13Sep
Si está practicando la gestión e higiene laxas de las contraseñas, es solo cuestión de tiempo hasta que una de las cada vez más numerosas brechas de seguridad a gran escala lo consuma. Deja de agradecer que hayas esquivado las pasadas balas de seguridad y te blindes contra las futuras. Siga leyendo mientras le mostramos cómo auditar sus contraseñas y protegerse.
¿Cuál es el gran problema y por qué esto es importante?
En octubre de este año, Adobe reveló que hubo una brecha de seguridad importante que afectó a 3 millones de usuarios de Adobe.com y el software de Adobe. Luego revisaron el número a 38 millones. Luego, aún más sorprendente, cuando se filtró la base de datos del hack, los investigadores de seguridad que analizaron la base de datos regresaron y dijeron que era más como 150 millones de cuentas de usuario comprometidas .Este grado de exposición del usuario pone a la brecha de Adobe en la carrera como una de las peores violaciones de seguridad en la historia.
Adobe no está solo en este frente, sin embargo;simplemente abrimos con su brecha porque es dolorosamente reciente. Solo en los últimos años ha habido docenas de brechas de seguridad masivas donde la información del usuario, incluidas las contraseñas, se ha visto comprometida.
LinkedIn fue golpeado en 2012( 6,46 millones de registros de usuarios comprometidos).Ese mismo año, eHarmony recibió un golpe( 1,5 millones de registros de usuarios) al igual que Last.fm( 6,5 millones de registros de usuarios) y Yahoo!(450,000 registros de usuarios).La Sony Playstation Network fue atacada en 2011( 101 millones de registros de usuarios comprometidos).Gawker Media( la empresa matriz de sitios como Gizmodo y Lifehacker) fue atacada en 2010( 1,3 millones de registros de usuarios comprometidos).¡Y esos son solo ejemplos de grandes brechas que fueron noticia!
Privacy Rights Clearinghouse mantiene una base de datos de violaciones de seguridad desde 2005 hasta el presente. Su base de datos incluye una amplia gama de tipos de incumplimiento: tarjetas de crédito comprometidas, números de seguridad social robados, contraseñas robadas y registros médicos. La base de datos, a partir de la publicación de este artículo, está compuesta por 4.033 infracciones que contiene 617.937.023 registros de usuario .No todos y cada uno de esos cientos de millones de infracciones involucraban contraseñas de usuario, pero millones y millones lo hicieron.
Entonces, ¿por qué es importante? Además de las implicaciones de seguridad obvias e inmediatas de una violación, las brechas crean daños colaterales. Los hackers pueden comenzar inmediatamente a probar los inicios de sesión y las contraseñas que recolectan en otros sitios web.La mayoría de las personas son flojas con sus contraseñas, y existe la posibilidad de que si alguien usara [email protected] con la contraseña bob1979, el mismo par de inicio de sesión / contraseña funcione en otros sitios web. Si esos otros sitios web tienen un perfil más alto( como los sitios bancarios o si la contraseña que utilizó en Adobe realmente desbloquea su bandeja de entrada del correo electrónico), entonces hay un problema. Una vez que alguien tiene acceso a la bandeja de entrada de su correo electrónico, puede comenzar a restablecer la contraseña de otros servicios y también a acceder a ellos.
La única manera de evitar que este tipo de reacción en cadena cause aún más problemas de seguridad dentro de la red de sitios web y servicios que utiliza es seguir dos reglas cardinales de una buena contraseña de seguridad:
- Su contraseña de correo electrónico debe ser larga, fuerte y completamenteúnico entre todos sus inicios de sesión.
- Cada inicio de sesión de obtiene una contraseña larga, sólida y única. Sin reutilización de contraseña. Ever.
Estas dos reglas son el producto de todas las guías de seguridad que hemos compartido con usted, incluida nuestra guía de emergencias de que ha golpeado al ventilador. Cómo recuperarse después de que su contraseña de correo electrónico se haya comprometido.
Ahora en este punto, probablemente te estés retorciendo un poco porque, francamente, casi nadie tiene prácticas y seguridad de contraseña perfectamente herméticas. No estás solo si falta la seguridad de tu contraseña. De hecho, es hora de una confesión.
He escrito docenas de artículos de seguridad, publicaciones sobre infracciones de seguridad y otras publicaciones relacionadas con contraseñas a lo largo de los años que he estado en How-To Geek. A pesar de ser precisamente el tipo de persona informada que debería saber mejor, a pesar de usar un administrador de contraseñas y generar contraseñas seguras para cada nuevo sitio web y servicio, cuando ejecuté mi correo electrónico a través de la lista de inicios de sesión infectados de Adobe y lo comparé con la contraseña comprometida, Todavía descubrí que me había quemado.
Hice esa cuenta de Adobe hace mucho tiempo cuando era significativamente más laxa con la seguridad de mi contraseña, y la contraseña que usé era común en docenas de sitios web y servicios con los que me había registrado antes de tomarme muy en serio la tareabuenas contraseñas
Todo eso se podría haber evitado si hubiera practicado lo que predicaba y no hubiera creado contraseñas únicas y sólidas, pero también auditó mis contraseñas antiguas para garantizar que esta situación nunca ocurriera en primer lugar. Ya sea que nunca haya intentado ser coherente y seguro con sus prácticas de contraseñas o solo necesita verificarlas para sentirse cómodo, una auditoría completa de contraseñas es la ruta para la seguridad de las contraseñas y la tranquilidad. Siga leyendo mientras le mostramos cómo.
Preparación para su desafío de seguridad Lastpass
Puede auditar manualmente sus contraseñas, pero eso sería enormemente tedioso y no obtendría ninguno de los beneficios de utilizar un buen administrador universal de contraseñas. En lugar de auditar todo manualmente, tomaremos la ruta fácil y en gran parte automatizada: vamos a auditar nuestras contraseñas tomando el Desafío de Seguridad LastPass.
Esta guía no cubre la configuración de LastPass, por lo que si aún no tiene un sistema LastPass en funcionamiento, le recomendamos encarecidamente que configure uno. Consulte la Guía de HTG para comenzar con LastPass para comenzar. Aunque LastPass se actualizó desde que escribimos la guía( la interfaz es mucho más bonita y ahora está mejor optimizada), puede seguir los pasos con facilidad. Si está configurando LastPass por primera vez, asegúrese de importar todas sus contraseñas almacenadas de sus navegadores, ya que nuestro objetivo es auditar cada una de las contraseñas que está utilizando.
Ingrese todos los inicios de sesión y las contraseñas en LastPass: Ya sea nuevo en LastPass o no lo haya utilizado por completo para cada inicio de sesión, ahora es el momento de asegurarse de haber ingresado cada inicie sesión en el sistema LastPass. Vamos a hacernos eco de los consejos que le dimos en nuestra guía de recuperación de correo electrónico para peinar su bandeja de entrada de correo electrónico para recordatorios:
Busque en su correo electrónico los recordatorios de registro. No será difícil recordar los inicios de sesión de uso frecuente como Facebook y su banco, pero es probable que haya docenas de servicios de desembolso que ni siquiera recuerde que usa su correo electrónico para iniciar sesión. Utilice búsquedas de palabras clave como "bienvenida a", "restablecer", "recuperar", "verificar", "contraseña", "nombre de usuario", "inicio de sesión", "cuenta" y combinaciones de "restablecer contraseña" o "verificar cuenta"..De nuevo, sabemos que esto es una molestia, pero una vez que haya hecho esto con un administrador de contraseñas a su lado, tendrá una lista maestra de todas sus cuentas y nunca tendrá que volver a hacer esta búsqueda de palabras clave.
Habilite la autenticación de dos factores en su cuenta de LastPass: . Este paso no es estrictamente necesario para realizar la auditoría de seguridad, pero mientras tengamos su atención, haremos todo lo posible para alentarlo, mientras se distrae ensu cuenta LastPass, para activar la autenticación de dos factores para asegurar aún más su bóveda LastPass.(¡No solo aumenta la seguridad de su cuenta, también obtendrá un impulso en su puntaje de auditoría de seguridad!)
Tomando el desafío de seguridad de LastPass
Ahora que ha importado todas sus contraseñas, es hora de prepararse para la vergüenzade no estar en el 1% de los ninjas de seguridad de contraseña hardcore. Visite la página de LastPass Security Challenge y presione "Comenzar el desafío" en la parte inferior de la página. Se le pedirá que ingrese su contraseña maestra, como se ve en la captura de pantalla anterior, y luego LastPass le ofrecerá comprobar si alguna de las direcciones de correo electrónico contenidas en su bóveda forma parte de las infracciones que ha rastreado. No hay una buena razón para no aprovechar esto:
Si tienes suerte, devuelve un resultado negativo. Si tiene suerte, aparece una ventana emergente como esta que le pregunta si desea obtener más información sobre las infracciones en las que estuvo involucrado su correo electrónico:
LastPass emitirá una sola alerta de seguridad para cada instancia. Si ha tenido su dirección de correo electrónico durante mucho tiempo, prepárese para sorprenderse de la cantidad de contraseñas en las que se ha enredado. Aquí hay un ejemplo de un aviso de violación de contraseña:
Después de las ventanas emergentes, serás arrojado al panel principal de LastPass Security Challenge.¿Recuerdas antes en la guía cuando hablé acerca de cómo practico actualmente la buena seguridad de las contraseñas, pero que nunca había tenido la oportunidad de actualizar correctamente una gran cantidad de sitios web y servicios más antiguos? Realmente se nota en el puntaje que recibí.Ouch:
Esa es mi puntuación con años de contraseñas aleatorias mezcladas. No te sorprendas si tu puntaje es aún menor si has estado usando el mismo puñado de contraseñas débiles una y otra vez. Ahora que tenemos nuestra puntuación( sin importar cuán increíble o vergonzosa sea), es hora de profundizar en los datos. Puede usar los enlaces rápidos junto a su porcentaje de puntaje o simplemente comenzar a desplazarse. Primera parada, veamos los resultados detallados. Considere esto una vista general de 10,000 pies del estado de sus contraseñas:
Si bien debe prestar atención a todas las estadísticas aquí, las realmente importantes son "Promedio de contraseña", cuán débil o fuerte es su contraseña promedio y, lo que es más importante,"Número de contraseñas duplicadas" y "Número de sitios que tienen contraseñas duplicadas".En la causa de mi auditoría, hubo 8 engañados en 43 sitios. Claramente, había sido bastante perezoso reutilizando la misma contraseña de bajo grado en más de unos pocos sitios.
Siguiente parada, la sección Sitios analizados. Aquí encontrará un desglose muy concreto de todos sus inicios de sesión y contraseñas organizados por el uso de contraseñas duplicadas( si tenía duplicados), contraseñas únicas y, finalmente, inicios de sesión sin una contraseña almacenada en LastPass. Mientras revisa la lista, admire el contraste entre las fortalezas de las contraseñas. En mi caso, a uno de mis inicios de sesión financieros se le asignó una Puntuación de contraseña del 45%, mientras que el de Minebra de mi hija recibió un puntaje perfecto del 100%.De nuevo, ay.
Cómo arreglar su terrible desafío de seguridad Puntuación
Hay dos enlaces muy útiles incorporados en las listas de auditoría. Si hace clic en "MOSTRAR", le mostrará la contraseña de ese sitio y si hace clic en "Visitar sitio" puede ir directamente al sitio web para poder cambiar la contraseña. No solo se deben cambiar todas las contraseñas duplicadas, sino que las contraseñas que se adjuntaron a una cuenta que se violó( como Adobe.com o LinkedIn) se deben retirar de forma permanente.
Según la cantidad de contraseñas que tenga( o cuán diligente haya sido con respecto a las buenas prácticas de contraseñas), este paso del proceso puede llevarle diez minutos o toda la tarde. Aunque el proceso de cambiar sus contraseñas variará en función del diseño del sitio que está actualizando, a continuación se detallan algunas pautas generales a seguir( estamos utilizando nuestra actualización de contraseña en Remember the Milk como ejemplo): Visite la página de cambio de contraseña..Por lo general, deberá ingresar su contraseña actual y luego generar una nueva contraseña.
Haga clic en el logotipo de lock-with-circular-arrow. LastPass se inserta en la nueva ranura de contraseña( como se ve en la captura de pantalla anterior).Revise su nueva contraseña y haga los ajustes si lo desea( como alargarla o agregar caracteres especiales):
Haga clic en "Usar contraseña" y luego confirme que desea actualizar la entrada que está editando:
Asegúrese de confirmar el cambiocon el sitio web también. Repita el proceso para cada contraseña duplicada y débil en su bóveda LastPass.
Finalmente, lo último que necesita para auditar es su contraseña maestra de LastPass. Para hacerlo, haga clic en el enlace en la parte inferior de la pantalla de desafío con la etiqueta "Probar la fortaleza de mi contraseña maestra de LastPass".Si no ve esto:
, debe restablecer su contraseña maestra de LastPass y aumentar la intensidad hasta que reciba una confirmación agradable, positiva, 100% de fuerza.
Levantando los resultados y mejorando aún más su seguridad de LastPass
Después de recorrer la lista de contraseñas duplicadas, eliminar las entradas antiguas y, de lo contrario, ordenar y asegurar su lista de inicio de sesión / contraseñas, es hora de volver a ejecutar la auditoría. Ahora, para enfatizar, el puntaje que ve a continuación se mencionó únicamente al mejorar la seguridad de las contraseñas.(Si habilita funciones de seguridad adicionales, como autenticación de múltiples factores, recibirá un impulso de alrededor del 10%).
¡No está mal! Después de eliminar todas las contraseñas duplicadas y traer todas las contraseñas existentes hasta un 90% de fuerza o mejor, realmente mejoró nuestra puntuación. Si tiene curiosidad de por qué no saltó al 100%, hay algunos factores en juego, el más destacado de los cuales es que algunas contraseñas nunca pueden superarse según los estándares de LastPass debido a las políticas tontas implementadas por eladministradores del sitio. Por ejemplo, la contraseña de inicio de sesión de mi biblioteca local es un pin de cuatro dígitos( que obtiene un 4% en la escala de seguridad de LastPass).La mayoría de la gente tendrá algún tipo de outliers como ese en su lista y eso reducirá su puntaje.
En tales casos, es importante no desanimarse, y utilizar su desglose detallado como una métrica:
En el proceso de actualización de la contraseña eliminé 17 sitios duplicados / caducados, creé una contraseña única para cada sitio y servicio, y traje el númerode sitios con contraseñas duplicadas de 43 a 0 en el proceso.
Solo tomó aproximadamente una hora de tiempo enfocado seriamente( 12.4% de los cuales se gastaron maldiciendo a los diseñadores de sitios web que pusieron enlaces de actualización de contraseña en lugares oscuros), ¡y todo lo que necesitó para motivarme fue una violación de contraseñas de proporciones catastróficas! Estoy haciendo una nota aquí, gran éxito.
Ahora que ha auditado sus contraseñas y está ansioso por tener un conjunto estable de contraseñas únicas, aprovechemos ese momento de avance. Acceda a nuestra guía para hacer que LastPass incluso sea más seguro al aumentar las repeticiones de contraseñas, restringir los inicios de sesión por país y más. Entre ejecutar la auditoría que describimos aquí, seguir nuestra guía de seguridad LastPass y activar algoritmos de dos factores, tendrá un sistema de administración de contraseñas a prueba de balas del que puede estar orgulloso.
