraseñas que podríamos llamar absurdas.
No hablamos de que el abuelo de turno lleve anotado el PIN del móvil en un stick en la funda. Hablamos de que hay un gran número de usuarios de todo tipo que usan contraseñas tan "difíciles" de descifrar con combinaciones de números como “123456” o palabras como “password” o "contraseña".
Usuarios que pasan de usar claves que combinan números, letras y signos. No ya sólo deben ser largas (algunos expertos recomiendan que no es imprescindible), sino que sobre todo se debe buscar que combinen caracteres “raros” a la vez que se ha de evitar el uso de fechas o palabras que se asocien con nosotros.
Y el ejemplo de que una gran parte de usuarios no actúa de la forma más adecuada lo muestra el estudio que ha llevado a cabo la firma de seguridad SplashData que ha recopilado las que pueden ser las 100 peores contraseñas de 2017. De hecho afirman que al menos un 10% de los usuarios, ha utilizado alguna de las 25 contraseñas que menos aconsejables. Estas son las 25 claves menos aconsejables para usar:
- 123456
- Password
- 12345678
- qwerty
- 12345
- 123456789
- letmein
- 1234567
- football
- iloveyou
- admin
- welcome
- monkey
- login
- abc123
- starwars
- 123123
- dragon
- passw0rd
- master
- hello
- freedom
- whatever
- qazwsx
- trustno1
Pasos para crear una contraseña segura
- El primer paso es que las dos primeras letras de la contraseña serán las dos primeras del sitio donde nos registremos. Si nos vamos a registrar en Spotify sería "sp".
- Seguiremos la contraseña con las dos últimas letras del nombre de usuario. Si nos registramos como pepito, ya tendremos "spto".
- Lo siguiente será el número de letras del nombre del sitio. Spotify tiene siete, así que seguimos añadiendo: "spto7".
- Si el número anterior es impar, añadiremos un símbolo de dólar. Si es par, una arroba. Como el 7 es impar, nos queda "spto7$".
- Tomamos las letras del medio de la contraseña y las volvemos a escribir usando la letra siguiente del alfabeto. Lo entenderán con un ejemplo: si tenemos "spto", reescribimos las dos del medio usando las siguientes letras del alfabeto, y nos queda "qu". De esta forma, nuestra contraseña queda "spto7$qu".
- Contamos el número de vocales que hay en la contraseña, le sumamos cuatro, y lo escribimos pero pulsando la tecla Shift, de forma que nos salga un símbolo. En este caso, tenemos 2 vocales, así que el símbolo será &, que está encima de la tecla 6. Ya llevamos así la contraseña "spto7$qu&".
- Y un último paso puede ser el sustituir algunas de las letras por mayúsculas. Podemos determinar que la segunda y la cuarta, por ejemplo, puedan ser mayúsculas. El resultado sería "sPtO7$qu&".
Autenticación en dos pasos
Un sistema que busca añadir una verificación más de que eres tú y no una tercera persona quien está accediendo con tu cuenta. Para ello, el servicio comprueba que realmente tienes algo (móvil, token) que sólo tú deberías tener. Un proceso que sin embargo tiene un punto débil que se debe al uso de SMS para el envío de las claves.
El problema es que los SMS son vulnerables, así que la autenticación en dos pasos debería plantearse de otro modo y empresas cómo Google ya lo han solucionado al lanzar Google Prompt, un sistema que hace que esa verificación no se envíe a través de mensajes SMS, sino desde los servidores de Google, algo que hace más complejo interceptarlos. Una medida similar a la que ofrecen los generadores de tokens que se usan en algunos bancos.
Publicado bajo licencia Creative Commons.
No hay comentarios.:
Publicar un comentario