Yahoo! Hackeado: 15 consejos para mejor la seguridad de las contraseñas
Por: Robert Siciliano
Lima, Perú, Julio 2012.- En vista del ataque informático a Yahoo Voices, donde se comprometieron 450.000 contraseñas, es hora nuevamente de hacer saber a la gente qué es lo que están haciendo mal con las contraseñas.
CNET señaló que:
2.295: Es la cantidad de veces que se usó una lista secuencial de números, donde “123456” es la contraseña más común, por un gran margen. En muchos otros casos los números estaban invertidos o se agregaron unas pocas letras, en un esfuerzo casi simbólico por mejorar las cosas.
160: La cantidad de veces que se usó “111111” como contraseña, que solo es marginalmente mejor que una lista secuencial de números. La contraseña igual de creativa “000000” se usó 71 veces.
Proteja su información al crear una contraseña que tenga sentido para usted pero no para los demás.
La mayoría de las personas no se da cuenta de que existe cierta cantidad de técnicas comunes que se emplean para descifrar contraseñas y hay muchas más formas en las que nosotros mismos ponemos en riesgo nuestras cuentas, debido a las contraseñas sencillas y de uso extenso.
Formas comunes de ataques informáticos
Ataques con diccionarios: Evite combinaciones de letras consecutivas como qwerty o asdfg. No use palabras del diccionario, términos de argot, palabras con errores tipográficos comunes o escritas al revés. Estos ataques se valen de software que inserta palabras comunes en los campos de contraseña. El descifrado de las contraseñas no requiere de prácticamente ningún esfuerzo con una herramienta como John the Ripper u otros programas similares.
Descifrado de las preguntas de seguridad: Muchas personas usan nombres propios como contraseña, generalmente el nombre del cónyuge hijos, otros parientes o mascotas; todos estos se pueden deducir con un poco de indagación. Cuando hacemos clic en el vínculo “Contraseña olvidada” en un servicio de webmail u otro sitio, nos piden que respondamos una pregunta o una serie de preguntas. Frecuentemente las respuestas se encuentran en el perfil de los medios sociales. Así es cómo se vulneró la cuenta Yahoo de Sarah Palin.
Contraseñas sencillas: No use información personal como nombre, edad, fecha de nacimiento, nombres de hijos o mascotas, colores o canciones favoritas, etc. Cuando se expusieron 32 millones de contraseñas el año pasado, casi 1% de las víctimas usaban “123456”. La siguiente contraseña más frecuente era “12345”. Otras opciones comunes eran “111111”, “princess”, “qwerty” y “abc123”.
Reutilización de contraseñas en diferentes sitios: La reutilización de contraseñas para correo electrónico, uso bancario, y medios sociales puede conducir al robo de identidad. Dos infracciones recientes dejaron al descubierto una tasa de reutilización de un 31% entre las víctimas.
Ingeniería social: La ingeniería social es una forma detallada de mentir. Una alternativa para los ataques informáticos tradicionales es el acto de manipular a otras personas para que realicen ciertas acciones o divulguen información confidencial.
Consejos para crear contraseñas seguras:
- Use contraseñas diferentes en todas las cuentas.
- Asegúrese de que nadie esté mirando cuando escribe una contraseña.
- Siempre cierre la sesión cuando deje el dispositivo y hay alguien cerca; una persona malintencionada solo tarda un momento en robar o cambiar la contraseña.
- Use software de seguridad completo y manténgalo actualizado para evitar registradores de pulsaciones de teclas y otros tipos de malware.
- Evite escribir contraseñas en equipos que no controla (como computadoras en un cibercafé o una biblioteca), ya que pueden tener malware que robe las contraseñas.
- Evite escribir contraseñas al usar una conexión Wi-Fi que no está protegida (como en el aeropuerto o en una cafetería), ya que los hackers pueden interceptar las contraseñas y datos en este tipo conexión.
- No divulgue la contraseña a nadie. Un amigo de confianza puede dejar de ser amigo suyo en el futuro. Mantenga las contraseñas protegidas al guardárselas usted mismo.
- En función de la confidencialidad de la información, debe cambiar las contraseñas periódicamente y evitar la reutilización de una contraseña durante al menos un año.
- Use al menos ocho caracteres de letras minúsculas y mayúsculas, números y símbolos en las contraseñas. Recuerde, que mientras más mejor.
- Las contraseñas sólidas se pueden recordar fácilmente pero se adivinan solo con dificultad. La contraseña “Iam:)2b29!” tiene diez caracteres y significa “I am happy to be 29!” (estoy feliz de tener 29 años).
- Use el teclado como una paleta para crear formas. Siga por ejemplo la secuencia “%tgbHU8*” en el teclado. Es una V. La letra V puede comenzar con cualquiera de las teclas superiores. Para cambiarlas periódicamente, puede trasladarlas por el teclado. Use W si se siente revolucionario.
- Diviértase con códigos, oraciones o frases cortas conocidas. La contraseña “2B-or-Not_2b? ” dice “To be or not to be?” (¿ser o no ser?).
- Puede guardar las contraseñas por escrito; simplemente debe mantenerlas alejadas de la computadora y tenerlas mezcladas con otros números y letras, para que no salte a la vista que se trata de una contraseña.
- También puede escribir una “hoja de trucos” que le dará una pista para recordar la contraseña, sin que tenga que escribirla. Por ejemplo, en el caso del último ejemplo, podría anotar “¿Ser o no ser?” en vez de escribir la contraseña.
- Revise la seguridad de la contraseña. Si el sitio al que se está registrando ofrece un analizador de la seguridad de la contraseña, préstele atención y siga su consejo.
En última instancia, es responsabilidad del público protegerse. Debido a esta divulgación todos los usuarios expuestos deben cambiar la contraseña. Como regla general, debe cambiar las contraseñas frecuentemente, cada seis meses. Es un cliché, pero es verdad: las contraseñas deben ser seguras. Convierta su teclado en una paleta y sea creativo. Un error común que cometen las personas es que usan términos de los diccionarios o del argot. Tenga cuidado. Los ataques mediante diccionarios emplean software que inserta palabras comunes en los campos de contraseña, por lo que la descodificación no requiere casi de ningún esfuerzo para muchas herramientas.
Robert Siciliano trabaja como experto en Seguridad en línea para McAfee.