30 mar. 2020

Veo veo... ¿Qué leaks? (Parte I)

Por el 30 mar. 2020 con 0 comentarios
Good meowrning! Dadas las circunstancias especiales que estamos viviendo debido al COVID-19, para pasar el tiempo de una forma u otra, estamos haciendo más uso del normal de nuestros dispositivos, ya sea con el pc, tablet, smartphone, smartTV, o incluso con videoconsolas. Por ello, debido al aumento de esta actividad en internet con las aplicaciones que utilizamos habitualmente (Netflix, WhatsApp, Instagram...), junto con aquellos servicios en los que nos damos de alta porque nos ofrecen otro tipo de entretenimiento, en esta serie de posts vamos a hablar de la importancia que tiene establecer diferentes contraseñas para cada cuenta, además de otras características como su robustez, periodicidad, y las consecuencias que puede tener de cara a un robo de nuestras cuentas.

En las charlas y cursos de concienciación se suele hacer especial mención a las 4 requisitos que deben tener las contraseñas que usamos:
  • Minúsculas
  • Mayúsculas
  • Números
  • Caracteres especiales. 
De forma adicional a ellas, hay un factor que es fundamental para diferenciar el nivel de robustez de las contraseñas, su longitud. Hasta ahora, se nos ha dicho que las contraseñas debían tener un mínimo de 8 caracteres para que fueran consideradas como robustas, pero hace poco más de un año @TinkerSec publicaba en este tweet cómo, haciendo uso de hashcat y 8 tarjetas gráficas NVIDIA GTX 2080Ti, era capaz de descifrar las contraseñas en cuestión de 2.5 horas. Por ello la longitud mínima que debe tener nuestra contraseña para ser considerada segura se ha visto aumentada a un mínimo de 15 caracteres.

Adicionalmente a los puntos anteriores, también es fundamental tener en cuenta 2 factores:
  • Cambiar periódicamente las contraseñas (y que esa periodicidad no sea cada 3 años).
  • No reutilizar contraseñas en los diferentes servicios en los que estemos registrad@s.



Pero ahora nos surge una duda, ¿como creo una contraseña con todas estas características y a la vez ser capaz de acordarme de ella luego? Tenemos varias posibilidades:
  • Reglas mnemotécnicas. Este tipo de técnica nos permite que, a partir de a partir de una idea inicial, poder crear una asociación mental de la información que queremos memorizar (y posteriormente recordar).
  • Generadores de contraseñas. Son herramientas muy útiles cuando queremos obtener contraseñas con unas características específicas y aleatorias (que a la vez son más difíciles de recordar). Un ejemplo de ellos es passwordsgenerator.net

De la mano de los generadores de contraseñas, tenemos una opción muy viable para mantener todas nuestras credenciales actualizadas. Se trata del uso de gestores (o administradores) de contraseñas, los cuales nos permiten centralizar y gestionar la información con la que nos identificamos en distintas aplicaciones. De la misma forma, a la hora de crear una nueva contraseña para que sea asociada a una aplicación, muchos de los gestores de contraseñas poseen generadores de passwords con los requisitos que se deseen. Algunos de los gestores más conocidos son KeePass, LastPass o 1password.


Para complementar a estas contraseñas robustas, y añadir una capa más de seguridad a la hora de iniciar sesión en una aplicación, nos encontramos con la autenticación multifactor (MFA), que se trata de un sistema de seguridad que requiere de más de una autenticación para verificar nuestra identidad. Este tipo de autenticación adicional puede tratarse del uso de un pin, un token de un solo uso (OTP), identificación a través de la huella dactilar o del reconocimiento facial, el uso de un token hardware... De forma que, según la aplicación a la que intentes acceder, tendrá implementado un sistema u otro.

A modo de recomendación, es conveniente saber que el NIST provee de una guía de contraseñas en la que algunos puntos quizás os suenan :)

Como conclusión a esta primera parte, me gustaría destacar que, a pesar de estas buenas prácticas que hemos comentado y que tanto se nos repiten, a día de hoy, un gran número de entidades bancarias siguen haciendo uso de claves de acceso a sus áreas de cliente solicitando una clave numérica entre 6-8 dígitos, el pin de la tarjeta, o claves numéricas con 4 dígitos + DNI (y que además la mayoría coinciden en el uso de otra clave adicional + OTP vía SMS para la realización de las transacciones, o simplemente el OTP vía SMS), tomando este tipo de medidas en muchos casos por compatibilidad con sistemas legacy que poseen en sus infraestructuras.

En los próximos posts de esta cadena veremos las consecuencias de desatender nuestras credenciales :).

Muchos maullidos!
M
      editar

0 comentarios:

Publicar un comentario

< >