Buscar
2012/03/21
Adiós contraseñas, hola reconocimiento por pulsaciones de teclado
A medida que Internet y los servicios online han ido creciendo, se ha vuelto más difícil para los usuarios mantener una cadena de contraseñas diferenciadas y seguras. Sobre todo, por la dificultad para memorizar largas combinaciones de letras y números. O por el riesgo de robo ante las avanzadas técnicas de los ciberdelincuentes actuales.
2011/08/29
La contraseña más segura para el móvil está en los ojos
"Cada vez usamos el móvil para más cosas: correo, transacciones bancarias, compras, elaborar y guardar documentos..., y esto es solo el principio", comenta Huertas. De ahí nació la inquietud que se ha plasmado en sistemas de autentificación de usuarios mediante reconocimiento biométrico, que utilizan sobre todo el iris del ojo, por ser único y distinto en cada persona.
"Vimos que crecían las aplicaciones pero los sistemas de protección de la información seguían siendo los mismos, por pin o contraseñas", apunta. Y añade: "Es un sistema inseguro, porque ¿cuántas contraseñas tenemos que recordar para iniciar el móvil, el ordenador, usar la tarjeta, acceder al correo, entrar en nuestras cuentas bancarias, proteger documentos, etcétera? La mayoría de la gente opta por repetirlas y no las cambia cada poco tiempo, con lo que somos muy vulnerables a los intrusos".
Al principio, los cinco ingenieros, que se conocieron trabajando en la factoría de software de Insa, filial de IBM, en Cáceres, abordaron la labor de desarrollar una aplicación segura en sus ratos de ocio. "Pero la tarea y las peticiones de información nos desbordaban, así que nos planteamos: o lo dejamos o nos metemos de lleno". Por lo que abandonaron su trabajo en Insa y con el apoyo del programa Neotec del Centro para el Desarrollo Tecnológico Industrial (CDTI) y de la sociedad pública extremeña de capital riesgo Extremadura Avante, lograron la financiación. "Esta fue necesaria porque nos dio dos años de margen para dedicarlos a la investigación, hasta contar con un prototipo que se pudiese vender".
Y es la fase en la que se encuentran ahora. "Es que arrancamos en una época muy mala, en la que nuestros clientes potenciales -bancos, operadoras de telefonía y fabricantes de terminales- mostraban interés, pero no iban más allá; bastante hacían con mantener lo que tenían", comenta Huertas. Por eso es que la apuesta de su primer cliente real, Bankinter, ha sido tan importante para el futuro de la empresa. "La banca es muy conservadora, se interesa pero quiere que otro lo pruebe antes, así que ha sido nuestro primer caso de éxito, el que puede abrirnos puertas".
Bankinter ha puesto a disposición de sus clientes la aplicación para operar en Bolsa. Esta permite utilizar el móvil para verificar la identidad del usuario. "Haces la operación que desees, y cuando te pide confirmación, acercas la cámara del móvil al ojo, te reconoce y la autoriza", explica el director de Mobbeel.
Tecnología única
Huertas explica que eligieron el iris del ojo porque "es todavía más seguro que la huella dactilar, más 'único' e imposible de suplantar". El sistema "es novedoso, no existe en ningún otro lugar". Hay otros sistemas de autentificación de usuario por escáner de iris, "pero necesitan un hardware específico, mucha capacidad de memoria y un entorno controlado en cuanto a distancia e iluminación, mientras que el nuestro funciona con la cámara de un smartphone, a distintas distancias y sean cuales sean las condiciones de luz, sin necesidad de dispositivos añadidos, con un software fácil de implantar y de muy bajo coste para el usuario".
Gracias a la experiencia con Bankinter, las puertas se han ido abriendo. "Ya tenemos contactos avanzados con otros bancos, operadoras de telefonía que quieren ofrecerlo como servicio añadido y fabricantes de móviles que pretenden instalarlo en serie en los terminales".
También se puede utilizar la voz, la firma o los rasgos faciales
"Nuestro sistema de seguridad es integral, es decir, hemos desarrollado distintas tecnologías fácilmente aplicables, todas basadas en el reconocimiento biométrico, que se complementan", explica José Luis Huertas. Así, al sistema por iris, el más seguro y avanzado, se añaden otros por voz, por la firma o por los rasgos faciales."El sistema analiza la voz, determina sus parámetros y los memoriza. Es algo imposible de imitar. En cuanto a la firma, no se trata de la forma, porque una firma puede imitarse siendo hábil y paciente, sino que toma como indicadores características únicas: velocidad, profundidad y dirección del trazo, entre otras, que son casi inimitables. Ahora estamos desarrollando también el reconocimiento facial, que contiene rasgos únicos para cada persona".
Dado que para ninguno de estos sistemas es necesario contar con un hardware específico, sino con un software que ocupa poca memoria y es barato y fácil de instalar, el director de Mobbeel asegura que son complementarios: "Puedes instalarlos todos y usarlos a conveniencia, según el lugar donde estés, el ruido que haya, la luz, tu propio estado físico, etcétera".
Los principales fabricantes de smartphones del mundo ya han entablado contactos "serios" para implantar de serie los sistemas. "Sí, hay negociaciones avanzadas, pero no podemos decir más. Lo primero que hacen es hacerte firmar un contrato de confidencialidad, pero en los próximos meses es casi seguro que habrá resultados", asegura Huertas.
También hay operadoras de telefonía y empresas de otros sectores, sobre todo del financiero, que ven en Mobbeel un sistema para ampliar sus servicios de manera espectacular a un coste bajo para el cliente y con unos parámetros de fiabilidad inmejorables.
Datos básicos
Google. La idea nació de un concurso convocado por Google para desarrollar aplicaciones para su sistema Android. Mobbeel estuvo en la final mundial y, "por el impacto mediático que tiene todo lo que hace este gigante, se disparó el interés". Ahora la aplicación también está disponible para iPhone y se trabaja en desarrollos para Blackberry, Symbian, Maemo, Bada y Windows Phone 7.Silicon Valley. "Sí, hemos tenido ofertas serias para trasladarnos a Silicon Valley, donde habría más oportunidades y la opción de entrar en contacto con las mejores empresas del mundo, pero de momento seguimos aquí", apunta Huertas, y añade: "Además, cada vez es menos importante la ubicación física de la empresa; por eso, aunque nuestro mercado no esté en Extremadura, apostamos por quedarnos y crear un buen clima de trabajo, lo que no quita que abramos oficinas comerciales por todo el mundo".
Fichajes. Mobbeel triplicará su plantilla con la contratación de expertos en biometría, desarrolladores de aplicaciones para móviles e ingenieros. "El requisito es que sean mejores que los que ya estamos, porque queremos retener aquí el talento, que se encuentren a gusto".
Seguridad. "Cada vez hay más ataques a los correos personales, más vulneraciones de seguridad. Normalmente, la operativa es quitar pequeñas cantidades a mucha gente para evitar que se compliquen con denuncias. Esto puede retraer un mercado en expansión. Sin embargo, nuestros sistemas garantizan una invulnerabilidad casi absoluta -nunca se puede decir que al 100%- y en todo caso, muchísimo mayor que con los sistemas de pin, contraseñas, tarjetas de coordenadas y similares".
Premios. Entre otros reconocimientos, Mobbeel ha sido finalista mundial del Android Development Challenge, en el que compitió con las mejores tecnológicas del mundo, y ganadora del BBVA Open Talent, Campus de Emprendedores Seed Rocket y Emprendedor XXI, entre otras distinciones.
2011/05/13
Futuro cercano: lanzan sistema para que el "password" de Facebook y Gmail sea el iris
La película Minority Report se hizo famosa entre otros detalles por el reconocimiento del iris usado para acceder a archivos secretos. Pero pronto esta ficción será realidad, porque el mismo sistema se usará para ingresar a las cuentas personales.
La empresa neoyorquina Hoyos Group, fundada en 2005, presentó un nuevo producto llamado "EyeLock" en el marco de la conferencia Finovate, al que calificó como el primer y único dispositivo portátil de escaneo de iris para consumidores.
El dispositivo, del tamaño de una tarjeta de presentación y con un peso de cuatro onzas, viene bajo la forma de una memoria USB.
Una vez que se instala el programa y se elige las aplicaciones que requerirán EyeLock, se sostiene el escáner frente al ojo y automáticamente se ingresa desde la computadora a cualquier sitio protegido con contraseña, sea Facebook, Gmail, PayPal o la cuenta bancaria, según informó el portal CNNExpansion.com.
No se requiere de contraseña, e incluso puede dejarse los lentes puestos.
Hoyos afirma que el reconocimiento del iris ofrece mayor seguridad a los clientes para acceder a información personal y elimina el riesgo de fraude.
"Cada vez que inicias sesión, lee tu iris y crea una clave única, que consiste en una serie de números, y esta clave cambia cada vez que te conectas, así que nadie puede hackearla", comentó Tracy Hoyos, subdirectora de marketing.
Si bien el gobierno y ciertas instituciones financieras han intentado implementar la idea del escáner de ojos, nunca ha sido desarrollado para consumidores, indica Hoyos.
Además, el iris cuenta con más puntos únicos que ayudan a identificar al usuario: 2.000, frente a los 18 puntos que tienen las huellas digitales.
La tecnología no sólo hace más segura la información, elimina también la necesidad de memorizar múltiples contraseñas. Hoyos espera que la idea gane adeptos.
"El cambio siempre es un shock para las personas, y siempre habrá algo de resistencia, pero una vez que todos vean lo que puede hacer y lo fácil que es proteger su identidad, su dinero y a sus familias, creo que la idea arraigará", comenta.
La idea de usar una parte del cuerpo para acceder a las cuentas bancarias puede despertar el temor a la mutilación, pero la compañía asegura que EyeLock sólo funciona con el ojo de una persona viva. "Si alguien te mata, no funciona, tu ojo inmediatamente se 'achata', así que el iris no es el mismo", explica Hoyos.
EyeLock costará 99 dólares. Hoyos no especificó la fecha de lanzamiento, pero dijo que pronto se darían más detalles. La compañía ya ha creado un dispositivo de escaneo de iris que es utilizado en los aeropuertos estadounidenses, y Hoyos planea extender el servicio a otras áreas, como el espacio móvil.
iProfesional
2010/12/15
Yahoo, Twiter y LinkedIn aconsejan cambiar contraseñas tras una filtración
Igualmente, el juego World of Warcraft, que tiene más de 12 millones de suscriptores, también ha pedido a algunos usuarios restablecer sus contraseñas, según informaciones de BBC news recogidas por Portaltic.
Pese a que miles de cuentas de Twitter fueron comprometidos después del ataque, ha habido pocos informes de daños directamente vinculados a la violación.
Muchas empresas, sin embargo, han tomado medidas para identificar a los usuarios en situación de riesgo. Un portavoz de LinkedIn, dijo que es necesario tomar "medidas de seguridad proactiva" como si los usuarios estuvieran en peligro.
El ataque a Gawker se llevó a cabo el fin de semana por una organización que se autodenomina la Gnosis.
Los hacker publicaron posteriormente detalles de la cuenta de 1,3 millones de usuarios de Gawker, incluyendo un número significativo de contraseñas.
El análisis de la violación ha provocado una respuesta defensiva generalizada al saberse que muchos usuarios habían elegido las palabras comunes y códigos que les dejó abierta al abuso.
Portal TIC
2010/12/06
'Las contraseñas son una mala idea'
Una de las mayores preocupaciones ante los crímenes cometidos en la Red se debe a lo que se piensa que es la profesionalización de los ciberdelincuentes. Sin embargo, Elgamar destaca que "no existen nuevos criminales: son los mismos que han encontrado Internet y lo utilizan para lograr sus fines". Es más, apunta que "si nos remontamos a hace quince años, había 'hackers', pero se lo pasaban bien, no querían robar dinero. Sólo querían probar a la gente que podían hacerlo". Además, añade, "cada vez que llega un medio nuevo, los criminales acaban encontrando la forma de hacer uso de él para cometer sus delitos".
Eso sí, el experto admite que "Internet hace más fácil [la ciberdelincuencia] porque es rápido. [...]Ahora ya no es necesario que robe una gran fortuna; puedo robar un dólar a muchas personas y eso será mi fortuna. Pero nadie sabrá cómo he hecho mi millón de dólares".
Para Elgamar, el gran error en la seguridad en Internet son las contraseñas. "Son una mala idea", asegura. Esto se debe a que, al utilizar "número limitado de contraseñas para un número mayor de sitios web", si un 'hacker' consigue una contraseña, probablemente le sirva para varios sitios. Y quizá no preocupa que conozcan la clave para entrar a eBay, pero sí "si es la misma que usa para entrar a la banca 'online'", explica el padre de la firma electrónica.
Respecto a la privacidad de los datos personales 'colgados' en la Red, una de los grandes controversias tras la aparición de las redes sociales, Elgamar advierte de que "si alguien 'cuelga' sus datos en Internet, es responsable por ello". El problema llega cuando "en una cuenta de Facebook hay fotos de muchas personas, y no sólo del dueño del perfil, es información privada de más gente".
A pesar de esta responsabilidad del usuario, los 'miedos' de muchos sobre los datos que están abiertos y disponibles para todo el mundo están fundamentados, asegura el egipcio, ya que "no hay ninguna forma de controlar que seas el único en utilizar esos datos". Con ello, Elgamar no quiere decir que la propia compañía Facebook haga un mal uso de éstos, cosa que no cree, sino que "¿cuántas veces se hace uso de todos los datos? ¿muchas, pocas?, ése es realmente el asunto del que preocuparse".
Sin embargo, el criptógrafo cree que todos estos malos usos de los servicios de Internet "no se pueden prevenir, ya que es desconocido. Es después de que algo se vuelva útil cuando se encuentra la forma de usarlo perjudicialmente, y es cuando se intenta arreglar".
La 'sobreprotección' de los nuevos medios es también un error para el criptógrafo egipcio, que visitó España para asistir al Día Internacional de la Seguridad de la Información: "Si tratas de sobreproteger algo, al final no será usado".
El Mundo
2010/09/15
El 75% de los internautas repite contraseña en e-mail y redes sociales
El 75 por ciento de los usuarios de redes sociales y correo electrónico emplea la misma contraseña para ambos servicios, un hábito que compromete la seguridad de sus datos, según un estudio elaborado por la empresa especializada en seguridad BitDefender.
Además, un análisis detallado de las cuentas de correo reveló que un tres de cada cuatro usuarios utiliza la misma contraseña para acceder a su e-mail que a su red social, lo que se traduce en que, en el 75 por ciento de los casos, la información disponible en Internet no sólo sirve para acceder al correo de los usuarios, sino también a sus cuentas en redes como Facebook o Tuenti.
En este sentido, BitDefender advierte a los usuarios sobre los riesgos de seguridad que estos resultados implican y que van desde el robo de datos personales hasta el uso de la cuenta de correo o de la red social del usuario para enviar spam o malware.
2010/08/16
La seguridad de las contraseñas, en riesgo por la aceleración por 'hardware'
Los beneficios de la utilización de la GPU (comúnmente conocida como procesador gráfico) para la computación de otros procesos sse extiende gracias a las plataformas GPGPU. La reducción de los tiempos de carga durante la navegación y, por tanto, la integración de contenidos más pesados en páginas web sin que suponga un lastre, será una de las ventajas que más podrán apreciar los internautas día a día.
Sin embargo, el uso de las capacidades de procesamiento multitarea de la GPU también abre nuevos riesgos, entre los que destaca la debilidad de las actuales contraseñas. Según Richard Boyd, investigador senior, "en estos momentos podemos afirmar con seguridad que una contraseña de siete caracteres es, por desgracia, inadecuada. Y a medida que la potencia de las GPU siga aumentando año a año, la amenaza irá creciendo".
La aceleración por 'hardware' es óptima para las técnicas de robo de contraseñas porque los procesadores gráficos han sido diseñados para la computación en paralelo, con diversos núcleos tratando de resolver varios problemas a la vez. Trasladado al universo de la seguridad, implica que los ordenadores requieren mucho menos tiempo para averiguar cuál es la clave, empleando el sistema de ensayo y error. "Hemos estado utilizando un procesador gráfico normal disponible en el mercado actualmente para hacer la prueba", detalla Boyd.
Técnicas para una contraseña más segura
Como en Georgia Tech creen que el problema irá en aumento a la par que el desarrollo técnico, el camino a seguir para tener contraseñas más seguras está en el cambio de modelo.Así, el más aceptado es el de la doble autentificación, por ejemplo mediante el registro inicial y la introducción de un código posterior. Este sistema, que utiliza por ejemplo La Caixa para las transacciones electrónicas, obliga al usuario a introducir antes de cada movimiento 'online' un código que tiene impreso en una tarjeta física única repleta de números que se le entrega al abrir su cuenta bancaria en línea.
De todos modos, las contraseñas actuales pueden seguir siendo seguras si se siguen las recomendaciones básicas tradicionales. En primer lugar, que sean alfanuméricas y en segundo, que contengan el mayor número de caracteres posibles. Los investigadores han llegado a la conclusión de que cada nuevo número o letra añadido eleva la seguridad exponencialmente. Además, para evitar situaciones como la que dejó al descubierto el robo de claves de Hotmail, se recomienda no elegir un término o fecha común o familiar.
También se abre paso como una posible alternativa el sistema de contraseñas de usar y tirar, aunque aún está menos extendido. Sin embargo, una medida más sencilla sería la mera introducción de un pequeño intervalo temporal entre intento e intento de registro, de segundos, que ralentizaría considerablemente el trabajo de la máquina pero apenas sería molesto para el humano.
Una vez más, la mejora tecnológica abre diversos caminos que los encargados de la seguridad en Internet deben proteger, aunque hay que contar siempre con la concienciación de cada usuario.
2010/05/06
El 37% de los españoles utiliza el móvil como almacén de contraseñas
Del 80% de estadounidenses que cuenta con teléfono móvil, el 40% está dispuesto a recibir notificaciones en el caso de que se carguen cantidades específicas en sus tarjetas de crédito; de la misma manera, el 38% acepta pagar las entradas a espectáculos, cine o teatro con el móvil.
En España, el 80% de los encuestados afirman poseer un teléfono móvil o una PDA (un 90% por debajo de 45 años utiliza habitualmente uno de estos dispositivos, pero tan sólo un 48% de los mayores de 65 años tiene uno). Por tipo de transacción, el 37% de los usuarios utiliza el móvil como almacén de contraseñas; y más de un cuarto de los consumidores acepta utilizar el móvil como tarjeta de embarque (el 28% ) y para realizar pequeñas compras (el 27% ). Sin embargo, sólo el 10% utiliza el móvil para acceder a la banca online.
Mayor confianza entre los más jóvenes
En Reino Unido, el 76% de los ciudadanos de entre 18 y 24 años se sienten seguros a la hora de adquirir su tarjeta de embarque a través del móvil, mientras que sólo el 49% de los ciudadanos ingleses de todas las edades llevarían a cabo dicha operación. Mientras, en Estados Unidos, el 53% de los consumidores de entre 18 y 34 años comprarían una entrada para un espectáculo, mientras que sólo el 38% de los ciudadanos estadounidenses a nivel global lo harían.
“La mayoría de los usuarios de dispositivos móviles se siente seguro utilizando este tipo de herramientas para realizar transacciones financieras, para adquirir entradas a espectáculos o incluso como tarjeta de embarque. Además, las nuevas generaciones muestran mayor seguridad, lo que indica que el uso de las aplicaciones móviles crecerá en el futuro”, afirma Ana Rubio, directora general de de Tecnología, Consultoría y Soluciones de Integración de Unisys en España. “Estos datos ilustran cómo tecnologías personales, como los teléfonos inteligentes, pueden reforzar nuevos modelos de negocio gracias a la confianza de los consumidores y a los niveles de seguridad implantados por los proveedores de servicios”.
2009/04/15
La contraseña en el oído
Resulta que en el oído interno, en la cóclea o caracol, hay unas células ciliadas que vibran gracias al sonido, transmitiendo señales eléctricas al nervio auditivo, y éste a su vez al cerebro. Esto forma parte del mecanismo de audición. Lo sorprendente es que estas células también son capaces de producir un ruido o 'emisión otoacústica' (EOA) al rozarse con las paredes del caracol por un determinado tipo de chasquido.
Si bien este proceso ya se pronosticó en los años 40, hasta que no aparecieron micrófonos más sensibles hacia los 70 no se pudieron detectar.
Y es ahora cuando estos científicos británicos aseguran en New Scientist que estas EOA varían en intensidad y frecuencia de distribución en función de la persona , debido a las características propias del oído interno de cada individuo.
Stephen Beeby, ingeniero del proyecto, añade que no sólo es posible distinguir entre hombres y mujeres, sino entre personas de diferentes orígenes étnicos.
De hecho, la investigación continúa para determinar si puede utilizarse como un sistema de identificación biométrica tan fiable como son las huellas dactilares o el escáner del iris. Si bien en unas condiciones tan controladas como las de un laboratorio esto sí es posible, todavía no están totalmente seguros de obtener los mismos resultados en el mundo real.
Algunos de los problemas que se han encontrado es que esta emisión sonora se atenúa con el consumo de alcohol, o se acentúa con el de fármacos, las infecciones de oídos o la acumulación de cera. Además no sólo deben probar que se trata de un sistema fiable y con una baja tasa de errores, sino que la EOA pueda perdurar en el tiempo de la misma manera que las huellas dactilares de una persona, que tomadas a los 20 años siguen siendo válidas a los 60.
Por otra parte también podría utilizarse para hacer transacciones bancarias por teléfono sin tener que recordar ninguna clave, ya que sería el banco el que tendría el EOA personal de cada cliente.
El plazo de entrega de este proyecto acaba a mediados de 2010. Para entonces, si han tenido éxito, esperan que las empresas electrónicas se interesen en el desarrollo de auriculares o móviles con micrófonos supersensibles.
2009/03/27
Adivinamos su contraseña: '1234'
Desde Paris Hilton a Barack Obama, todos han visto desveladas algunos de sus datos por una humilde contraseña. Los estudios confirman año tras año que no damos importancia a nuestras palabras de paso, la mayoría fáciles de adivinar y de romper en segundos. Aunque conozcamos las normas básicas para crearlas y conservarlas, no las cumplimos. Un estudio del pasado mes de Sophos los confirma: de 676 internautas encuestados, el 33% emplean la misma contraseña para todos sus accesos web.
Obama cometió el error de usar un servicio, Twitter, donde una de sus técnicos tenía una contraseña muy débil: felicidad. Un estudiante de 18 años pudo romperla en pocas horas desde su ordenador personal e invitó a sus amigos a tomar el control de Twitter. Manipularon las cuentas de Obama y Britney Spears, y mandaron mensajes en su nombre.
Fue también un error común el de Paris Hilton y la gobernadora de Alaska, Sarah Palin: las preguntas de seguridad que escogieron para recuperar las contraseñas de su correo, en T-Mobile y Yahoo! respectivamente, eran tan fáciles que con una búsqueda en Google se hallaba la respuesta. Entraron en sus cuentas y divulgaron sus mensajes y fotografías.
El resto de los mortales no son más cuidadosos. El virus gusano Conflicker consiguió infectar más de nueve millones de ordenadores a finales de 2008 debido a que sus propietarios tenían contraseñas muy débiles.
Un reciente estudio de la consultora norteamericana Errata Security basado en 28.000 contraseñas de los clientes de un sitio web estadounidense desvela que la opción mayoritaria es usar el propio nombre o de familiares (16%), secuencias como 1234 (14%), títulos de series o películas (5%), la palabra password (4%) y otras como Whatever (lo que sea), Iloveyou (te quiero) o Yes (sí).
Esta desidia se ve año tras año en estudios parecidos. Shannon Riley citaba en 2006 investigaciones que se remontaban hasta 1995 para documentar la misma actitud: "Los usuarios siguen prácticas muy simples y predecibles a la hora de crear sus contraseñas, usan nombres o fechas fáciles de recordar o palabras comunes".
El estudio de Riley, basado en entrevistas a 300 estudiantes de la Universidad de Wichita (EE UU), mostraba que la mayoría de la gente usaba contraseñas en minúsculas, de menos de siete caracteres, y que jamás habían actualizado. La mitad tenían sólo una que utilizaban para todo. Las más comunes eran, entonces como hoy, nombres de mascotas, nombres de hijos, calles, números de teléfono y fechas de nacimiento o de bodas.
Ni el tiempo ni la geografía cambian los malos hábitos. El análisis de un archivo de 5.000 contraseñas del sitio Portal Latino, que fue robado en 2006 y hecho público en Internet, enseña que los españoles usan también el propio nombre o de familiares, secuencias numéricas, palabras comunes (macarrones, princesa), frases fáciles (nadaserio, putamadre) y referencias de música y cine (micasa, lalala). Siempre en minúsculas.
La conservación segura de estas contraseñas se toma igualmente a la ligera, como demuestra una encuesta que Infosecurity Europe realiza anualmente en el metro de Londres. En su primera edición, en 2002, dos de cada tres oficinistas accedieron a revelar sus contraseñas a cambio de nada. El año pasado la proporción fue la misma, pero a cambio del sorteo de un viaje a París.
Despreocupación
Proteger nuestras contraseñas de ojos indiscretos, renovarlas periódicamente o no usar palabras que aparezcan en diccionarios, ya que serán las primeras que probará un programa crackeador de contraseñas, parecen ser normas desconocidas de forma generalizada. Pero este desconocimiento no es tal.
Según Shannon Riley, la mayoría de encuestados conocía las normas, pero no las aplicaba: "El 51% sabe que debe combinar números, signos y letras, pero sólo el 5% lo hace. El 64% sabe que debe usar más de siete caracteres, pero sólo el 36% lo hace. El 71% sabe que no debe usar nombres que se puedan relacionar con ellos, pero el 50% lo sigue haciendo".
El experto en seguridad Chema Alonso, de Informática 64, lo achaca a diversas razones: "Las contraseñas complejas son difíciles de recordar. Si además hay que cambiarlas cada cierto tiempo, el trabajo de memorizar se complica. Por otra parte, son difíciles de teclear y no hay cosa que dé más rabia que equivocarte 10 veces metiendo la contraseña". A eso se añade, explica, que "hasta que no pasa algo, la gente no se da cuenta de su importancia".
La coach personal Silvia Pallerola coincide: "Vivimos en una sociedad con tantas prisas que no da tiempo de pensar en lo que podría pasar, ni queremos complicarnos la vida". Esta actitud se acentúa en el mundo de la informática: "Nos abruman con responsabilidades que no entendemos y sólo queremos algo fácil porque, si escojo una contraseña complicada, la tendré que apuntar en un papel y quizá me lo roben, con lo que me da igual".
Alonso destaca también la inflación de servicios que requieren contraseñas: "Entre que me levanto y me lavo los dientes he introducido más de 20: el correo, el Messenger, el Facebook, la cuenta de la empresa... Tengo que recordar un montón de letras y teclear más de 350 veces en el orden correcto para hacer mis cosas. ¿Es o no es un fastidio?".
Las cookies sirven para no tener que recordar algunas y también los nuevos servicios de identificador único, que permiten acceder a múltiples redes sociales desde una misma web, sin teclear cada vez la contraseña. El servicio identificador las guarda y da al internauta una única credencial para todo. Destacan en este campo OpenID, Facebook Connect y Friend Connect, de Google.
Mientras estos servicios mejoran, la solución para no crear contraseñas facilonas la dan decenas de programas y webs que las generan gratuitamente; pero al mismo tiempo evolucionan los programas para romperlas. Un nuevo sistema con tarjetas gráficas analiza contraseñas a velocidad de vértigo: 1.000 millones por segundo, frente a las 200 por segundo de los ordenadores. Romper las contraseñas difíciles es cada vez más fácil.
Trucos para recordar el 'password'
1. Dales ritmo: utiliza las primeras letras de un par de frases fáciles recordar, como (1Esbsltd1A) que significa (1 Elefante se balanceaba sobre la tela de 1 Araña).
2. Pon frases en vez de palabras: deben ser frases poco comunes, como la primera de un libro que te haya gustado, añadiendo mayúsculas, números y signos. "En un lugar de la Mancha" podría dar la contraseña: E1ldlM$$$.
3. Usa el teclado: dibuja líneas imaginarias en el teclado, como TgbyhN01. No uses pautas obvias como qwerty.
4. Juega con los números que parecen letras: A es como 4. S es como 5. I es como 1. 0 es como O. La contraseña puede ser: M4r1p054.
5. Usa pautas: utiliza la misma raíz en todas tus contraseñas. Por ejemplo, para el banco: 5mnb&banco. Para el correo: 5mnb&correo.
6. No cambies nunca tus contraseñas en viernes por la tarde. Te será difícil recordarlas el lunes.
7. No pongas información personal. Cuando te inscribas en un servicio y su sistema de recuperación de contraseñas te proponga diversas preguntas cuyas respuestas verificarán tu identidad, da respuestas falsas y apúntatelas por si el servicio te las pide otra vez.
2007/11/26
Desvelar las contraseñas de Firefox con Javascript
Se debe pegar un mostrar trozo de código Javascript en la barra del navegador de la página que contenga el password a desvelar:
javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j
2007/11/13
¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos
Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.
Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.
Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.
Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.
2007/10/26
No recuerdes tu contraseña: dibújala
Investigadores de la Universidad de Newcastle han desarrollado un método que permite dibujar tus contraseñas, una técnica que evita recordar complejas combinaciones y que podría ser la solución a muchos problemas.
Las crecientes amenazas de seguridad que muchos usuarios sufren en Internet ha hecho que se traten de desarrollar nuevos mecanismos para proteger nuestros datos, y uno de los más ingeniosos es el que permite dibujar un objeto sobre un fondo de una fotografía digital para que este se valide como nuestra seña de identidad.
Las ‘contraseñas gráficas’ pueden ser cualquier cosa: una flor, un mapa, una cara, cualquier dibujo más o menos simple que podamos recordar y reproducir fácilmente sobre el fondo que se nos presenta. El sistema recuerda los trazos utilizados y la forma de realizarlos - además del resultado final - lo que permite autenticar al usuario.
El sistema, llamado BDAS - Background Draw A Secret - permite introducir este tipo de contraseñas en dispositivos que evitarían tener que recordar complejas passwords. El doctor Jeff Yan, uno de los máximos responsables del desarrollo, explicó que “la mayoría de nosotros ha olvidado un PIN o contraseña alguna vez, lo que obliga a que tengamos que hacerlas fáciles para recordarlas bien, y también más susceptibles de ser descubiertas”.
“Sin embargo, la mente humana tiene una gran capacidad para recordar imágenes, y es totalmente cierto que una imagen vale más que mil palabras en este caso”.
2007/09/27
El peligro de reutilizar contraseñas
Lo sé; es incómodo tener una contraseña diferente para cada sitio, pero no queda más remedio. Una vez más, la comodidad es el peor enemigo de la seguridad. Basta con pararse a pensar un poco en lo mucho que cedemos a un desconocido cada vez que nos registramos en un sitio, y en lo que puede hacer con ello un webmaster (o blogger) deshonesto.
Para ilustrar el asunto, nada mejor que un ejemplo.
Imagina que sucumbes a los atractivos de juanqueripranker punto com, un sitio que te desvelará los arcanos secretos del jaqueo de cuentas XMail (sustitúyase "X" por Hot, G, etc...) con una sola condición: que te registres, con un alias y un e-mail, para poder acceder a sus maravillosos contenidos.
En una gran mayoría de los casos, es completamente cierto que el webmaster de juanqueripranker punto com sabe perfectamente cómo acceder a tu cuenta de XMail... sólo que no se necesita ninguna "magia" para ello, sino que eres tú mismo quién le cuenta cómo hacerlo...
No hay ninguna duda de que un gran porcentaje de los usuarios que se registren en juanqueripranker punto com lo hará suministrando su propia dirección de Xmail, y un porcentaje nada desdeñable de ellos utilizará la misma contraseña con la que acceden a su correo web.
El deshonesto responsable de juanqueripranker punto com ya tiene las llaves del reino. Le basta probar a entrar con esas mismas contraseñas en las cuentas de correo asociadas. En un buen número de casos lo logrará sin problemas. Así que si un buen día recibes un correo diciendo que tu cuenta ha sido secuestrada y debes pagar un rescate para recuperarla, además de denunciarlo, debes hacer un examen de conciencia.
Es cierto que los sistemas habituales de publicación de contenidos no guardan las contraseñas, sino sus hashes (resúmenes en caracteres hexadecimales de longitud fija), pero eso no representa mucho problema para un webmaster deshonesto con acceso directo a esos datos. De hecho, si su propósito es esencialmente malicioso, puedes dar por seguro que ni siquiera se molestará en "hashearlas" antes de guardarlas, sino que las atrapará en texto claro.
Pero aunque el webmaster del sitio donde nos registramos sea la persona más honesta del mundo, seguimos estando en peligro si reutilizamos contraseñas. El problema ocurre cuando un intruso se apodera de nuestros datos de registro, por un fallo en la aplicación o en el servidor, o por una mala gestión de la seguridad. En este caso puede que la obtención de las contraseñas en claro requiera algo más de esfuerzo (ataque de diccionario, fuerza bruta o rainbow tables), pero de cualquier manera no tardarán demasiado en caer las contraseñas más débiles. Si el atacante dispone también de las correspondientes direcciones de correo (como suele ser habitual), y si no nos hemos tomado la molestia de utilizar para el registro una contraseña diferente de la que usamos para acceder a nuestra cuenta de correo, mal asunto.
Para acabar, unos consejos sencillitos.
Webmaster honestos: utilizad sistemas de gestión de contenidos que no guarden las contraseñas en claro, sino pasadas antes por una función de hash (MD5 o SHA), preferiblemente con un salt añadido y si es posible que ese salt incluya un identificador secreto específico del sitio. Y otro consejo: si no pensáis espamear a vuestros usuarios, quizás ni siquiera necesitáis pedir ni almacenar sus direcciones de correo. Menos preocupaciones para vosotros y menos riesgos para vuestros usuarios (Kriptópolis es un ejemplo práctico al respecto).
Usuarios: una contraseña para cada sitio. Cada vez que os registráis y no lo hacéis así, estáis regalando a un extraño las llaves "secretas" de vuestro existencia virtual. Si el atacante entra en vuestro correo web, también puede intentarlo con vuestra cuenta Paypal, eBay, etc, etc., donde seguro que también habéis repetido contraseña. Aún más: a partir de la lectura de vuestros correos, puede obtener muchas más pistas sobre otros servicios donde también podría intentar suplantaros.
Como véis, el famoso jaqueo de cuentas de correo tiene poco de magia y mucho de descuido (por nuestra parte) y de caradura (por la parte ajena).