Peligro: contrase?as fr¨¢giles
Facebook introduce combinaciones de usar y tirar que solo duran 20 minutos
Las contrase?as f¨¢ciles de adivinar son una de las principales debilidades en el planeta de la seguridad inform¨¢tica. Facebook acaba de lanzar un servicio que ofrece claves que duran 20 minutos. Esta soluci¨®n est¨¢ pensada para aquellos que quieran acceder a la Red desde un ordenador p¨²blico. El empleo de la contrase?a habitual en estas m¨¢quinas puede dejar expuesta la misma a cualquiera. Para evitarlo, el internauta debe remitir un SMS a Facebook solicitando una de estas contrase?as temporales, de usar y tirar. Si tiene el n¨²mero de m¨®vil registrado en su perfil, de tal manera que Facebook puede comprobar la autenticidad de la llamada, se le enviar¨¢ una de estas claves. El servicio est¨¢ ya activado en Estados Unidos y pronto lo estar¨¢ en el resto de pa¨ªses.
Entre las 'llaves' m¨¢s utilizadas destacan '123456' y 'Iloveyou'
Lo ideal es que sean complicadas y largas; el problema es recordarlas
Hay programas en la Red que averiguan claves a base de probar y probar
Es recomendable guardar los datos en archivos cifrados
La iniciativa de Facebook solo es una muestra de la preocupaci¨®n por la seguridad. Peri¨®dicamente se publican noticias sobre robos de claves por infinidad de m¨¦todos. A la republicana Sarah Palin, por ejemplo, le robaron la suya de Yahoo! mirando qu¨¦ tipo de preguntas hab¨ªa puesto ella misma para que Yahoo! verificara su identidad y remitirle una nueva contrase?a, en caso de olvido de la vigente. El intruso adivin¨® las repuestas y se pase¨® por su cuenta.
En Internet hay programas para generar claves m¨¢s o menos seguras. Uno de ellos es el creado por Alberto Ortega, uno de los editores del blog SecurityByDefault. "B¨¢sicamente el programa se asegura de que la contrase?a generada no sea predecible, tenga una longitud aceptable, mezcle diferentes tipos de caracteres y dentro de lo posible sea ¨²nica", comenta. Aunque todas estas precauciones no la hacen inmune.
Tambi¨¦n hay aplicaciones para buscarlas. Estas, usadas por los atacantes, se basan en la fuerza bruta. Su t¨¦cnica es la del diccionario. Prueban todo tipo de variantes hasta encontrar la f¨®rmula exacta. La ventaja es que el ordenador no se cansa de hacer pruebas. Una soluci¨®n para anular su efectividad es que el servicio que pide la llave limite los intentos de introducir la correcta a tres o cinco. A la sexta, el acceso queda bloqueado.
David P¨¦rez, analista de seguridad de Taddong, comenta que las claves m¨¢s fr¨¢giles son las cortas y previsibles, las que se basan en la fecha de nacimiento, el propio nombre de la cuenta... En las estad¨ªsticas de contrase?as m¨¢s usadas figuran en los primeros puestos combinaciones tan primarias como 123456 o Iloveyou. "El remedio es construir una clave larga. El problema que tiene entonces el usuario es que no las recuerda". P¨¦rez da un consejo sencillo para construir largas y memorizables: una frase de paso. "Si escribes una frase comprensible para ti, como 'Mi perro es el m¨¢s bonito' tienes una contrase?a larga que aporta m¨¢s seguridad que una corta, aunque haya signos raros".
Otra cautela que hay que observar es no repetir la misma clave en todas las cuentas que lo soliciten. El peligro est¨¢ en que si la adivinan... podr¨¢n acceder a todas. Pero el modificar la clave de acceso en cada una de las cuentas vuelve a plantear el inconveniente de siempre, la dificultad de recordarlas. Muchos cometen una nueva torpeza para salvar este obst¨¢culo: guardarlas en el ordenador en un fichero de texto. Si alguien accede al mismo tendr¨¢ todas las llaves. "La soluci¨®n est¨¢ en programas accesibles en Internet, como Passwordsafe o Keypass, que generan un fichero cifrado con todas las claves. Aunque alguien acceda al mismo no podr¨¢ consultarlo. En este caso, lo que nunca debe hacerse es guardar la clave de acceso al fichero en un documento del ordenador. Al tratarse de una ¨²nica clave, recordarla es m¨¢s f¨¢cil". Como siempre, la f¨®rmula no es segura al cien por cien. Si el ordenador est¨¢ infectado por un virus que lee las pulsaciones del teclado para captar lo que escribe su propietario, cuando este introduzca la contrase?a para leer el fichero... el virus la remitir¨¢ al asaltante.
La obligaci¨®n de cambiar la contrase?a con mucha frecuencia es una pr¨¢ctica que impera en muchas empresas. David P¨¦rez admite que este h¨¢bito aumenta la seguridad, pero crea mucha incomodidad al empleado, que "al final, hace cambios muy previsibles como 'pepe1', 'pepe2', etc¨¦tera". Nuevamente, la soluci¨®n que recomienda es la contrase?a kilom¨¦trica.
El cat¨¢logo de m¨¦todos para robar la contrase?a es largu¨ªsimo. Incluso cuando todas las argucias t¨¦cnicas fallan queda otro flanco: el fallo humano. La ingenier¨ªa social, el enga?o, es una de las herramientas m¨¢s usadas para obtener este tipo de informaci¨®n. Se llama a un empleado inform¨¢ndole de que, por una rutina de seguridad, se est¨¢n cambiando las claves empresariales y que debe suministrar la actual para anularla. El empleado, confiado, la suministra, y el ladr¨®n ya tiene su bot¨ªn.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.