LinuxParty
NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
Las reglas para crear contraseñas son simples: use una combinación aleatoria de números, símbolos y letras mayúsculas y minúsculas; nunca reutilice las contraseñas; active la autenticación de dos factores y use un administrador de contraseñas. A continuación, le explicamos por qué no puede permitirse el lujo de no hacerlo. Además: Respuestas a objeciones comunes.
Durante años he estado leyendo predicciones sobre nuevas tecnologías que harán que las contraseñas queden obsoletas. Luego hago clic y reviso los detalles y termino sacudiendo la cabeza. Hay muchas tecnologías de identidad inteligentes que se están abriendo camino hacia el uso común, pero las contraseñas seguirán siendo un mal necesario durante muchos años.
Y, a menos que desee ser un blanco fácil en Internet, necesita una estrategia para administrar esas contraseñas. Las grandes organizaciones pueden crear políticas de contraseñas sensatas y utilizar software de inicio de sesión único , pero las pequeñas empresas y los individuos están solos.
En cuanto a las mejores prácticas, las reglas para crear contraseñas son simples: utilizar una combinación aleatoria de números, símbolos y letras mayúsculas y minúsculas; nunca reutilizar contraseñas; activar la autenticación de dos factores si está disponible.
Las contraseñas más tontas que la gente todavía usa
Hay cierto desacuerdo sobre si se deben cambiar las contraseñas periódicamente . Creo que hay razones válidas para cambiar las contraseñas cada año aproximadamente en los sitios que contienen datos importantes, aunque solo sea para evitar verse involucrado inocentemente en una vulneración de la base de datos.
Y, en lo que a mí respecta, la regla más importante de todas es utilizar un administrador de contraseñas .
He utilizado varios administradores de contraseñas basados en software a lo largo de los años y no puedo imaginarme pasar el día sin uno.
Conozco a gente que guarda listas de contraseñas en un archivo cifrado de algún tipo. Eso es exactamente lo que hace un gestor de contraseñas basado en software. Pero ahí acaban las similitudes.
En este artículo, explico por qué considero que un gestor de contraseñas es esencial. También abordo algunos de los argumentos que suelo escuchar de los escépticos.
El caso de los gestores de contraseñas
Puede elegir entre docenas de aplicaciones y servicios de administración de contraseñas de terceros, tanto comerciales como de código abierto. A pesar de algunas diferencias en la experiencia del usuario, todas son similares en sus características principales. En una PC con Windows o Linux, en una Mac con MacOS o en un dispositivo móvil, instala una aplicación que administra una base de datos que contiene conjuntos de credenciales (nombres de usuario, contraseñas y otros detalles necesarios). El contenido de la base de datos está protegido con cifrado AES-256. Para desbloquear la base de datos de contraseñas, ingresa una clave de descifrado (su contraseña maestra) que solo usted conoce y luego permite que el programa complete las credenciales guardadas para que pueda iniciar sesión en una página web o aplicación.
Como alternativa, puede utilizar las herramientas de gestión de contraseñas integradas en su navegador. (Para obtener una explicación completa, consulte Gestores de contraseñas: ¿Está bien utilizar las herramientas de gestión de contraseñas integradas de su navegador? ). En términos arquitectónicos, estos diseños son similares a las herramientas de terceros, excepto que están diseñados para funcionar en un único ecosistema de navegador. Son una opción adecuada (¡y ciertamente mejor que nada!), pero las soluciones de terceros son más sólidas.
Los administradores de contraseñas que sincronizan su base de datos de contraseñas con la nube utilizan cifrado de extremo a extremo. Los datos se cifran antes de salir de su dispositivo y permanecen cifrados mientras se transfieren al servidor remoto. Cuando inicia sesión en la aplicación en su dispositivo local, el programa envía un hash unidireccional de la contraseña que lo identifica, pero que no se puede utilizar para desbloquear el archivo en sí.
Las empresas que gestionan y sincronizan esos archivos guardados no tienen acceso a las claves de descifrado. De hecho, si los desarrolladores han hecho bien su trabajo, su contraseña maestra no se almacena en ningún sitio. Es su trabajo salvaguardar ese secreto y, si olvida la clave de descifrado, no tendrá suerte. Incluso con los recursos informáticos más potentes, no existe una forma práctica de descifrar un archivo cifrado con AES-256 que esté protegido con una clave personal segura.
Esta arquitectura ofrece cinco ventajas distintas respecto a una solución "hágalo usted mismo".
1) Integración del navegador
La mayoría de los administradores de contraseñas incluyen extensiones de navegador que le solicitan automáticamente que guarde las credenciales cuando crea una cuenta nueva o inicia sesión con esas credenciales por primera vez en un dispositivo. Esa integración del navegador también le permite ingresar credenciales automáticamente cuando visita un sitio web coincidente y actualizar las credenciales guardadas cuando cambia su contraseña.
Compare ese enfoque con la inevitable fricción que supone una lista manual. No necesita buscar un archivo y agregarle una contraseña para guardar un conjunto de credenciales nuevo o modificado, y no necesita buscar y abrir ese mismo archivo para copiar y pegar su contraseña.
2) Generación de contraseña
Todo gestor de contraseñas que se precie incluye un generador de contraseñas capaz de generar al instante una contraseña verdaderamente aleatoria que nunca hayas utilizado antes. Si no te gusta esa contraseña, puedes hacer clic para generar otra. Luego, puedes utilizar esa contraseña aleatoria al crear una cuenta nueva o cambiar las credenciales de una cuenta existente.
La mayoría de los administradores de contraseñas también le permiten personalizar la longitud y la complejidad de una contraseña generada para que pueda lidiar con sitios que tienen reglas de contraseña peculiares.
Con las posibles excepciones de John Forbes Nash, Jr. y Raymond Babbitt , los simples mortales no son capaces de tales hazañas de aleatoriedad.
3) Protección contra phishing
Integrar un gestor de contraseñas en un navegador es una excelente protección contra los sitios de phishing. Si visita un sitio que ha logrado duplicar a la perfección la página de inicio de sesión de su banco e incluso ha alterado la visualización de la URL para que parezca legítima, puede ser engañado. Por otro lado, su gestor de contraseñas no ingresará sus credenciales guardadas, porque la URL del sitio falso no coincide con el dominio legítimo asociado a él.
Esa protección contra phishing es probablemente la característica más subestimada de todas. Si administras las contraseñas manualmente, copiando y pegando desde un archivo personal cifrado, pegarás tu nombre de usuario y contraseña en los campos correspondientes de esa página falsa bien diseñada, porque no te das cuenta de que es falsa.
4) Acceso multiplataforma
Los administradores de contraseñas funcionan en todos los dispositivos, incluidos PC, Mac y dispositivos móviles, y ofrecen la opción de sincronizar la base de datos de contraseñas cifradas con la nube. El acceso a ese archivo y a su contenido se puede proteger con autenticación biométrica y 2FA.
Por el contrario, si administras contraseñas en un archivo cifrado que se guarda localmente, tienes que copiar manualmente ese archivo a otros dispositivos (o guardarlo en la nube en una ubicación bajo tu control personal) y luego asegurarte de que el contenido de cada copia permanezca sincronizado. Más fricción.
5) Salvaguardia de la vigilancia
Los administradores de contraseñas generalmente ofrecen una buena protección contra el espionaje. Un atacante que pueda verte escribir, ya sea en vivo o con la ayuda de una cámara de vigilancia, puede robar tus credenciales de inicio de sesión con facilidad. Los administradores de contraseñas nunca revelan esos detalles
¿Existe algún caso contra los administradores de contraseñas?
Incluso armado con esos argumentos, cuando hago esa recomendación a otras personas, normalmente escucho las mismas excusas. Sin embargo, honestamente, ninguna de ellas resiste el análisis.
"Ya tengo un sistema perfectamente bueno para gestionar contraseñas".
Por lo general, este sistema implica reutilizar una contraseña base fácil de recordar de algún tipo, agregando un sufijo o prefijo especial a esa base en cada sitio. El problema con ese esquema es que esas contraseñas no son aleatorias y si alguien descubre su patrón, prácticamente tiene una llave maestra para desbloquear todo. Y un artículo de investigación de 2013 realizado por científicos informáticos de la Universidad de Illinois, Princeton y la Universidad de Indiana, The Tangled Web of Password Reuse, demostró que los atacantes pueden descubrir esos patrones muy, muy rápidamente .
Por supuesto, esto supone que hayas tomado algunas precauciones razonables con esa clave de descifrado. En concreto, que la hayas hecho lo suficientemente larga, que no pueda ser adivinada ni siquiera por alguien que te conozca bien y que nunca la hayas utilizado para nada más. Y si has activado la autenticación multifactor, le has dado a un ladrón de contraseñas otro obstáculo muy grande que superar.
Si necesitas una contraseña segura y única, puedes generarla en correcthorsebatterystaple.net , que utiliza la metodología sorprendentemente segura de este clásico dibujo animado de XKCD . Hay otros generadores de contraseñas aleatorias de alta calidad disponibles en 1Password, LastPass y Random.org .
Tampoco deberías escribir esa clave en una nota adhesiva o en un papel en el cajón de tu escritorio. Pero es posible que quieras escribir esa contraseña y guardarla en un lugar muy seguro o con una persona de confianza, junto con instrucciones sobre cómo usarla para desbloquear tu archivo de contraseñas en caso de que te pase algo.
"No confío en que otra persona almacene mis contraseñas en su servidor".
Entiendo la reacción instintiva de que permitir que un servicio en la nube conserve tu base de datos completa de contraseñas debe ser un riesgo de seguridad terrible. Como todo lo relacionado con la nube, existe un equilibrio entre la comodidad y la seguridad, pero ese riesgo es relativamente bajo si el servicio sigue las mejores prácticas de cifrado y has establecido una contraseña maestra segura.
Pero si simplemente no confías en la nube, tienes alternativas.
Varios de los administradores de contraseñas que he analizado ofrecen la opción de almacenar una copia local únicamente de su archivo cifrado AES-256, sin funciones de sincronización de ningún tipo. Si elige esa opción, tendrá que renunciar a la opción de usar su administrador de contraseñas en varios sitios o idear una forma de sincronizar manualmente esos archivos entre diferentes dispositivos.
Como punto intermedio, puedes utilizar un servicio de nube personal para sincronizar tus archivos de contraseñas. 1Password, por ejemplo, admite la sincronización automática con Dropbox y iCloud, lo que garantiza que estarás protegido incluso si uno de esos servicios se ve comprometido.
"No soy un objetivo."
Sí es usted.
Si usted es un periodista que trabaja en cuestiones de seguridad, un activista en un país cuyos líderes no aprueban el activismo, un miembro del personal de una campaña política de alto perfil o un contratista que se comunica con personas de sectores sensibles, es un objetivo de alto valor. Cualquiera que encaje en una de esas categorías debería tomar en serio la seguridad operacional, y un administrador de contraseñas es una parte esencial de un programa de seguridad bien estructurado.
Pero incluso si no eres un candidato obvio para ataques dirigidos, puedes ser víctima de una vulneración de tu contraseña. Por eso existe Have I Been Pwned?. Es bastante fácil que un sitio web comprometido te obligue a restablecer tu contraseña, lo que minimiza el riesgo de esa vulneración, pero si has utilizado esa misma combinación de credenciales en otro lugar, corres un grave riesgo. Y no importa lo cuidadoso que seas, siempre corres el riesgo de que te engañen para que entregues tus credenciales en un ataque de phishing bien diseñado.
¿Qué administrador de contraseñas es adecuado para usted?
Cualquier solución de gestión de contraseñas es mejor que ninguna.
La solución más sencilla es utilizar las herramientas de gestión de contraseñas integradas en el navegador o sistema operativo predeterminado. Esta opción funciona especialmente bien para quienes no tienen conocimientos técnicos, tienen un número limitado de credenciales para almacenar y utilizan hardware y servicios de un único ecosistema. Si estás configurando el sistema para un amigo o familiar que tiene un Mac y un iPhone, por ejemplo, el Keychain de Apple será suficiente. Aquellos que viven en el ecosistema de Google probablemente puedan arreglárselas con el administrador de contraseñas de Chrome.
Lo que es más importante, este tipo de esquema no es escalable. Al final choca con las reglas de contraseñas de un sitio que, por ejemplo, no permite caracteres especiales o restringe la longitud de las contraseñas (sé que es una locura, pero esos sitios existen). O un servicio te obliga a cambiar tu contraseña y no acepta tu nueva contraseña porque es demasiado parecida a la anterior y ahora tienes otra excepción en tu sistema que debes tener en cuenta.
Y así terminas guardando una lista cifrada de contraseñas que no son exactamente únicas ni aleatorias y que no son en absoluto seguras. ¿Por qué no utilizar un software creado para este fin?
"Si alguien roba mi archivo de contraseñas, tendrá todas mis contraseñas".
No, no lo tienen. Tienen un blob cifrado AES-256 que, a todos los efectos, es un galimatías inútil. La única forma de extraer sus secretos es con la clave de descifrado, que tú y solo tú conoces.
Para aquellos cuya vida informática es más complicada, una solución de terceros es la más adecuada.
Aunque la mayoría de los programas comerciales ofrecen una versión gratuita, esa opción suele implicar limitaciones inaceptables, como una restricción en la cantidad y el tipo de dispositivos que se pueden usar o en la cantidad de credenciales que se pueden guardar. Una excepción notable es Bitwarden, una aplicación gratuita de código abierto cuya versión gratuita no tiene tales limitaciones.
Para uso personal, la mayoría de las opciones comerciales con todas las funciones cuestan unos pocos dólares al mes; las suscripciones familiares suelen costar un poco más, pero permiten que cinco o seis miembros de la familia compartan una suscripción. Estos planes pagos suelen ofrecer también algunas funciones más avanzadas, como compatibilidad con autenticación basada en hardware y la capacidad de compartir contraseñas de forma segura.
Por último, la mayoría de los administradores de contraseñas comerciales incluyen planes empresariales que permiten la administración central y un uso compartido y una seguridad sólidos en la organización. Como beneficio adicional, algunos planes empresariales incluyen licencias personales gratuitas para que los empleados puedan administrar sus contraseñas personales con las mismas herramientas que usan para la empresa.
-
Seguridad
- Drones, vigilancia y reconocimiento facial: una startup llamada 'Sauron' presenta un sistema de seguridad para el hogar de estilo militar
- Conexión Segura NFS en Linux, Tunelizar NFS sobre SSH y Configuración de NFS sobre SSH para Mayor Seguridad
- ¿Olvidó su contraseña? Cinco razones por las que necesita un administrador de contraseñas
- Cómo limitar las conexiones SSH (puerto TCP 22) con ufw en Ubuntu Linux
- Utilizar ssh sin contraseña con ssh-keygen y ssh-copy-id
- Millones de teléfonos móviles podrían ser vulnerables a la vigilancia del gobierno chino
- Cómo limitar las conexiones SSH a la red local en Linux
- Los televisores inteligentes son como un «caballo de Troya digital» en los hogares
- Snort para Windows, detección de Intrusos y seguridad.
- Detección de Intrusiones con las herramientas: BASE y Snort.
- El Sistema de Detección de Intrusos: Snort. ( Windows y Linux )
- Configuración con Ejemplos de Snort para Windows, detección de intrusiones
- ¿El gobierno de EE. UU. ignoró la oportunidad de hacer que TikTok fuera más seguro?
- ¿Qué es SSH y cómo se utiliza? Los conceptos básicos de Secure Shell que necesitas saber
- Asegurar memcached del servidor, para evitar amplificar ataques DDoS
Redes: |
 |
 |
 |
Suscribete / Newsletter
El Top de LinuxParty
- Cambiar la Hora y la Fecha al sistema Linux
- Cómo configurar la tarjeta de Red Inalámbrica ( WiFi ) en Linux
- Manual para hackear una red wifi
- Cómo configurar el Modem USB o Tarjeta GPRS / 3G para Linux.
- 20 Comandos Netstat para Administradores de Redes Linux
- 29 Prácticos ejemplos de Nmap para Administradores de Sistemas / Redes
- Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac
- Exportar Bases de Datos de Access (MDB) a MySQL
- ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES)
- 20 ejemplos iptables para administradores de sistemas Linux
- Introducción a los comandos SNMP, snmpwalk, snmpget, snmptranslate...
- Cómo Montar tu Propio Wiki
- Cómo bloquear fotos e imágenes porno con SafeSquid, servidor proxy
- Instalar Microsoft Office en Linux (con Wine)
- Cómo Crear una Base de Datos MySQL e inicializar los privilegios.
- Programar y depurar en un IDE para PHP con Eclipse, plugins PDT, xdebug y Remote debug
- 40 cosas que probablemente no sepas sobre Linux
- Sexo, Violencia, y Tensión en los Juegos.
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux
- Renombrar multiples archivos masivamente en Linux (quitar espacios, cambiar mayúsculas) a la vez en Linux
Donar a LinuxParty
Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?
Tutorial de Linux
Últimos comentarios
- Buscar y reemplazar en Vim (1)
- En Italia ha caido un meteorito de más de 45.000 millones de años (2)
- Los mejores juegos de GNU/Linux – Una larga lista (1)
- Cómo configurar DRBD para replicar el almacenamiento en dos servidores CentOS 7 y 8 (1)
- Aprender a programar en Basic con QB64, La versión QuickBASIC para Linux, MacOS y Windows es la opción que las escuelas deberían escoger (2)
- Por qué Linux no triunfa en el Escritorio. (1)
- Configuración del servidor DNS en Linux (3)
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux (1)
- Q4OS hace que Linux sea fácil para todos (1)
- Cómo configurar un servidor de correo con Postfix y Dovecot para diferentes necesidades (9)