Contratando ahora: ¿Eres un ingeniero TI motivado y con ganas de trabajar?

Blog

Seguridad en passwords, las contraseñas mas usadas de 2017

Seguridad en passwords, las contraseñas mas usadas de 2017
Seguridad TI / Technology

Seguridad en passwords, las contraseñas mas usadas de 2017

Seguridad en passwords, las contraseñas mas usadas de 2017

Seguridad en passwords. Cada año SplashData recopila una lista de las contraseñas más populares y usadas en el mundo, basándose en millones de datos de inicio de sesión robados y publicados durante los últimos 12 meses. Y cada año nos queda claro que merecemos todas las veces que nos hackean. 2017 no es la excepción.

 Es probable que ya conozcas cuáles son las dos contraseñas más populares en todo el mundo: según el análisis de más de 5 millones de contraseñas filtradas, las más usadas son “123456” y “password” (contraseña). Sin embargo, este año han añadido a la lista algunas nuevas y nada ingeniosas, incluyendo “starwars”, “monkey” (mono), “iloveyou” (te amo), “whatever” (lo que sea) y “freedom” (libertad), entre otras. Irónicamente, también se han hecho populares las contraseñas “letmein” (déjame entrar) y “trustno1” (no confíes en nadie). SplashData considera a una contraseña popular como nueva si no estaba en la lista del año pasado. seguridad en passwords, las contraseñas mas usadas de 2017 

“Desafortunadamente, aunque la nueva película sea un fantástico nuevo episodio para la saga de Star Wars, es peligroso usar “starwars” como tu contraseña”, afirmó en un comunicado Morgan Slain, director ejecutivo de SplashData. “Los hackers están usando términos populares de la cultura pop y los deportes para acceder a cuentas en internet porque saben que muchas personas las usan como contraseñas, gracias a lo fáciles que son de recordar”.

SplashData espera que publicar esta lista incentive a las personas a preocuparse más por su seguridad en internet. No obstante, tomando en cuenta los datos de 2016 y los de este año, seguimos siendo un montón de idiotas. Nuestras contraseñas son tan débiles que estamos a merced de los hackers más novatos.

Seguridad en passwords, las contraseñas mas usadas de 2017

SplashData también menciona que las contraseñas evaluadas para la lista de este año provienen, en su mayoría, de usuarios norteamericanos y europeos, y no utilizaron las contraseñas filtradas por los ataques a páginas web para adultos o el hackeo a Yahoo.

Lo invitamos a leer ¿Qué es el Growth Hacking? ¿Cómo el software está comiendo el mundo?

Una buena contraseña debería ser larga y no incluir frases comunes. Además, dado que cada vez las filtraciones de datos son más comunes, es importante no usar la misma contraseña para varios sitios. Un gestor de contraseñas no solo puede ayudarte a no olvidarlas, sino también a crear contraseñas seguras.

Puedes ver la séptima lista anual de SplashData de las contraseñas más populares a continuación, en orden y tomando en cuenta cómo cambió con respecto al año pasado. Debo decir: estotienequeserunabroma1234.

123456 (Sin cambios)
Password (Sin cambios)
12345678 (Subió 1 posición)
qwerty (Subió 2 posiciones)
12345 (Bajó 2 posiciones)
123456789 (Nueva)
letmein (Nueva)
1234567 (Sin cambios)
football (Bajó 4 posiciones)
iloveyou (Nueva)
admin (Subió 4 posiciones)
welcome (Sin cambios)
monkey (Nueva)
login (Bajó 3 posiciones)
abc123 (Bajó 1 posición)
starwars (Nueva)
123123 (Nueva)
dragon (Subió 1 posición)
passw0rd (Bajó 1 posición)
master (Subió 1 posición)
hello (Nueva)
freedom (Nueva)
whatever (Nueva)
qazwsx (Nueva)
trustno1 (Nueva)

Cuando estamos realizando proyectos de seguridad, desde cualquier punto de vista, casi siempre hablamos, en uno u otro momento, con el departamento de Sistemas, Explotación, Informática Interna, o como en cada caso se llame el grupo de personas que gestionan los sistemas y comunicaciones internos a una organización (servidores, aplicaciones, routers…). Este grupo de trabajo —llamémosle Sistemas, para aclararnos— es el que, total o parcialmente, dispone de las contraseñas de acceso privilegiado al entorno tecnológico de la organización, y por tanto es responsable de la custodia y protección de estos passwords.

Los passwords en cualquiera de sus modalidades y con cualquiera de sus restricciones (OTP, envejecimiento…) tienen como objetivo proteger el acceso a la información y a los sistemas que la tratan mediante algo que el usuario sabe.

Resulta comprensible, pero chocante, que para estos departamentos la información más sensible de la empresa sea, en la mayor parte de ocasiones, el fichero de contraseñas privilegiadas de las máquinas corporativas. Casi todos utilizan —utilizamos— sistemas cifrados para su gestión (Password Safe, Password Gorilla…), con unas restricciones de acceso en muchos casos durísimas y reservadas únicamente al personal del grupo en cuestión (como debe ser, dicho sea de paso).

Obviamente, me parece muy bien que las contraseñas que dan privilegios totales en los sistemas estén almacenadas de forma segura y el acceso a las mismas esté estrictamente controlado, pero bajo mi punto de vista, en muchos casos nos olvidamos de lo que realmente protegen esos passwords: la información corporativa, que es lo que tiene valor para la organización.

En ocasiones no somos conscientes de que las claves no dejan de ser una mera llave para el acceso a esa información, pero que mucho más importante que esta llave es lo que ésta custodia. Por tanto, quería hacer un par de reflexiones acerca de la seguridad que le damos a las claves para conocer vuestra opinión. Ahí van:

La primera de estas reflexiones es preguntarme por qué todos usamos cifrado para las contraseñas de acceso a las máquinas, pero muy pocos la usamos para proteger la información que hay en esas mismas máquinas (por ejemplo cifrando a nivel de volumen o de archivo). Lo que conseguimos si no protegemos datos a diferentes niveles es un modelo binario: o tienes la clave de “root” y accedes a todo, o no la tienes y por tanto no accedes. Debemos cifrar la información si queremos protegerla de forma adecuada, porque si no lo hacemos, demasiada gente tendrá acceso a ella —incluidos todos los administradores de sistemas—.

Léase también: La neutralidad de la red

La segunda hace referencia también a un modelo binario de acceso: el departamento de Sistemas al completo suele tener acceso a todas las claves de una forma demasiado sencilla: o eres del área y accedes, o no eres y no accedes. ¿Por qué el último que entra al departamento de sistemas tiene acceso total a las contraseñas? Esta situación, desde el punto de vista de seguridad, me parece una aberración; dentro de un grupo de Sistemas hay personas de diferente nivel de confianza en la organización, por lo que no todos deben acceder a todo.

Yo puedo tener confianza ciega en el responsable de sistemas (por ejemplo), pero no tengo por qué tenerla en una persona que acaba de incorporarse al departamento. ¿Es realmente necesario darle todas las claves a esta persona? Bajo mi punto de vista deben establecerse círculos de confianza dentro del grupo, y únicamente facilitar las contraseñas necesarias a cada persona para que desarrolle correctamente su trabajo en el día a día.

Siempre he opinado que un password debe protegerse de forma adecuada, especialmente los de usuarios privilegiados, pero también he pensado siempre que ese mismo password se cambia en un segundo, mientras que la planificación estratégica de la empresa no. Proteger mis contraseñas es, IMHO, correctísimo, pero no debemos olvidarnos de lo que a su vez protegen esas contraseñas.

De seguro estar harto escuchar esto. Las exhortaciones no funcionaron en 2016 y no van a funcionar ahora. Por supuesto. Pero la verdad es que necesita un administrador de contraseñas, y vale la pena tomarse el tiempo para configurar uno. En este punto, incluso sus deficiencias demuestran cuán vitales son.

Una investigación de Princeton muestra en la práctica, sin embargo, por qué los expertos en seguridad han advertido sobre la autocompletación durante tanto tiempo. El equipo encontró rastreadores que explotaron el autocompletado de administración de contraseñas en más de 1,000 sitios web, no un número asombroso, sino una señal de que la tecnología se está implementando y puede estar extendiéndose.

Las compañías de seguimiento de datos que los investigadores analizaron, AdThink y OnAudience, no llegan a recopilar contraseñas, y afirman que protegen la privacidad mediante hashing (codificación aleatoria) de las direcciones de correo electrónico que recopilan utilizando los protocolos de cifrado estándar. Pero Acar y el coautor Arvind Narayanan señalan que los valores hash de las direcciones de correo electrónico se pueden usar como identificadores únicos para crear perfiles de usuario para la publicidad. Y las empresas no están en desacuerdo con que este sea su objetivo.

Seguridad en passwords, las contraseñas mas usadas de 2017

Todos los administradores de contraseñas, incluso las livianas opciones dentro del navegador, intentan identificar fraudes y esquemas de phishing y evitar la exposición de datos. Pero 1Password Goldberg argumenta que la arquitectura subyacente de los navegadores dificulta que los administradores de contraseñas lo hagan de manera efectiva en todos los casos. “Existen las protecciones que todos tenemos para asegurarnos de no llenar las credenciales de paypal.com en paypal.evil.com”, dice. “Todo el mundo tiene defensas contra eso. seguridad en passwords, las contraseñas mas usadas de 2017 

Es de esperar que ahora esté convencido de que realmente empiece a usar un administrador de contraseñas. ¿Derecha? Derecha. Así que aquí está cómo hacer exactamente eso, con dos de los proveedores más destacados.

1 Password

1Password es conocido por priorizar la seguridad fuerte y deliberada, y ha tenido pocos lapsos o infracciones notables desde su lanzamiento en 2006.

LastPass

este es uno de los administradores de contraseñas más conocidos del mercado. Funciona con numerosas plataformas y los usuarios pueden acceder a la mayoría de sus funciones de forma gratuita.

1PASSE

Solo para memorizar solo una contraseña de inicio de sesión para tomar el control de 1Passe, y
1Passe controlará todo el resto de forma sencilla y segura. seguridad en passwords, las contraseñas mas usadas de 2017 

Melanie Ehrenkranz. (2017). Las 25 contraseñas más populares de 2017 siguen demostrando que nos merecemos todos los hacks. Enero 04, 2018, de Gizmodo Sitio web: https://es.gizmodo.com/las-25-contrasenas-mas-populares-de-2017-siguen-demostr-1821443791

Antonio Villalón. (2009). La seguridad de los passwords. Enero 04, 2018, de Security Artwork Sitio web: https://www.securityartwork.es/2009/07/16/la-seguridad-de-los-passwords/

Referencia 1Passe: http://flowever.net/1passe/index.html

seguridad en passwords, las contraseñas mas usadas de 2017 

etiquetas:

Seguridad en passwords, las contraseñas mas usadas de 2017

Archivos

Contáctanos