Evaluación de riesgos (II)

«Nuestra percepción de los riesgos es compleja y a veces hasta hipócrita. Por poner un ejemplo, un millón de personas mueren al año por malaria, el 70% son niños (una media de 3.000 niños al día, poca cosa comparados con las 24.000 personas que mueren de hambre al día)… Pero si echamos un vistazo a los datos de 2003, murieron escasamente 10.000 personas ese año a causa del terrorismo mundial, siendo muy generoso: Washington Post: 625 terrororism deaths in 2003

Jorginius, en un comentario de Meneame

*** Más sobre evaluación estúpida (o hipócrita) de riesgos: Cerdos contra tiburones

Elegir contraseñas seguras

En la actualidad y sobre todo en los países más industrializados, existe una dependencia creciente de la informática. Te gusten o no te gusten los ordenadores, te verás abocado a utilizados, serás obligado a usarlos. Con toda probabilidad usarás el correo electrónico para comunicarte y con toda probabilidad guardarás en tu pc (bien en el de casa, bien en el del trabajo) información sensible o privada que no pueda (o deba) ser vista por personas sin consentimiento previo.

Entendido este punto la necesidad de utilizar contraseñas seguras para nuestro correo, o para iniciar sesión en nuestro sistema, es muy importante, pues de lo buena o mala que sea nuestra contraseña puede depender que nuestros datos, nuestro trabajo o nuestra vida privada estén a salvo.

Sé que algunos de los que leerán esto pensarán que esta anotación no tiene mucho sentido, que esto ya lo sabe todo el mundo, pues… lo tiene para la mayoría de la gente que lo leerá. Pues las contraseñas utilizadas normalmente en servicios online como hotmail, myspace u otros portales suelen tener carencias como las que vamos a señalar aquí.

En el caso de que alguien nos robe el ordenador estaremos jodidos (eso de partida, es obvio pero tiene que quedar claro), pero en el caso de que se obtenga acceso in-situ a nuestro pc (sin poderlo mover) una buena contraseña puede ralentizar el proceso de modo que quien sea no tenga tiempo de acceder. Uno de estos programas, como PRTK (password recovery toolkit) en un ordenador actual (PIV a 3GHz) puede probar 350.000 contraseñas por segundo en el caso típico de un documento de MS Word protegido con contraseña; para el caso de ZIP protegidos la protección (el cifrado de la contraseña) es mejor y sólo prueba 900 combinaciones por segundo. Con estas cifras está claro que cuanto más compliquemos el acceso más tiempo ganamos.

¿Cómo elegir una contraseña segura?

Hay varios factores a tener en cuenta a la hora de escoger una contraseña segura.

  1. Hay que evitar son las contraseñas «tontas»: qwerty,abc,123456,hola,password,realmadrid,bobby y demás tonterías. Ni nombres de equipos de fútbol, ni de tu perro, ni de personas, ni saludos… No hay más de mil o dos mil palabras como estas. A razón de 350000 por segundo para cuando quieras enterarte ya habrán leído ese documento que tú habías guardado en Word con contraseña. En unos segundos habrán acertado, así que estas son las primeras contraseñas que tenemos que evitar.
  2. La contraseña no debe ser una palabra de diccionario. Muy fácil, lo sé. Pero es que los programas que intentan asaltar cuentas por fuerza bruta lo hacen empleando diccionarios que contienen palabras que van revisando constantemente. Esos diccionarios constan de palabras de diccionario, pero probarán también las opciones que se obtienen al añadir un número delante (o detrás) de la palabra. Ya que de este modo se pueden asaltar más del 25% de las claves en
  3. La contraseña debe tener letras, números y símbolos ($%&();”), siempre recordando lo que ya hemos dicho de contraseñas tipo “palabra+sufijo_numérico”. Una contraseña típica (8 caracteres) que no esté incluida en ningún diccionario y que sólo use minúsculas tendrá 828 posibilidades (un número con 27 cifras), mientras que una contraseña que además use mayúsculas, números y símbolos tendrá 8255 posibilidades (¡un número con 226 cifras!). Y si la contraseña es más larga (digamos 12 caracteres) esta cifra aumenta muchísimo (12255).
  4. Vale, me has convencido, pero ¿cómo construyo una contraseña segura que sea fácil de recordar? Pues yo usaría Diceware, aunque también podéis probar un método de sintaxis vivas.

Y esto es todo. Ahora ya saben, si siguen estas pequeñas normas tendrán contraseñas algo mejores y se evitarán algún que otro susto…

CryptoPhone, el teléfono móvil con cifrado

¿Eres un paranoico de la criptografía? ¿Crees que tus conversaciones están siendo analizadas aunque no haces nada que así lo merezca? Pues aquí tienes otra piedra para defenderte: Un móvil que incorpora cifrado (Vía Cortell). El teléfono en cuestión es un CryptoPhone y según dicen ellos mismos son el primer teléfono en venir equipado integramenteRead More…

Ingeniería Social

«La ingeniería social funciona mejor con las grandes compañías, porque los empleados no se conocen entre sí y puedes hacerte pasar por ellos. En general, la ingeniería social es una técnica más rápida que ponerte a buscar vulnerabilidades en sus ordenadores, la razón es la estupidez de la gente. Se hizo una prueba en una estación de metro de Londres, donde se regalaba un bolígrafo a quien revelase la contraseña de su ordenador. El 70% de personas aceptó el cambio».
Kevin Mitnick, que ya ha aparecido antes por aquí