Autenticación: Crear contraseñas seguras.. ¿seguro? (3)

#R€c@piTul4nDo#

()

1-CCS, 3
CapturaAutenticación: Crear contraseñas seguras.. ¿seguro? (1)
2-CCS, 3
CapturaAutenticación: Crear contraseñas seguras.. ¿seguro? (2)

#[r€@r c0NtR4$3ñ@s r0bU$Tas#

Tal y como dije en losdos– <anteriores artículos> laelecciónde una #buena contraseñapara cualquier cosa, especialmente para servicios <web>, puede derivar en un #pequeñito# dolor de cabeza (cuando menos). Las #características# –según mí opinión que debe tener una buena #password# para que sea <segura> (es decir; difícil de averiguar.. bien sea pormedios #técnicos#- o a través de <ingeniería social>) son:

3-CCS, 3

* ¿Para qué nos puede servir una password compleja en servicios online? *

Vamos a #imaginar# (pensar) uno de losmuchos– <servicios online“> que existen y en el que nos gustaría o queremos #registrarnos#. <Juegos ·online·<, #redes sociales#, etcétera, dónde protegeremosnuestrapassword“- frente a posibles <ladrones deidentidad“>.

En estos #ejemplos# y si el <servidor> que ofrece dichosserviciosno ha hecho las cosas correctamente , nuestra #contraseña# ·compleja· no nos va a servir (ni proteger) absolutamente de nada (o casi). Ya sea una <contraseña> de las más sencillas (como una simple cadena de8 caracteres-) compuesta de <letras y números>.

Veamos entonces que es lo que el #servidor# de estos servicios podría llevar a cabo:

4-CCS, 3

Si el <servicioonline“> nos da la #posibilidad# de poner un <segundo factor de autenticación> para dar protección a nuestras cuentas; como por ejemplo <Google authenticator>, el envío de un <SMS> o utilizar una aplicación llamadaLatchdel #Dr. Maligno# (esta es una opción muy <recomendable>).

5-CCS, 3

El <servidor> tiene que #evitar# que se lleven a caboinfinidadde intentos depasswordhacia una cuenta, os dejo aquí un <ejemplo>. También deberá <evitar> los #ataques# defuerza bruta– <online> (desactivaciones parciales), añadir una #segunda verificación# a dicha cuenta, bloquear direcciones IPtemporales, y así podemos seguir (lo que va siendo un <etcétera>).

Evitar también el ataque acontraseñasde <8 caracteres> o de mayor #complejidad#.

6-CCS, 3

De la misma forma que se ha de tener en cuenta (controlar) cuando se provoca un #ataque# defuerza bruta– (o de <diccionario>) a una #password#, hay que tener en cuenta también que se puede llevar a cabo al <nombre deusuario“> fijando para ello una #contraseña# (este #ataque# está explicado aquí). De igual manera quefijamosuna ·contraseña· de <carácter sencillo>, se puede <fijar> unacontraseña que cumpla esa #política de complejidad# y sea completamente común (y que siga lapolítica de complejidad“) del <sitio web>.

7-CCS, 3

Usando unalgoritmo– de <cifrado> para las #passwords# que sea seguro, con su <salt> o con –algoritmos criptográficosque hagan dicho tema <complejo> -(al menos un tiempo “prudencial frente alcrackeo“)-. Cualquier #atacante# que intente hacerse con las <passwords> deberá #hackear# el servicio totalmente, algo que se puede evitar con <auditorías de seguridad> continuas. Un ejemplo de esto que os comento lo podéis leer aquí.

8-CCS, 3

Con unaconexión” –Certificate Pinningdesde las <aplicaciones> (apps) y con #HTTPs# de <validación extendida>, no mezclando el contenido de <HTTP> y <HTTPs> (y, sin duda, añadiendo “Flags Secure” a todas las #cookies# llevando una gestión de forma segura.

Con todo esto bien hecho (por parte del <servidor>), podríamos estar seguros de que disponemos de lasmedidas necesariaspara unaconexión” #cifrada# de forma <segura> (en teoría).

Recordad que los <ladrones de cuentas> andan siempre al #acecho# de cualquier descuido que tengamos. Os recomiendo que leáis muy bien todas las <opciones de seguridad> que os ofrecen vuestros servicios, y dediquéis unos pocos minutos de vuestro tiempo para configurarde forma correcta <todas y cada una> de las #opciones de seguridad# que tenéis a disposición.

Salu2

WG-25

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s