Recupero la serie #MundoHacker, donde tratamos las medidas para atacar y/o defenderse en el mundo digital, centrándonos hoy en lo que podría ser un repaso de los sistemas de verificación personal con los que contamos actualmente para acceder a nuestros perfiles, dispositivos y en definitiva, a cualquier servicio tecnológico.
Y es que me he dado cuenta que, aunque lo que vayamos a hablar en estas dos entradas no será nada nuevo para un lector de este blog, todavía no contaba con un post recopilatorio de algo que usamos tan a menudo, y que lamentablemente, es uno de los principales vectores de ataque de la actualidad.
Esquemas de seguridad
Básicamente, un sistema de seguridad se basa en uno de estos tres puntos: el conocimiento (un PIN, una contraseña, un gesto), la posesión (un dispositivo, un servicio) y la inherencia, o herencia (ojos, rostro, huella dactilar). Puesto que uno de ellos es fácilmente suplantable, se intenta recurrir a la verificiación en dos pasos, usando para ello dos de los tres puntos de un esquema de seguridad (por lo general conocimiento y posesión).
Esquemas de seguridad basados en el conocimiento
Son los más habituales, y presentes en casi todos los servicios que usamos. Así es como podemos hablar del Patrón y de la Contraseña.
El primero, como bien sabéis, se basa en el dibujo de un símbolo específico frente a un esquema dado (por ejemplo, el sistema de patrón de Android, que tiene varios puntos que usaremos como vértices para dibujar con el dedo la figura elegida) o frente a una imagen (como nos encontramos en Windows8).
Como principales ventajas, está el hecho de ser muy rápido y fácilmente recordable, lo que nos lleva ineludiblemente a sus desventajas, que son precisamente las misas (fácilmente reproducible y normalmente bastante rápido de obtener). Para colmo, hay métodos físicos (descontando la ingeniería social) que lo hacen aún más vulnerable, como ya vimos en la entrada Formas de explotar la seguridad de tu smartphone.
Hablando de contraseñas, nos encontramos con más de lo mismo. Un sistema que podría ser muy efectivo si se cumplieran a rajatabla las siguientes restricciones:
- Contraseñas cuanto más largas mejor (superior en todo caso a 6 carácteres), y que incluyan mayúsculas, minúsculas, números y signos (lo cual puede llevar a la desesperación a más de uno).
- Tanto si es el usuario quien las crea, como el propio sistema, las contraseñas no deben tener un sentido explícito, ni estar formadas por la sucesión de palabras (y mucho menos usar bibliotecas de palabras para crearlas).
- Una contraseña distinta para cada servicio.
- Cambiar regularmente la contraseña.
Cuatro puntos que nadie cumplimos. Así de sencillo. Y luego pasa lo que pasa. La cosa se agrava cuando esa cuenta es usada como OAuth, es decir, sirve además para loguearte en otros dispositivos/servicios, o cede información para terceros. En ese caso (como ocurre con las cuentas de Google, Facebook o Twitter, por poner un ejemplo), el que se nos vulnere esa contraseña significa perder el control de todos los servicios externos además del propio servicio de la compañía, llegando al punto de poner en peligro nuestra propia identidad digital. Un fallo de seguridad muy gordo.
En el siguiente artículo, hablaremos de los métodos de identificación basados en la posesión y la herencia, además de un un corolario al respecto.
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Muy cierto Pablo, pero he visto todos los ataques que se han producido algunos meses en el caso de hotmail. Por lo que he visto ahora tiene hasta 16 caracteres. Y tambien en servidores. Que opinas sobre programas como el caso de lastpass no se si lo conoces, ya que se que de estos temas controlas bastante. ¿Hasta donde se puede estar protegido en internet?, porque aunque como pasa con windows 8 que cada X tiempo tenemos actualizaciones, lo mismo que wordpress que ya estan pasando para salir la version beta…
LastPass es una buena alternativa siempre y cuando la propia herramienta sea segura. Y por ahora lo es. Pero claro, también corres el peligro de conectarte a una red pública y que te hagan un MITM de cajón, con lo que acabas cayendo como el resto.
Dicho esto, y acostumbrándose al uso de LastPass, la verdad es que la seguridad aumenta. Pero aquí entra en juego la comodidad o necesidades del usuario, ya que si bien LastPass te permite conectarte desde casi cualquier SO, no es tan inmediato como una contraseña segura al uso, y para usuarios como un servidor que tienen por trabajo que conectarse continuamente desde distintos dispositivos, la cosa se complica.
Y más que el número de caracteres, lo importante es la diversidad de ellos. De nada sirve poner 16 caracteres si lo que escribes es una frase con sentido. Por supuesto, en igualdad de dificultad, y cumpliendo todos los puntos arriba mencionados, una contraseña de 16 caracteres es mejor que una de 8.