¿Cómo mantienen seguros los sitios web sus contraseñas?

  • Mark Lucas
  • 0
  • 3139
  • 247
Anuncio

Raramente pasamos un mes sin escuchar sobre algún tipo de violación de datos; podría ser un servicio actualizado como Gmail ¿Es su cuenta de Gmail entre 42 millones de credenciales filtradas? ¿Está su cuenta de Gmail entre 42 millones de credenciales filtradas? o algo que la mayoría de nosotros hemos olvidado, como MySpace Facebook rastrea a todos, MySpace fue pirateado ... [Tech News Digest] Facebook rastrea a todos, MySpace fue pirateado ... [Tech News Digest] Facebook está rastreando a todos en la Web, millones de credenciales de MySpace son a la venta, Amazon trae Alexa a su navegador, No Man's Sky sufre un retraso y Pong Project toma forma. .

Tenga en cuenta nuestra creciente conciencia de las formas en que nuestra información privada es aspirada por Google Cinco cosas que Google probablemente sabe sobre usted Cinco cosas que Google probablemente sabe sobre usted, las redes sociales (especialmente Facebook Facebook Privacidad: 25 cosas que la red social sabe sobre usted Privacidad de Facebook: 25 cosas que la red social sabe sobre usted Facebook sabe una cantidad sorprendente sobre nosotros: información que voluntariamente brindamos. De esa información puede ingresar a un grupo demográfico, sus "me gusta" registrados y monitoreadas sus relaciones. Aquí hay 25 cosas que Facebook sabe sobre ...) , e incluso nuestros propios teléfonos inteligentes ¿Cuál es el sistema operativo móvil más seguro? ¿Cuál es el sistema operativo móvil más seguro? Luchando por el título del sistema operativo móvil más seguro, tenemos: Android, BlackBerry, Ubuntu, Windows Phone e iOS. ¿Qué sistema operativo es el mejor para defenderse de los ataques en línea? , y nadie puede culparlo por ser un poco paranoico acerca de cómo los sitios web se ocupan de algo tan importante como su contraseña Todo lo que necesita saber sobre las contraseñas Todo lo que necesita saber sobre las contraseñas Las contraseñas son importantes y la mayoría de las personas no saben lo suficiente sobre ellas. ¿Cómo eliges una contraseña segura, usas una contraseña única en todas partes y las recuerdas todas? ¿Cómo protege sus cuentas? Como hacer… .

De hecho, para su tranquilidad, esto es algo que todos deben saber ...

El peor de los casos: texto sin formato

Considere esto: un sitio web importante ha sido pirateado. Los ciberdelincuentes han superado cualquier medida de seguridad básica que tome, tal vez aprovechando una falla en su arquitectura. Eres un cliente Ese sitio ha almacenado sus datos. Afortunadamente, te has asegurado de que tu contraseña es segura.

Excepto que el sitio almacena su contraseña como texto sin formato.

Siempre fue una bomba de tiempo. Las contraseñas de texto sin formato solo esperan ser saqueadas. No usan ningún algoritmo para hacerlos ilegibles. Los hackers pueden leerlo tan simple como estás leyendo esta oración.

Es un pensamiento aterrador, ¿no? No importa cuán compleja sea su contraseña, incluso si es de pi a 30 dígitos: una base de datos de texto sin formato es una lista de las contraseñas de todos, enunciadas claramente, incluidos los números y caracteres adicionales que use. Incluso si los hackers no lo hagas crackear el sitio, ¿realmente querría que el administrador pueda ver sus datos de acceso confidenciales?

# c4news

Siempre uso una contraseña buena y segura, como Hércules o Titán y nunca he tenido ningún problema ...

- No te molestes (@emilbordon) 16 de agosto de 2016

Puede pensar que este es un problema muy raro, pero se estima que el 30% de los sitios web de comercio electrónico utilizan este método para “seguro” sus datos, de hecho, ¡hay todo un blog dedicado a destacar a estos delincuentes! Hasta el año pasado, incluso la NHL almacenaba las contraseñas de esta manera, al igual que Adobe antes de una violación importante.

Sorprendentemente, firma de protección antivirus, McAfee también utiliza texto sin formato.

Una manera fácil de averiguar si un sitio usa esto es si, justo después de registrarse, recibe un correo electrónico de ellos con su información de inicio de sesión. Muy poco fiable En ese caso, es posible que desee cambiar cualquier sitio con la misma contraseña y ponerse en contacto con la empresa para alertarles de que su seguridad es preocupante.

No significa necesariamente que los almacenen como texto sin formato, pero es un buen indicador, y de todos modos no deberían enviar ese tipo de cosas en correos electrónicos. Pueden argumentar que tienen firewalls et al. para protegerse contra los ciberdelincuentes, pero recuérdeles que ningún sistema es impecable y cuelga la posibilidad de perder clientes frente a ellos.

Pronto cambiarán de opinión. Ojalá…

No es tan bueno como parece: cifrado

Entonces, ¿qué hacen estos sitios??

Muchos recurrirán al cifrado. Todos hemos escuchado al respecto: una forma aparentemente inmune de codificar su información, haciéndola ilegible hasta que se presenten dos claves, una que usted posee (esos son sus datos de inicio de sesión) y la otra la empresa en cuestión. Es una gran idea, una que incluso debe implementar en su teléfono inteligente 7 razones por las que debe cifrar los datos de su teléfono inteligente 7 razones por las que debe cifrar los datos de su teléfono inteligente ¿Está cifrando su dispositivo? Todos los principales sistemas operativos de teléfonos inteligentes ofrecen cifrado de dispositivo, pero ¿debería usarlo? He aquí por qué vale la pena el cifrado de teléfonos inteligentes y no afectará la forma en que usa su teléfono inteligente. y otros dispositivos.

Internet se ejecuta con cifrado: cuando ve HTTPS en la URL HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible, eso significa que el sitio en el que se encuentra está utilizando la capa de sockets seguros ( SSL) ¿Qué es un certificado SSL y necesita uno? ¿Qué es un certificado SSL y necesita uno? Navegar por Internet puede dar miedo cuando se trata de información personal. o Protocolos de seguridad de la capa de transporte (TLS) para verificar conexiones y mezclar datos Cómo la navegación web se vuelve aún más segura Cómo la navegación web se vuelve aún más segura Tenemos certificados SSL para agradecer nuestra seguridad y privacidad. Pero las brechas y fallas recientes pueden haber afectado su confianza en el protocolo criptográfico. Afortunadamente, SSL se está adaptando y actualizando: así es como. .

Pero a pesar de lo que haya escuchado, ¡no crea estos 5 mitos sobre el cifrado! ¡No crea en estos 5 mitos sobre el cifrado! El cifrado suena complejo, pero es mucho más sencillo de lo que la mayoría piensa. Sin embargo, es posible que te sientas demasiado a oscuras para usar el cifrado, ¡así que vamos a reventar algunos mitos sobre el cifrado! , el cifrado no es perfecto.

Whaddya significa que mi contraseña no puede contener espacios atrás ???

- Derek Klein (@rogue_analyst) 11 de agosto de 2016

Debe ser seguro, pero es tan seguro como donde se almacenan las claves. Si un sitio web está protegiendo su clave (es decir, contraseña) usando la suya, un hacker podría exponer la última para encontrar la primera y descifrarla. Requeriría relativamente poco esfuerzo de un ladrón para encontrar su contraseña; es por eso que las bases de datos clave son un objetivo masivo.

Básicamente, si su clave se almacena en el mismo servidor que el suyo, su contraseña también podría estar en texto plano. Es por eso que el sitio PlainTextOffenders mencionado anteriormente también enumera los servicios que usan cifrado reversible.

Sorprendentemente simple (pero no siempre efectivo): Hashing

Ahora estamos llegando a alguna parte. Las contraseñas de hash suenan como una jerga sin sentido Jerga tecnológica: Aprenda 10 palabras nuevas agregadas recientemente al diccionario [Web extraña y maravillosa] Jerga técnica: Aprenda 10 palabras nuevas agregadas recientemente al diccionario [Web extraña y maravillosa] La tecnología es la fuente de muchas palabras nuevas . Si eres un geek y un amante de las palabras, te encantarán estos diez que se agregaron a la versión en línea del Oxford English Dictionary. , pero es simplemente una forma más segura de cifrado.

En lugar de almacenar su contraseña como texto sin formato, un sitio la ejecuta a través de una función hash, como MD5 Qué significa todo este hash de MD5 en realidad [Tecnología explicada] Qué es todo este material hash de MD5 en realidad [Tecnología explicada] Aquí hay un resumen completo de MD5, hashing y una pequeña descripción general de las computadoras y la criptografía. , Algoritmo de hash seguro (SHA) -1 o SHA-256, que lo transforma en un conjunto completamente diferente de dígitos; Estos pueden ser números, letras o cualquier otro carácter. Su contraseña podría ser IH3artMU0. Eso podría convertirse en 7dVq $ @ ihT, y si un pirata informático entró en una base de datos, eso es todo lo que pueden ver. Y funciona solo de una manera. No puedes decodificarlo de nuevo.

Desafortunadamente no es ese seguro. Es mejor que el texto sin formato, pero sigue siendo bastante estándar para los cibercriminales. La clave es que una contraseña específica produce un hash específico. Hay una buena razón para eso: cada vez que inicia sesión con la contraseña IH3artMU0, pasa automáticamente a través de esa función de hash y el sitio web le permite acceder si ese hash y el de la base de datos del sitio coinciden.

También significa que los piratas informáticos han desarrollado tablas de arco iris, una lista de hashes, ya utilizados por otros como contraseñas, que un sistema sofisticado puede ejecutar rápidamente como un ataque de fuerza bruta ¿Qué son los ataques de fuerza bruta y cómo puede protegerse? ¿Qué son los ataques de fuerza bruta y cómo puede protegerse? Probablemente hayas escuchado la frase "ataque de fuerza bruta". Pero, ¿qué significa eso exactamente? ¿Como funciona? ¿Y cómo puedes protegerte contra eso? Esto es lo que necesitas saber. . Si ha elegido una contraseña sorprendentemente mala 25 contraseñas que debe evitar, use WhatsApp de forma gratuita ... [Resumen de noticias de tecnología] 25 contraseñas que debe evitar, use WhatsApp de forma gratuita ... [Resumen de noticias de tecnología] La gente sigue usando contraseñas terribles, WhatsApp ahora es completamente gratis, AOL está considerando cambiar su nombre, Valve aprueba un juego Half-Life hecho por fanáticos y The Boy With a Camera for a Face. , eso estará en lo alto de las mesas del arco iris y podría romperse fácilmente; las más oscuras, combinaciones particularmente extensas, tomarán más tiempo.

¿Qué tan malo puede ser? En 2012, LinkedIn fue pirateado Lo que necesita saber sobre la fuga masiva de cuentas de LinkedIn Lo que necesita saber sobre la fuga masiva de cuentas de LinkedIn Un pirata informático está vendiendo 117 millones de credenciales pirateadas de LinkedIn en la web oscura por alrededor de $ 2,200 en Bitcoin. Kevin Shabazi, CEO y fundador de LogMeOnce, nos ayuda a comprender exactamente lo que está en riesgo. . Las direcciones de correo electrónico y sus hashes correspondientes se filtraron. Eso es 177.5 millones de hashes, afectando a 164.6 millones de usuarios. Puede darse cuenta de que eso no es una gran preocupación: son solo una carga de dígitos aleatorios. Bastante indescifrable, ¿verdad? Dos crackers profesionales decidieron tomar una muestra de 6.4 millones de hashes y ver qué podían hacer..

Rompieron el 90% de ellos en menos de una semana.

Tan bueno como se pone: salazones y papas fritas lentas

Ningún sistema es inexpugnable. Mythbusters: consejos de seguridad peligrosos que no debes seguir. Mythbusters: consejos de seguridad peligrosos que no debes seguir. para mantenerse alejado de las mejores prácticas cuando se trata de ... los piratas informáticos trabajarán naturalmente para descifrar cualquier nuevo sistema de seguridad, pero las técnicas más fuertes implementadas por los sitios más seguros Cada sitio web seguro hace esto con su contraseña Cada sitio web seguro hace esto con su Contraseña ¿Alguna vez se ha preguntado cómo los sitios web mantienen su contraseña a salvo de violaciones de datos? son hashes más inteligentes.

Los hash salados se basan en la práctica de un nonce criptográfico, un conjunto de datos aleatorios generado para cada contraseña individual, generalmente muy largo y muy complejo. Estos dígitos adicionales se agregan al principio o al final de una contraseña (o combinaciones de correo electrónico y contraseña) antes de que pase por la función hash, para combatir los intentos realizados utilizando tablas de arco iris.

Generalmente no importa si las sales se almacenan en los mismos servidores que los hashes; descifrar un conjunto de contraseñas puede llevar mucho tiempo a los piratas informáticos, incluso más difícil si su contraseña en sí es excesiva y complicada. 6 consejos para crear una contraseña irrompible que pueda recordar 6 consejos para crear una contraseña irrompible que pueda recordar si sus contraseñas son no es único e irrompible, también puedes abrir la puerta principal e invitar a los ladrones a almorzar. . Es por eso que siempre debe usar una contraseña segura, sin importar cuánto confíe en la seguridad de un sitio.

Los sitios web que toman muy en serio su seguridad y, por extensión, su seguridad, se están convirtiendo cada vez más en hashes lentos como medida adicional. Las funciones hash más conocidas (MD5, SHA-1 y SHA-256) han existido hace un tiempo y son ampliamente utilizadas porque son relativamente fáciles de implementar y aplican hash muy rápido..

Trate su contraseña como su cepillo de dientes, cámbiela regularmente y no la comparta!

- Anti-Bullying Pro (de la organización benéfica The Diana Award) (@AntiBullyingPro) 13 de agosto de 2016

Si bien aún aplica sales, los hash lentos son aún mejores para combatir cualquier ataque que dependa de la velocidad; Al limitar a los piratas informáticos a un número sustancialmente menor de intentos por segundo, les lleva más tiempo agrietarse, lo que hace que los intentos valgan menos, teniendo en cuenta también la baja tasa de éxito. Los ciberdelincuentes tienen que sopesar si vale la pena atacar comparativamente los sistemas de hash lentos que consumen mucho tiempo. “Arreglos rápidos”: las instituciones médicas generalmente tienen menos seguridad 5 razones por las que aumenta el robo de identidad médica 5 razones por las que aumenta el robo de identidad médica Los estafadores quieren sus datos personales y la información de su cuenta bancaria, pero ¿sabía que sus registros médicos también les interesan? Descubre qué puedes hacer al respecto. , por ejemplo, entonces los datos que podrían obtenerse de allí todavía pueden venderse por sumas sorprendentes. Aquí se muestra cuánto podría valer su identidad en la Dark Web. Aquí se muestra cuánto podría valer su identidad en la Dark Web. Es incómodo pensar en usted mismo como mercancía, pero todos sus datos personales, desde el nombre y la dirección hasta los detalles de la cuenta bancaria, valen algo para los delincuentes en línea. Cuanto vales? .

También es muy adaptable: si un sistema se encuentra bajo una tensión particular, puede disminuir aún más. Coda Hale, ex desarrollador de software principal de Microsoft, compara MD5 con quizás la función de hash lenta más notable, bcrypt (otras incluyen PBKDF-2 y scrypt):

“En lugar de descifrar una contraseña cada 40 segundos [como con MD5], las descifraría cada 12 años más o menos [cuando un sistema usa bcrypt]. Es posible que sus contraseñas no necesiten ese tipo de seguridad y que necesite un algoritmo de comparación más rápido, pero bcrypt le permite elegir su equilibrio de velocidad y seguridad.”

Y debido a que un hash lento aún se puede implementar en menos de un segundo, los usuarios no deberían verse afectados.

Por qué eso importa?

Cuando usamos un servicio en línea, celebramos un contrato de confianza. Debe estar seguro sabiendo que su información personal se mantiene segura.

"Mi computadora portátil está configurada para tomar una foto después de tres intentos de contraseña incorrecta" pic.twitter.com/yBNzPjnMA2

- Gatos en el espacio (@CatsLoveSpace) 16 de agosto de 2016

Almacenamiento seguro de su contraseña La guía completa para simplificar y asegurar su vida con LastPass y Xmarks La guía completa para simplificar y asegurar su vida con LastPass y Xmarks Si bien la nube significa que puede acceder fácilmente a su información importante donde quiera que esté, también significa que usted tiene muchas contraseñas para seguir. Por eso se creó LastPass. Es especialmente importante. A pesar de las numerosas advertencias, muchos de nosotros usamos el mismo para diferentes sitios, así que si hay, por ejemplo, una violación de Facebook ¿Ha sido pirateado su Facebook? He aquí cómo saberlo (y solucionarlo) ¿Ha sido hackeado tu Facebook? He aquí cómo saberlo (y solucionarlo) Hay pasos que puede seguir para evitar ser pirateado en Facebook, y cosas que puede hacer en caso de que su Facebook sea pirateado. , sus datos de inicio de sesión para cualquier otro sitio que frecuenta con la misma contraseña también pueden ser un libro abierto para los cibercriminales.

¿Has descubierto delincuentes de texto sin formato? ¿En qué sitios confía implícitamente? ¿Cuál crees que es el siguiente paso para el almacenamiento seguro de contraseñas??

Créditos de imagen: Africa Studio / Shutterstock, contraseñas incorrectas de Lulu Hoeller [ya no está disponible]; Inicio de sesión por Automobile Italia; Archivos de contraseña de Linux por Christiaan Colen; y salero de Karyn Christner.




Nadie ha comentado sobre este artículo todavía.

Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.