¿Cómo los sitios web mantienen sus contraseñas seguras?
Ahora rara vez pasamos un mes sin escuchar acerca de algún tipo de violación de datos; podría ser un servicio actualizado como Gmail ¿Está su cuenta de Gmail entre las 42 millones de credenciales perdidas? ¿Está su cuenta de Gmail entre los 42 millones de credenciales perdidas? Lea más o algo de lo que la mayoría de nosotros hemos olvidado, como MySpace Facebook hace un seguimiento a todos, MySpace Got Hacked ... [Tech News Digest] Facebook hace un seguimiento a todos, MySpace Got Hacked ... [Tech News Digest] Facebook está rastreando a todos en la Web, millones de MySpace Las credenciales están a la venta, Amazon lleva a Alexa a su navegador, No Man's Sky sufre un retraso y Pong Project toma forma. Lee mas .
Factor en nuestra creciente conciencia de cómo Google puede limpiar nuestra información privada Cinco cosas Google probablemente sabe sobre usted Cinco cosas Google probablemente sabe sobre usted Leer más, redes sociales (especialmente Facebook Facebook Privacidad: 25 cosas que la red social sabe sobre usted Facebook Privacidad: 25 cosas que la red social sabe sobre ti Facebook sabe una cantidad sorprendente de nosotros: información que voluntariamente brindamos. A partir de esa información puedes ubicarte en un grupo demográfico, registrar tus "me gusta" y controlar las relaciones. Aquí te presentamos 25 cosas que Facebook conoce. … Leer más), e incluso nuestros propios teléfonos inteligentes ¿Cuál es el sistema operativo móvil más seguro? ¿Cuál es el sistema operativo móvil más seguro? Luchando por obtener el título de SO móvil más seguro, tenemos: Android, BlackBerry, Ubuntu, Windows Phone e iOS. ¿Qué sistema operativo es el mejor para defenderse de los ataques en línea? Lea más, y nadie puede culparlo por ser un poco paranoico acerca de cómo los sitios web cuidan algo tan importante como su contraseña Todo lo que necesita saber acerca de las contraseñas Todo lo que necesita saber acerca de las contraseñas Las contraseñas son importantes y la mayoría de las personas no saben lo suficiente sobre ellos. ¿Cómo elegir una contraseña segura, usar una contraseña única en todas partes y recordarlas todas? ¿Cómo proteges tus cuentas? ¿Cómo ... Leer más .
De hecho, para su tranquilidad, esto es algo que todos necesitan saber ...
El peor escenario posible: texto simple
Considera esto: un sitio web importante ha sido hackeado. Los ciberdelincuentes han roto todas las medidas de seguridad básicas que toma, tal vez aprovechando una falla en su arquitectura. Eres un cliente Ese sitio ha almacenado sus datos. Afortunadamente, se le ha asegurado que su contraseña es segura.
Excepto que el sitio almacena su contraseña como texto plano..
Siempre fue una bomba de relojería. Las contraseñas de texto sin formato están a la espera de ser saqueadas. No utilizan ningún algoritmo para hacerlos ilegibles. Los piratas informáticos pueden leerlo tan simple como usted está leyendo esta oración..
Es un pensamiento aterrador, ¿no? No importa lo compleja que sea su contraseña, incluso si tiene entre 30 y 30 dígitos: una base de datos de texto sin formato es una lista de las contraseñas de todos, que están detalladas, incluidos los números y caracteres adicionales que utilice. Incluso si los hackers no hacer descifre el sitio, ¿realmente desea que el administrador pueda ver sus datos confidenciales de inicio de sesión??
# c4news
Siempre uso una contraseña buena y segura, como Hercules o Titan, y nunca he tenido ningún problema ...
- No te molestes (@emilbordon) 16 de agosto de 2016
Podría pensar que este es un problema muy raro, pero aproximadamente el 30% de los sitios web de comercio electrónico utilizan este método para “seguro” sus datos: de hecho, hay un blog completo dedicado a destacar a estos delincuentes. Hasta el año pasado, incluso la NHL almacenaba las contraseñas de esta manera, al igual que Adobe antes de una violación importante.
Sorprendentemente, la empresa de protección antivirus, McAfee también usa texto plano..
Una forma fácil de averiguar si un sitio usa esto es si, justo después de registrarse, recibe un correo electrónico de ellos con sus detalles de inicio de sesión. Muy poco fiable. En ese caso, es posible que desee cambiar cualquier sitio con la misma contraseña y comunicarse con la empresa para avisarles que su seguridad es preocupante..
No significa necesariamente que los almacenen como texto sin formato, pero es un buen indicador, y de todos modos no deberían enviar ese tipo de cosas en los correos electrónicos. Pueden argumentar que tienen firewalls. et al. para protegerse contra los ciberdelincuentes, pero recuérdeles que ningún sistema es impecable y que la posibilidad de perder clientes frente a ellos es un obstáculo..
Pronto cambiarán de opinión. Ojalá…
No tan bueno como suena: cifrado
Entonces, ¿qué hacen estos sitios?
Muchos recurrirán al cifrado. Todos hemos escuchado al respecto: una forma aparentemente impermeable de codificar su información, haciéndola ilegible hasta que se presenten dos claves: una que usted tiene (esos son sus datos de inicio de sesión) y la otra de la compañía en cuestión. Es una gran idea, una que incluso debería implementar en su teléfono inteligente 7 razones por las que debe cifrar los datos de su teléfono inteligente 7 razones por las que debe cifrar los datos de su teléfono inteligente ¿Está cifrando su dispositivo? Todos los principales sistemas operativos de teléfonos inteligentes ofrecen cifrado de dispositivos, pero ¿debería usarlo? Este es el motivo por el cual la encriptación de teléfonos inteligentes vale la pena y no afectará la forma en que usa su teléfono inteligente. Leer más y otros dispositivos.
Internet se ejecuta en el cifrado: cuando vea HTTPS en la URL HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible. Lea más, eso significa que el sitio en el que se encuentra está usando cualquiera de los sockets seguros Capa (SSL) ¿Qué es un certificado SSL y lo necesita? ¿Qué es un certificado SSL y lo necesita? Navegar por Internet puede ser aterrador cuando se trata de información personal. Lea más o utilice los Protocolos de Seguridad de la capa de transporte (TLS) para verificar las conexiones y juntar los datos. Cómo la navegación web se está volviendo aún más segura. La navegación web se está volviendo aún más segura. Tenemos certificados SSL que agradecer por nuestra seguridad y privacidad. Pero las infracciones y fallas recientes pueden haber mermado su confianza en el protocolo criptográfico. Afortunadamente, SSL se está adaptando, se está actualizando, así es como. Lee mas .
Pero a pesar de lo que hayas escuchado, ¡No creas estos 5 mitos sobre el cifrado! ¡No creas estos 5 mitos sobre el cifrado! El cifrado suena complejo, pero es mucho más sencillo de lo que la mayoría piensa. Sin embargo, puede que te sientas un poco demasiado oscuro para utilizar el cifrado, ¡así que vamos a romper algunos mitos de cifrado! Leer más, el cifrado no es perfecto.
Whaddya significa que mi contraseña no puede contener backspaces ???
- Derek Klein (@rogue_analyst) 11 de agosto de 2016
Debe ser seguro, pero es tan seguro como donde se almacenan las claves. Si un sitio web protege su clave (es decir, una contraseña) utilizando su propia clave, un pirata informático podría exponer esta última para encontrar la primera y descifrarla. Requeriría relativamente poco esfuerzo de un ladrón para encontrar su contraseña; Es por eso que las bases de datos clave son un objetivo masivo..
Básicamente, si su clave se almacena en el mismo servidor que el suyo, su contraseña también podría estar en texto sin formato. Es por eso que el sitio PlainTextOffenders también menciona servicios que utilizan cifrado reversible.
Sorprendentemente simple (pero no siempre eficaz): Hashing
Ahora estamos llegando a alguna parte. Hashing contraseñas suena como una jerga sin sentido. Tech Jagón: Aprende 10 nuevas palabras recientemente agregadas al diccionario [Weird & Wonderful Web] Tech Jagón: Aprende 10 nuevas palabras recientemente agregadas al diccionario [Weird & Wonderful Web] La tecnología es la fuente de muchas nuevas palabras . Si eres un geek y eres un amante de las palabras, te encantarán estos diez que se agregaron a la versión en línea del Oxford English Dictionary. Lea más, pero es simplemente una forma más segura de cifrado.
En lugar de almacenar su contraseña como texto sin formato, un sitio la ejecuta a través de una función hash, como MD5 Lo que todo esto significa realmente Hash MD5 significa [Tecnología explicada] Lo que todo esto Hash MD5 realmente significa [Explicación de tecnología] Aquí hay una lista completa de MD5, hash y una pequeña descripción de las computadoras y la criptografía. Lea más, Secure Hashing Algorithm (SHA) -1, o SHA-256, que lo transforma en un conjunto de dígitos completamente diferente; Estos pueden ser números, letras o cualquier otro carácter. Su contraseña podría ser IH3artMU0. Eso podría convertirse en 7dVq $ @ ihT, y si un hacker irrumpe en una base de datos, eso es todo lo que pueden ver. Y funciona de una sola manera. No puedes decodificarlo de nuevo..
Desafortunadamente, no es ese seguro. Es mejor que el texto simple, pero sigue siendo bastante estándar para los cibercriminales. La clave es que una contraseña específica produce un hash específico. Hay una buena razón para ello: cada vez que inicia sesión con la contraseña IH3artMU0, pasa automáticamente a través de esa función de hash y el sitio web le permite acceder si el hash y el de la base de datos del sitio coinciden..
También significa que los piratas informáticos han desarrollado tablas de arco iris, una lista de hashes, ya utilizados por otros como contraseñas, que un sistema sofisticado puede ejecutar rápidamente como un ataque de fuerza bruta ¿Qué son los ataques de fuerza bruta y cómo puede protegerse? ¿Qué son los ataques de fuerza bruta y cómo puede protegerse? Probablemente has escuchado la frase "ataque de fuerza bruta". Pero, ¿qué significa eso exactamente? ¿Como funciona? ¿Y cómo puedes protegerte contra ello? Esto es lo que necesitas saber. Lee mas . Si ha elegido una contraseña sorprendentemente mala. 25 Contraseñas que debe evitar, use WhatsApp gratis ... [Resumen de tecnología] 25 Contraseñas que debe evitar, Use WhatsApp gratis ... [Resumen de tecnología] La gente sigue usando contraseñas terribles, WhatsApp Ahora es completamente gratuito, AOL está considerando cambiar su nombre, Valve aprueba un juego Half-Life hecho por fanáticos y The Boy With a Camera for a Face. Lea más, eso será alto en las mesas del arco iris y podría romperse fácilmente; Las más oscuras, especialmente las combinaciones extensas, tomarán más tiempo..
¿Qué tan malo puede ser? En 2012, hackearon LinkedIn Lo que necesita saber sobre la gran cantidad de cuentas de LinkedIn Fuga Lo que necesita saber sobre la gran pérdida de cuentas de LinkedIn Un pirata informático está vendiendo 117 millones de credenciales pirateadas de LinkedIn en la web oscura por alrededor de $ 2.200 en Bitcoin. Kevin Shabazi, CEO y fundador de LogMeOnce, nos ayuda a entender qué está en riesgo. Lee mas . Las direcciones de correo electrónico y sus hashes correspondientes fueron filtrados. Eso es 177.5 millones de hashes, afectando a 164.6 millones de usuarios. Podría pensar que no es una gran preocupación: son solo una carga de dígitos aleatorios. Bastante indescifrable, ¿verdad? Dos crackers profesionales decidieron tomar una muestra de 6.4 millones de hashes y ver qué podían hacer..
Rompieron el 90% de ellos en poco menos de una semana..
Tan bueno como se obtiene: salazación y hachís lentos
Ningún sistema es inexpugnable Mythbusters: consejos de seguridad peligrosos que no debes seguir Mythbusters: consejos de seguridad peligrosos que no debes seguir Cuando se trata de seguridad en Internet, todos y sus primos tienen consejos para ofrecerte los mejores paquetes de software para instalar, sitios dudosos para mantenerse al margen, o las mejores prácticas cuando se trata de ... Leer más: los piratas informáticos naturalmente trabajarán para descifrar cualquier nuevo sistema de seguridad, pero las técnicas más sólidas implementadas por los sitios más seguros Todos los sitios web seguros hacen esto con su contraseña Todos los sitios web seguros hacen esto Con su contraseña ¿Alguna vez se ha preguntado cómo los sitios web mantienen su contraseña a salvo de las violaciones de datos? Leer más son hashes más inteligentes.
Los hashes salados se basan en la práctica de una fuente criptográfica, un conjunto de datos aleatorios generado para cada contraseña individual, generalmente muy larga y muy compleja. Estos dígitos adicionales se agregan al principio o al final de una contraseña (o combinaciones de correo electrónico y contraseña) antes de que pase a través de la función hash, para combatir los intentos realizados con tablas de arco iris.
En general, no importa si las sales se almacenan en los mismos servidores que los hashes; descifrar un conjunto de contraseñas puede ser muy costoso para los piratas informáticos, incluso más difícil si su contraseña en sí es excesiva y complicada 6 Consejos para crear una contraseña inquebrantable que pueda recordar 6 Consejos para crear una contraseña inquebrantable que pueda recordar Si sus contraseñas son no es único e irrompible, también puede abrir la puerta principal e invitar a los ladrones a almorzar. Lee mas . Es por eso que siempre debe usar una contraseña segura, sin importar cuánto confíe en la seguridad de un sitio.
Los sitios web que toman su seguridad y, por extensión, su seguridad particularmente seriamente se están convirtiendo cada vez más en hashes lentos como medida adicional. Las funciones hash más conocidas (MD5, SHA-1 y SHA-256) han existido por mucho tiempo, y son ampliamente utilizadas porque son relativamente fáciles de implementar y aplican hashes muy rápido.
Trate su contraseña como su cepillo de dientes, cámbiela regularmente y no la comparta!
- Anti-Bullying Pro (de la organización benéfica The Diana Award) (@AntiBullyingPro) 13 de agosto de 2016
Mientras se siguen aplicando sales, los hashes lentos son incluso mejores para combatir cualquier ataque que dependa de la velocidad; Al limitar a los piratas informáticos a menos intentos por segundo, les lleva más tiempo descifrarlos, por lo que los intentos valen menos la pena, considerando también la tasa de éxito reducida. Los ciberdelincuentes tienen que sopesar si vale la pena atacar sistemas hash lentos que consumen mucho tiempo en comparación “Arreglos rápidos”: las instituciones médicas generalmente tienen menos seguridad 5 razones por las que aumenta el robo de identidad médica 5 razones por las que aumenta el robo de identidad médica Los estafadores quieren sus datos personales e información de cuenta bancaria, pero ¿sabía que sus registros médicos también son de su interés? Averigua qué puedes hacer al respecto. Leer más, por ejemplo, por lo que los datos que podrían obtenerse de allí todavía pueden venderse por sumas sorprendentes. Aquí es cuánto puede valer su identidad en la Web oscura. Aquí es cuánto vale su identidad en la Web oscura. Es incómodo pensar de usted mismo como una mercancía, pero todos sus datos personales, desde el nombre y la dirección hasta los datos de la cuenta bancaria, valen algo para los delincuentes en línea. ¿Cuanto vales? Lee mas .
También es muy adaptable: si un sistema se encuentra bajo una tensión particular, puede ralentizarse aún más. Coda Hale, el anterior Principle Software Developer de Microsoft, compara MD5 con quizás la función hash lenta más notable, bcrypt (otros incluyen PBKDF-2 y scrypt):
“En lugar de descifrar una contraseña cada 40 segundos [como en MD5], los descifraría cada 12 años más o menos [cuando un sistema utiliza bcrypt]. Es posible que sus contraseñas no necesiten ese tipo de seguridad y que necesite un algoritmo de comparación más rápido, pero bcrypt le permite elegir su equilibrio de velocidad y seguridad.”
Y debido a que un hash lento puede implementarse en menos de un segundo, los usuarios no deberían verse afectados.
Por qué eso importa?
Cuando usamos un servicio en línea, entramos en un contrato de confianza. Debe estar seguro de que su información personal se mantiene segura..
"Mi computadora portátil está configurada para tomar una fotografía después de tres intentos de contraseña incorrectos" pic.twitter.com/yBNzPjnMA2
- Gatos en el espacio (@CatsLoveSpace) 16 de agosto de 2016
Almacenar su contraseña de forma segura La guía completa para simplificar y asegurar su vida con LastPass y Xmarks La guía completa para simplificar y asegurar su vida con LastPass y Xmarks Si bien la nube significa que puede acceder fácilmente a su información importante donde sea que esté, también significa que Tiene un montón de contraseñas para realizar un seguimiento. Por eso se creó LastPass. Leer más es especialmente importante. A pesar de las numerosas advertencias, muchos de nosotros usamos el mismo para diferentes sitios, así que si hay, por ejemplo, una violación en Facebook, ¿Su Facebook ha sido hackeado? Aquí está cómo saber (y solucionarlo) ¿Su Facebook ha sido hackeado? A continuación le indicamos cómo saberlo (y arreglarlo). Hay pasos que puede seguir para evitar que lo pirateen en Facebook, y cosas que puede hacer en caso de que su Facebook sea hackeado. Lea más, sus datos de inicio de sesión para cualquier otro sitio que utilice con la misma contraseña también podría ser un libro abierto para los ciberdelincuentes.
¿Has descubierto algún delincuente de texto simple? ¿En qué sitios confías implícitamente? ¿Cuál crees que es el siguiente paso para el almacenamiento seguro de contraseñas??
Créditos de las imágenes: Africa Studio / Shutterstock, Contraseñas incorrectas de Lulu Hoeller; Iniciar sesión por Automobile Italia; Archivos de contraseña de Linux por Christiaan Colen; y salero por Karyn Christner.
Obtenga más información sobre: Cifrado, Privacidad en línea, Seguridad en línea.