Inicio > Blog > Contraseñas: la primera (pero no única) línea de defensa digital

Contraseñas: la primera (pero no única) línea de defensa digital

Las contraseñas son una parte esencial de nuestra vida digital. Pero a pesar de su omnipresencia, existe mucha confusión en torno a las contraseñas y cómo deben usarse correctamente. En esta publicación, volveremos a lo básico y analizaremos las contraseñas en general junto con algunos problemas y soluciones específicos.

contraseñas

Muchas personas utilizan contraseñas débiles, como el nombre de una mascota para un sitio web o un cumpleaños como código de acceso telefónico (ambos fácilmente discernibles en las redes sociales). De hecho, las violaciones de datos revelan que 123456 es consistentemente el contraseña más utilizada! Si bien estos pueden tener la ventaja de ser fáciles de recordar, también facilitan que un adversario adivine su contraseña por fuerza bruta.

La forma más sencilla de crear y recordar contraseñas complejas es utilizar un administrador de contraseñas. Para contraseñas que no debes almacenar en un administrador, puedes usar tres palabras al azar para crear una contraseña que sea lo suficientemente compleja pero que aún sea fácil de recordar. Esto se tratará con más detalle en la próxima publicación de esta serie, pero, por ahora, las contraseñas que debes crear y recordar manualmente son:

  1. Contraseñas para tus dispositivos.
  2. Contraseña maestra para su administrador de contraseñas.
  3. Contraseña para sincronizar sus contraseñas entre dispositivos (si es diferente de la contraseña maestra).
  4. Contraseña de su cuenta de correo electrónico.

Además de las contraseñas débiles, otro error común es reutilizar la misma contraseña para múltiples servicios. El problema con esto es que si se ve comprometida en una ubicación, esa contraseña permitirá el acceso a sus datos en todas las demás ubicaciones en las que la haya utilizado.

Pero, ¿por qué debería importar esto si nunca revela su contraseña a un tercero? El problema son los servicios que almacenan tus datos. Los proveedores de servicios responsables deben cifrar su contraseña cuando la almacenan y utilizar un número aleatorio (llamado salt) para hacerla aún más difícil de descifrar. Si un proveedor no hace esto o comete un error al implementar el cifrado, es posible que un adversario pueda obtener su contraseña sin que usted la revele. Si ha reutilizado la misma contraseña con otros servicios, el adversario ahora tiene acceso a su información confidencial en múltiples ubicaciones.

Así, para contener el daño causado por una contraseña comprometida, deberías utilizar un complejo y único Contraseña para cada servicio.

Candados

Una contraseña es análoga a la combinación utilizada para abrir una caja fuerte. La combinación no es lo único que protege el contenido de una caja fuerte contra accesos no autorizados: la propia cerradura desempeña un papel crucial.

En el mundo físico, los adversarios pueden acceder a la caja fuerte sin la combinación: una cerradura débil puede forzarse (análoga a adivinar una contraseña por fuerza bruta), destruirse o eludirse (análoga a un hackeo), o incluso puede que ni siquiera limite el acceso en el primer momento. lugar, si hay otras formas de acceder.

En el mundo digital, la mayoría de los proveedores de la nube utilizan bloqueos débiles porque su personal puede acceder a sus datos en sus sistemas. Este 'bloqueo' débil puede ser la vulnerabilidad que utiliza un adversario para obtener acceso a su información coaccionando al personal u obligando a la empresa a entregar sus datos.

Una ventaja que tiene el mundo digital sobre el mundo físico es el cifrado. En principio, el cifrado es el bloqueo definitivo. Sin la clave, un adversario necesitaría adivinar la contraseña, lo que llevaría un tiempo imprácticamente largo, siempre que la contraseña sea lo suficientemente segura.

En general, las plataformas en línea con bloqueos fuertes probablemente tendrán el cifrado como uno de sus principales puntos de venta. Por lo tanto, debes saber cuáles de tus servicios utilizan cerraduras fuertes y cuáles no. Desafortunadamente, muchos servicios han adoptado un lenguaje relacionado con el cifrado de extremo a extremo y el cifrado en reposo, por ejemplo, que sugeriría la presencia de un bloqueo fuerte, pero usan esos términos para significar algo más. Por lo tanto, deberá examinar los servicios de cerca y buscar términos como “conocimiento cero” o declaraciones que afirmen que solo usted puede acceder a sus datos. Leer reseñas en línea puede ayudar con esto. Otro buen indicador de la presencia de un bloqueo fuerte es una advertencia de que restablecer la contraseña le hará perder el acceso a sus datos si no ha configurado previamente un método de recuperación de cuenta.

De manera similar, una buena indicación de que su dispositivo está usando cifrado es si recibió una advertencia durante la configuración sobre la pérdida de sus datos si olvida su contraseña. También puede comprobar la configuración de BitLocker en Windows o FileVault en macOS, por ejemplo.

Desviaciones

Desafortunadamente, verificar todos sus bloqueos metafóricos para asegurarse de que utilicen cifrado y asegurarse de que todas sus contraseñas sean complejas y únicas no es suficiente, porque las contraseñas se pueden omitir.

Muchos teléfonos inteligentes y otros dispositivos permiten a los usuarios evitar ingresar su contraseña proporcionando datos biométricos, como su huella digital o su rostro. Esto no debilita el bloqueo (todavía se basa en cifrado) y la seguridad de su contraseña es irrelevante. Tu rostro y tus huellas dactilares son ahora otro factor que debes proteger de un adversario. El curso de acción más seguro es sacrificar la usabilidad y desactivar esta funcionalidad.

Este problema no se limita a la biometría. Un adversario que comprometa su cuenta de correo electrónico puede usar la función de restablecimiento de contraseña en otro servicio al que desee acceder para evitar tener que ingresar la contraseña correcta. Además, algunas plataformas permiten el acceso a un dispositivo a través de una cuenta en línea. Por ejemplo, los dispositivos Apple y aquellos que ejecutan Windows pueden usar cuentas de iCloud y Microsoft respectivamente para desbloquear cualquier dispositivo conectado a estas cuentas de forma remota. Configurar la autenticación de dos factores (2FA) en su cuenta de correo electrónico puede mitigar estas amenazas.

Finalmente, a ti puede ser el bypass. El phishing se utiliza comúnmente para obtener credenciales de inicio de sesión para dispositivos y cuentas. La autenticación de dos factores puede mitigar esto nuevamente. Dada la importancia, cubriremos 2FA para dispositivos y servicios en una publicación futura de esta serie.

Conclusión

Es fundamental que sigas los consejos habituales de utilizar contraseñas complejas y únicas para proteger tu información. Sin embargo, este no es el único factor que debes considerar; También es necesario examinar las "cerraduras" y las posibles derivaciones. Hacer esto garantizará que el esfuerzo que ponga en las contraseñas tenga el beneficio de seguridad que espera. En la próxima publicación, veremos los administradores de contraseñas y cómo pueden ayudarlo en esta tarea.