Estas aquiContenido / El peligro de reutilizar contraseñas
El peligro de reutilizar contraseñas
Si la seguridad de tus datos te importa, nunca -y digo nunca- utilices la misma contraseña en varios servicios web.
Lo sé; es incómodo tener una contraseña diferente para cada sitio, pero no queda más remedio. Una vez más, la comodidad es el peor enemigo de la seguridad. Basta con pararse a pensar un poco en lo mucho que cedemos a un desconocido cada vez que nos registramos en un sitio, y en lo que puede hacer con ello un webmaster (o blogger) deshonesto.
Para ilustrar el asunto, nada mejor que un ejemplo...
Imagina que sucumbes a los atractivos de juanqueripranker punto com, un sitio que te desvelará los arcanos secretos del jaqueo de cuentas XMail (sustitúyase "X" por Hot, G, etc...) con una sola condición: que te registres, con un alias y un e-mail, para poder acceder a sus maravillosos contenidos.
En una gran mayoría de los casos, es completamente cierto que el webmaster de juanqueripranker punto com sabe perfectamente cómo acceder a tu cuenta de XMail... sólo que no se necesita ninguna "magia" para ello, sino que eres tú mismo quién le cuenta cómo hacerlo.
No hay ninguna duda de que un gran porcentaje de los usuarios que se registren en juanqueripranker punto com lo hará suministrando su propia dirección de Xmail, y un porcentaje nada desdeñable de ellos utilizará la misma contraseña con la que acceden a su correo web.
El deshonesto responsable de juanqueripranker punto com ya tiene las llaves del reino. Le basta probar a entrar con esas mismas contraseñas en las cuentas de correo asociadas. En un buen número de casos lo logrará sin problemas. Así que si un buen día recibes un correo diciendo que tu cuenta ha sido secuestrada y debes pagar un rescate para recuperarla, además de denunciarlo, debes hacer un examen de conciencia.
Es cierto que los sistemas habituales de publicación de contenidos no guardan las contraseñas, sino sus hashes (resúmenes en caracteres hexadecimales de longitud fija), pero eso no representa mucho problema para un webmaster deshonesto con acceso directo a esos datos. De hecho, si su propósito es esencialmente malicioso, puedes dar por seguro que ni siquiera se molestará en "hashearlas" antes de guardarlas, sino que las atrapará en texto claro.
Pero aunque el webmaster del sitio donde nos registramos sea la persona más honesta del mundo, seguimos estando en peligro si reutilizamos contraseñas. El problema ocurre cuando un intruso se apodera de nuestros datos de registro, por un fallo en la aplicación o en el servidor, o por una mala gestión de la seguridad. En este caso puede que la obtención de las contraseñas en claro requiera algo más de esfuerzo (ataque de diccionario, fuerza bruta o rainbow tables), pero de cualquier manera no tardarán demasiado en caer las contraseñas más débiles. Si el atacante dispone también de las correspondientes direcciones de correo (como suele ser habitual), y si no nos hemos tomado la molestia de utilizar para el registro una contraseña diferente de la que usamos para acceder a nuestra cuenta de correo, mal asunto.
Para acabar, unos consejos sencillitos.
Webmaster honestos: utilizad sistemas de gestión de contenidos que no guarden las contraseñas en claro, sino pasadas antes por una función de hash (MD5 o SHA), preferiblemente con un salt añadido y si es posible que ese salt incluya un identificador secreto específico del sitio. Y otro consejo: si no pensáis espamear a vuestros usuarios, quizás ni siquiera necesitáis pedir ni almacenar sus direcciones de correo. Menos preocupaciones para vosotros y menos riesgos para vuestros usuarios (Kriptópolis es un ejemplo práctico al respecto).
Usuarios: una contraseña para cada sitio. Cada vez que os registráis y no lo hacéis así, estáis regalando a un extraño las llaves "secretas" de vuestro existencia virtual. Si el atacante entra en vuestro correo web, también puede intentarlo con vuestra cuenta Paypal, eBay, etc, etc., donde seguro que también habéis repetido contraseña. Aún más: a partir de la lectura de vuestros correos, puede obtener muchas más pistas sobre otros servicios donde también podría intentar suplantaros.
Como véis, el famoso jaqueo de cuentas de correo tiene poco de magia y mucho de descuido (por nuestra parte) y de caradura (por la parte ajena).
pero claro, solo las de los sitios gualtrapas, las de gmail, ebay, etc no.
claro, yo hago exactamente lo mismo... tengo 3 contraseñas, como de diferentes niveles. Una de ellas para foros (x ejemplo), y la otra para mi gmail. Luego tengo una para mi servidor que seria la mas critica.
La contraseña mia de foros realmente no me interesa mucho, por lo que si alguien la descubre la verdad no tengo ningun problema... entonces la repito en todos los foros :P
yo utilizo tres contraseñas, con tres usuarios distintos, eso genera nueve posibles combinaciones, de las que siempre acabo acordandome y no es tan laborioso como tener un usuario y una contraseña para cada sitio. Es posible que se repitan combinaciones, pero no creo que haya que ser tan paranoico :P
para sitios web donde tengo que registrarme para acceder a los contenidos siempre uso la misma contraseña, en todos...
ahora bien esa contraseña no tiene nada que ver con las de hotmail, gmail, o cualquier otro sitio donde mi identidad sea importante para mi, que por supuesto no se repite entre ellos.
Yo también uso una contraseña gualtrapa para sitios gualtrapa, pero es que además para ello también tengo una cuenta de correo gualtrapa. No voy a usar mi cuenta de correo habitual y limpita de spam...
hola, respecto a tu cuenta limpia, ésta, en cuanto vaya a parar al ordenador de un usuario troyanizado...
Un truco, usad la misma contraseña de siempre y al final añadís las 3, 4, o 5 primeras letras del sitio en el que os registreis (o todas si queréis). Por ejemplo:
Contraseña base: p3p!t0
Contraseña para kriptópolis: p3p!tokrip
Contraseña para gmail: p3p!togmail
Contraseña para yahoo: p3p!toyah
Y luego ya ponerle imaginación al asunto ;)
Un saludo!
Para este caso, no es útil. Ya que si la tiene la contraseña el atacante, verá fácilmente cual es tu patrón para generar las contraseñas al terminar o contener una parte de su nombre de dominio.
Otro peligro es la famosa pregunta para recuperar las contraseñas, la gente suele poner la misma o parecida. Así que si tienen una contraseña, pueden mirar cual era tu respuesta a la pregunta de recuperación de contraseñas y utilizarla para otras cuentas.
Yo es lo que hago, por si alguien con quien chateo me pregunta cosas personales que luego haya puesto como respuesta a estas preguntas. Por ejemplo, si elijo como pregunta "Mascota favorita" puedo poner de respuesta "akh37y4rhhf73_89" que seguro que no responderá ni yo ni nadie.
Eso sí, si se me olvida la contraseña, que no me pregunten...
To creo que si sirve, dije que hay que usar la imaginación.
Si soy el administrador que roba y mira el patrón, veré que es p3p!t0+nombre del servicio, pero no sabré si ha usado 2, 3, 5 letras, todas, combinaciones con números, etc.
No es lo mismo p3p!t0g0,
que p3p!t0g00,
p3p!t0g00gl3,
p3p!t0go0gl3,
p3p!t0g0ogle... y tienes una barbaridad de posibilidades.
Incluso por poder, podrías poner en unos el patrón del servicio delante y en otros detrás.
En fin, un montón de posibilidades.