Seguridad de andar por casa I: Nuestras contraseñas

8/9/2012 · 24 comments

in Cajón de sastre

El otro dia trataba de meteros un poco de paranoia con el tema de la seguridad. Por los comentarios parece que con alguno lo conseguí por los comentarios. La idea ahora es comentar algunos consejitos de seguridad, temas muy basicos, si eres profesional de la informatica o mas concretamente de la seguridad no te estare descubriendo ningun mundo. La idea es que gente que usa el ordenador de una forma casual puedan dormir tranquilos.

Hoy toca el tema de las contraseñas, para mi un tema fundamental para mi en la seguridad de andar por casa. Lo primero es comentar cual es el error mas tipico y saber porque es un error y por ultimo como solucionarlo. Lo tipico que hacemos es usar una misma contraseña para todos los servicios. Posiblemente usemos contraseñas fuertes pero si usamos la misma en todos sitios estamos vendidos. Veamos un ejemplo tenemos nuestra contraseña seguro de la muerte, por ejemplo df349fsdgfhnisdfgh¡##8z.

Los posibles problemas de seguridad

Bien, estamos orgullosos de nuestra clave, pero resulta que la usamos para nuestro correo de gmail, pero tambien para ese nuevo foro del cual no sabes nada y tan solo te registrarte para poder conseguir la direccion de una pagina web. Y ahora bien quien nos garantiza que el administrador del foro no se dedicara a coger esa contraseña y probarla en todos vuestros otros servicios web. Y no solo eso si no que la seguridad de gmail seguramente sea buena y suficiente, pero quien dice que ese foro no tiene una seguridad realmente endeble y un atacante se hace con todas las contraseñas, en ese caso, todos los usuarios pueden decir adios a TODA su privacidad. En seguridad siempre se dice que esta seguridad es como una cadena, una cadena que se rompe por el eslabon mas debil. Quiza tus eslabones sean muy fuertes, pero si tan solo uno es de papel dicha cadena podra ser facilmente rota.

En segundo lugar no useis contraseñas faciles de averiguar. Si conoces minimamente a una persona o simplemente buscando a esa persona en google podamos conseguir datos como su fecha de nacimiento, el nombre de su novia, el pueblo donde veranea, etc. Asi que intentad evitar esas contrasenias porque seran las primeras que los atacantes trataran de usar.

Como crear una buena contraseña

El problema de crear buenas contrasenias es que son dificiles de recordar. Y si unimos esto al hecho de tener contrasenias distintas para cada servicio hacen que esta sea una tarea practicamente imposible. Una forma de crear soluciones faciles es la siguiente. Lo primero es sustituir letras por numeros que se asemejen, es decir la o la cambiamos por un 0, la a por un 4 (se parece a la A), la e por un 3 (se parece a la E), la i por un 1, la s un 5, e incluso podeis idear vuestros propios codigos, ya que de esta forma son mas seguros. Ahora tendriamos que si mi novia se llama Mariola, en lugar de escribir de contraseña elisa usaría M4r10l4, por ejemplo.

Bien esto mejora la seguridad de nuestra contraseña, pero esto mismo que ahora sabeis lo sabe mucha gente, asi que otra gente podria intentar lo mismo, vamos a darle un poco mas de seguridad sin que la complejidad de recordar la contraseña crezca demasiado. Vamos a añadir algun numero que sea facil de recordar. A mi se me da bien recordar fechas, podemos entonces usar fechas historicas, por ejemplo el descubrimiento de America, 1492, bien, nuestra contraseña seria M4r10l41492. Bien nuestra contraseña va siendo mas larga, más dificil de averiguar, pero aun es facil de recordar. Vamos a ponerle la guinda a nuestro pastel, el hecho que hara que nuestra contrase;a sea practicamente indescifrable, vamos a darle algo de aleatoriedad. Busca en el teclado dos simbolos y usalos dentro de la contraseña, por ejemplo M4r10l4#1492$. Wow, pedazo de contraseña acabamos de crear si se la dictamos a alguien se volveria loco, cuando si lo piensas es muy facil de recordar, ya que para nosotros significa algo.

Gestionar varias contraseñas

Ahora bien, posiblemente esteis registrados en varias decenas de servicios web. Si seguis mi consejo de usar una contraseña distinta y tan segura como la que os he enseñado a crear hace un rato, vuestra seguridad sera practicamente inexpugnable, pero lo mas seguro es que no tardeis mas de un par de dias en olvidar la clave que pusisteis en cada sitio. Bien ante esto existen dos opciones.

La primera seria usar un gestor de contraseñas y para mi es la mejor de las opciones. Estos gestores lo que hacen es guardar en un fichero y de forma cifrada todas nuestras claves. Gracias a esto podremos poner claves realmente complejas y no tener necesidad de recordarlas, tan solo recordar la clave maestra de nuestro programa. Esta opcion es muy buena, pero entiendo que añade cierto nivel de complejidad inicial, pero una vez hechos a ello para mi es la opcion mas comoda. Ejemplos de estos programas serian 1password o keypass. Si teneis curiosidad os dire que yo uso 1password.

La seguda es una opcion mucho mas asequible, no tan segura, pero desde luego mucho mejor que usar la misma contraseña para todo. Se basa en crear dos niveles de contraseñas, y otorgarle un nivel de confianza a cada servicio. Asi pues usare mi contraseña segura que acabo de crear (M4r10l4#1492$) para las paginas web en las que confio y donde tengo la informacion sensible. Estos sitios deben de ser pocos, no mas de 5. Quiza nuestro correo y poco mas. Tienen que ser sitios donde estemos bastante seguros de que tienen una buena seguridad y de que son empresas serias. Para el resto de sitios podemos usar contrañas mas debiles. En estos sitios tenemos claro que si alguien consigue acceso lo maximo que podra hacer sera publicar en un foro con nuestro nombre o descubrir nuestras recetas de cocina… nada serio. Para estos sitios pensaremos en 2 o 3 contraseñas mas faciles de recordar y las usaremos indistintamente. Por ejemplo quiza para un foro de apple en el que me registre podria usar mengan1to# Una contraseña que no tiene una seguridad de locura, pero que sera suficiente para lo que queremos y desde luego facil de recordar.

Resumiendo

Asi pues los dos consejos basicos contados aqui son, no uses la misma contraseña para todo y no uses passwords totalmente obvios. Cuidando estos dos detalles tu seguridad digital habra aumentado una barbaridad. En la siguiente entrega aprenderemos mas consejos de seguridad de andar por casa ;)

{ 23 comments… read them below or add one }

marisa septiembre 8, 2012 a las 7:00

Muy intersante. Lo intentare

Responder

zordor septiembre 9, 2012 a las 5:12

Ya me cuentas si tienes problemas

Responder

marmota septiembre 8, 2012 a las 8:17

nos tenias olvidados , menos mal que has vuelto.

Responder

zordor septiembre 9, 2012 a las 5:12

Claro!

Responder

Rhyuoki septiembre 8, 2012 a las 14:44

Lo malo es que muchos sitios te limitan las contraseñas en cuanto a caracteres… aun asi yo uso una simplona u.u lo se soy de lo mas desprendido xD pero de normal nadie se quiere colar en mis cuentas menos la bancaria ( que esa todo el mundo siempre le gusta XDD ). De todos modos he tenido suerte durante todo este tiempo y espero seguir teniendola!

Responder

zordor septiembre 9, 2012 a las 5:10

Bueno los que los limitan no son los del grupo en los que hemos de utilizar la contrasenia fuerte asi que nos sigue valiendo este metodo. Aun asi, pocos servicios hay que limiten a menos de 8 caracteres, que deberian ser suficientes para algo decente.

Responder

Ociore septiembre 8, 2012 a las 14:49

En este post me da vergüenza comentar, que ya me gané en su día la bronca de Luy… :P
Pero sí, es muy importante no usar una contraseña fácil para todo… ;) Yo lo aprendí a las duras y estuve un par de noches sin dormir dándole vueltas a la cabeza (yo y mi imaginación desbordada…).
Ains… si os hubiera hecho caso a los expertos… :P
PD: tu novia Mariola es taco de vieja. Seguro que Colón la conoció…. XD

Responder

zordor septiembre 9, 2012 a las 5:11

Siempre hay que hacer caso a los expertos! ;)

Responder

Revi septiembre 8, 2012 a las 16:59

Buen post

Yo, por no depender de llaves maestras, ni de navegador, uso, y prefiero la segunda opción, de tener dos, o tres, contraseñas chungas por “capas” de servicios.

Responder

zordor septiembre 9, 2012 a las 5:11

No es mala opcion en realidad

Responder

josecrem septiembre 8, 2012 a las 17:56

Vamos, que lo de “pepe” no interesa. Lo pillo.
Aunque a lo mejor ahora si que es segura.

Responder

zordor septiembre 9, 2012 a las 5:12

No creo que mucho no… :P

Responder

flakitosoft septiembre 9, 2012 a las 5:33

Queremos que vuelvan las fotos iphoneras.

Responder

zordor septiembre 9, 2012 a las 9:04

Vaya exito que ha tenido esa seccion xD Esta en camino! :)

Responder

Sol septiembre 12, 2012 a las 17:41

Gracias por la información, me parece interesante lo del gestor de contraseñas, más que nada porque, pienso en el futuro; cada vez necesitamos más contraseñas para cualquier cosa y no es lo mismo la memoria de una persona de 30 o 40 años que la de una de 60 o 70.
¿Por qué prefieres 1password?
PD Lo de las fotos iphoneras engancha, será que somos unos cotillas jejeje.

Responder

zordor septiembre 15, 2012 a las 23:55

Porque tengo version para el iphone y para el mac que funciona de maravilla, relleno contrasenias pulsando simplemente un shortcut ;)

Responder

4xposed septiembre 15, 2012 a las 1:40

Para recordar contraseñas sin recurrir a anotarlas o usar servicios de 1password, tambien te puedes hacer tu propio “algoritmo” que recordando la primera letra o numero de nuestra contraseña podamos “calcular” nuestra contraseña completa, así recordar 10 contraseñas es tan facil como recordar 10 letras, y el “algoritmo”.

Al menos así no te expones a que si la seguridad de 1password es vulnerada (si, todos sabemos que es poco probable / 99% imposible,… pero sabemos tambien que no es la primera vez en la (in)seguridad informatica) no puedan tener todas nuestras contraseñas, a mi desde luego dejar todas mis contraseñas a manos de un servicio no me deja nada tranquilo.

Responder

Eneko septiembre 15, 2012 a las 12:33

Deberia estar prohibido que las paginas almacenaran las contraseñas. Un hash irreversible y santas pascuas. Así nos dejamos de muchos sustos cuando roban las BD de páginas web.
En cualquier caso buena guia para que la gente deje de usar 1234.

Responder

zordor septiembre 15, 2012 a las 23:48

De hecho esta PROHIBIDO! Pero vamos que el hash no es nada definitivo ni mucho menos, si tu clave es tipica. Ponte una clave facil copia el codigo del hash, pegalo en google, diviertete ;)

Responder

Eneko septiembre 16, 2012 a las 0:44

Esta prohibido? Y como lo hacen entonces tantas webs para recordarte tu contraseña que te la envian al email tal cual? En cualquier caso lo que dices es bien cierto, mejor poner la contraseña un poco con l33t y los robots de descifrado tardaran mucho tiempo en sacarla

Responder

Miguel septiembre 17, 2012 a las 17:39

A mi me hacia gracia en la universidad que había un papel donde te daba un consejo para hacer una buena password era usar iniciales de frases. Por ejemplo:
ubfdhup – una buena forma de hacer un password XD

y debajo ponía ¡no uses ésta!!! XDD

Responder

Madness septiembre 23, 2012 a las 9:26

Genial lo de los programas, no lo sabía y así no olvidare mis contraseñas xD

Responder

lejosperocerca octubre 6, 2012 a las 19:07

Con lo petarda que soy yo para las contraseñas este post me viene de perillas.
Un saludo!

Responder

Leave a Comment

{ 1 trackback }

Previous post:

Next post: