'12345' es realmente malo: su guía definitiva para la seguridad de contraseñas

Publicado: 2022-01-29

Les hemos advertido una y otra vez que la única forma segura de almacenar y usar contraseñas es confiar en un administrador de contraseñas, pero algunos de ustedes no están escuchando. En una encuesta de PCMag sobre contraseñas, solo el 24 por ciento de ustedes informó usar un administrador de contraseñas. ¿Qué están haciendo el resto de ustedes? ¿Usando contraseñas fáciles como contraseña o 12345678? ¿Memorizar una contraseña compleja y usarla en todas partes? Escuche, cuidar la seguridad de las contraseñas no es un asunto menor, pero dada la enorme escala del riesgo, como se ilustra en la reciente violación de la Colección #1, que expuso 773 millones de direcciones de correo electrónico pirateadas, debe hacer todo lo posible para mantener sus contraseñas. a salvo.

Incluso si está utilizando el mejor administrador de contraseñas, no garantiza la seguridad de sus cuentas, no si usa el administrador de contraseñas para recordar esas mismas contraseñas viejas y cansadas. Tienes que meterte en las trincheras y cambiar las malas contraseñas por otras nuevas y más seguras.

Esa encuesta mencionada anteriormente reveló que el 35 por ciento de los lectores de PCMag nunca cambian sus contraseñas, a menos que se vean obligados a hacerlo por una infracción. En general, eso no es tan malo. El Instituto Nacional de Estándares y Tecnología ya no recomienda cambiar las contraseñas cada 90 días. NIST ahora recomienda usar frases de contraseña largas como "Corregir-Caballo-Batería-Grapar" y cambiarlas solo cuando sea necesario. Pero si estás usando contraseñas terribles, "cuando sea necesario" significa ahora mismo .

¿Qué hace que una contraseña sea mala? Veremos algunos de los atributos de las contraseñas terribles y luego le daremos algunos consejos sobre cómo crear contraseñas de la manera correcta.

Mantente fuera del diccionario

Cada pocos meses, un medio de comunicación u otro publica una lista de las peores contraseñas. Vemos muchas opciones fáciles de escribir, como 123456 y 12345678 y qwerty. ¿Fácil para ti? Seguro. Pero también es fácil de descifrar para los piratas informáticos. Otras contraseñas comunes (y deficientes) consisten en simples palabras de diccionario. Hemos visto baseball, monkey y starwars en la lista de las peores contraseñas. Estos también son fáciles de descifrar.

malas contraseñas

Algunos sitios web seguros se bloquean después de un número determinado de intentos de contraseña incorrectos, pero muchos no lo hacen. Para aquellos que no tienen un bloqueo de mala suposición, los piratas informáticos pueden cruzar una lista de direcciones de correo electrónico con una lista de contraseñas populares y configurar un proceso automatizado para seguir probando combinaciones hasta que ingresen.

Un sitio web debidamente protegido no almacena su contraseña en ningún lugar. En su lugar, ejecuta la contraseña a través de un algoritmo hash, una especie de cifrado unidireccional. La misma entrada siempre produce la misma salida, pero no hay forma de volver a la contraseña original a partir del hash resultante. Si la contraseña que escribe tiene el mismo valor que está almacenado, obtiene acceso. Incluso si los piratas informáticos capturan los datos de usuario del sitio, no obtienen contraseñas, solo hashes.

Pero los hackers inteligentes pueden descifrar contraseñas débiles incluso cuando están codificadas, si saben qué función de cifrado usó el sitio. Comienzan ejecutando un enorme diccionario de contraseñas comunes a través de la función hash. Luego buscan los hashes resultantes en los datos capturados. Cada coincidencia es una contraseña descifrada. Los sitios con la mejor seguridad mejoran la función hash con una técnica llamada salado, que hace que este tipo de craqueo basado en tablas sea imposible, pero ¿por qué correr el riesgo? Sólo mantente fuera del diccionario.

Piensa diferente

Una amiga me dijo una vez su contraseña perfecta: 1qaz2wsx3edc4rfv. Podía "escribirlo" simplemente deslizando un dedo por cuatro columnas inclinadas del teclado. Era tan perfecto que lo usó en todas partes. Y eso fue un gran error.

Difícilmente pasa una semana sin noticias de una brecha en alguna empresa o sitio web, exponiendo miles o millones de nombres de usuario y contraseñas. Las víctimas inteligentes cambian sus contraseñas inmediatamente. Aquellos que ignoren el problema pueden verse bloqueados de sus propias cuentas después de que los piratas informáticos restablezcan la contraseña.

Vigilancia de la seguridad

Esos piratas informáticos saben que demasiadas personas reciclan sus contraseñas. Una vez que encuentran un nombre de usuario y una contraseña que funcionan, prueban las mismas credenciales en otros sitios. Puede que no esté tan preocupado por perder el acceso a su cuenta de Club Penguin, pero si usó el mismo inicio de sesión en el sitio web de su banco, tiene un gran problema.

Se pone peor. Si alguien más obtiene el control de su cuenta de correo electrónico, primero puede bloquearlo cambiando la contraseña. Luego, pueden ingresar a sus otras cuentas enviando un enlace de restablecimiento de contraseña por correo electrónico a esa cuenta. ¿Preocupado todavía?

No seas personal

Usar información personal como base para sus contraseñas es terriblemente tentador, pero es una mala idea. Es muy probable que el nombre de su perro aparezca en los diccionarios que usan los hackers para ataques de fuerza bruta. Otras posibilidades, como las iniciales y la fecha de nacimiento de un miembro de la familia, probablemente no caigan en un ataque de fuerza bruta, pero si alguien quiere piratear su cuenta específicamente, esos datos personales pueden impulsar un ataque de adivinanza de prueba y error.

No piense ni por un minuto que sus datos personales son privados. Hay docenas de sitios que las personas pueden usar para buscar detalles sobre cualquier persona: dirección, fecha de nacimiento, estado civil y más. Sus publicaciones en las redes sociales pueden ser otra fuente de información personal, especialmente si no ha protegido adecuadamente sus cuentas. Un pirata informático determinado (o un vecino entrometido) probablemente pueda adivinar cualquier contraseña que cree en función de sus propios datos.

Cierra la puerta trasera

Si no está utilizando un administrador de contraseñas, seguramente ha experimentado el olvido de la contraseña de un sitio. Es demasiado común, razón por la cual prácticamente todas las páginas de inicio de sesión incluyen "¿Olvidó su contraseña?" Enlace. Algunos sitios envían un enlace de restablecimiento a su dirección de correo electrónico, mientras que otros le permiten restablecer la contraseña después de responder a sus preguntas de seguridad. Y eso abre una puerta trasera a cualquiera que quiera hackear tu cuenta.

Pregunta y respuesta de seguridad

La mayoría de los sitios ofrecen opciones abismales para las preguntas de seguridad. ¿Cuál es el apellido de soltera de tu madre? ¿Dónde fuiste a la escuela secundaria? ¿Cuál fue su primer trabajo? Como se señaló, su vida personal es un libro abierto para cualquier persona con habilidades de búsqueda en Internet. Cuando sea posible, ignore las preguntas preestablecidas. Crea tu propia pregunta, con una respuesta única que siempre recordarás pero que nadie más podría adivinar.

Es más difícil cuando el sitio no te permite definir tus propias preguntas. En ese caso, lo mejor que puedes hacer es usar una respuesta memorable que sea una mentira total. El apellido de soltera de mi madre es Obama. Fui a la escuela secundaria de los mártires comunistas. En mi primer trabajo, fui domador de leones. Hay un elemento de riesgo, ya que podrías olvidar qué mentira elegiste. Sugeriría almacenar estas respuestas extrañas como notas seguras en su administrador de contraseñas... pero si estuviera usando un administrador de contraseñas, habría recordado la contraseña por usted.

Qué hacer ahora que te importa

Espero haberlo convencido de que usar contraseñas comunes es una mala idea, como crear contraseñas a partir de información personal. E incluso la mejor contraseña segura y aleatoria se convierte en una responsabilidad si la usa en todas partes. Si está listo para tomar medidas, estos son algunos puntos de partida:

  • Utilice un administrador de contraseñas.
  • Cambie a un mejor administrador de contraseñas.
  • Recuerde una contraseña maestra increíblemente segura para su administrador de contraseñas.
  • Aproveche un generador de contraseñas aleatorias para actualizar sus viejas y malas contraseñas.
  • Incluso podría crear su propio generador de contraseñas aleatorias en Excel.
  • Habilite la autenticación de dos factores siempre que esté disponible.

Si un sitio seguro no se ocupa de la seguridad, aún podría perder las credenciales de ese sitio debido a una violación de datos, pero al hacer que todas sus contraseñas sean largas, seguras y únicas, ha hecho todo lo posible para proteger sus cuentas en línea.

¡Y oye! Ahora que está en racha, en cuanto a la seguridad, considere agregar una red privada virtual o VPN. El uso de contraseñas seguras para sitios seguros significa que otros no pueden acceder a sus cuentas; agregar una VPN significa que no hay posibilidad de que nadie pueda interceptar su conexión a esos sitios seguros.