Si está practicando la higiene y la administración de contraseñas laxas, es solo cuestión de tiempo hasta que una de las cada vez más numerosas violaciones de seguridad a gran escala lo queme. Deje de estar agradecido de haber esquivado las balas de brechas de seguridad pasadas y protéjase contra las futuras. Siga leyendo mientras le mostramos cómo auditar sus contraseñas y protegerse.
¿Cuál es el gran problema y por qué es importante?
En octubre de este año, Adobe reveló que había habido una violación de seguridad importante que afectó a 3 millones de usuarios de Adobe.com y el software de Adobe. Luego revisaron el número a 38 millones. Luego, lo que es aún más sorprendente, cuando se filtró la base de datos del hack, los investigadores de seguridad que analizaron la base de datos regresaron y dijeron que era más como 150 millones cuentas de usuario comprometidas. Este grado de exposición del usuario pone la brecha de Adobe en marcha como una de las peores brechas de seguridad de la historia.
Sin embargo, Adobe no está solo en este frente; simplemente abrimos con su infracción porque es dolorosamente reciente. Solo en los últimos años ha habido docenas de violaciones de seguridad masivas en las que la información del usuario, incluidas las contraseñas, se ha visto comprometida.
LinkedIn se vio afectado en 2012 (6,46 millones de registros de usuarios comprometidos). Ese mismo año, eHarmony se vio afectada (1,5 millones de registros de usuarios) al igual que Last.fm (6,5 millones de registros de usuarios) y Yahoo! (450.000 registros de usuario). Sony Playstation Network se vio afectada en 2011 (101 millones de registros de usuarios comprometidos). Gawker Media (la empresa matriz de sitios como Gizmodo y Lifehacker) se vio afectada en 2010 (1,3 millones de registros de usuarios comprometidos). ¡Y esos son solo ejemplos de grandes infracciones que fueron noticia!
La Cámara de Compensación de Derechos de Privacidad mantiene una base de datos de brechas de seguridad desde 2005 hasta el presente . Su base de datos incluye una amplia gama de tipos de infracciones: tarjetas de crédito comprometidas, números de seguridad social robados, contraseñas robadas e historiales médicos. La base de datos, a la publicación de este artículo, está compuesta por 4.033 infracciones conteniendo 617,937,023 registros de usuario . No todos los cientos de millones de violaciones involucraron contraseñas de usuario, pero millones y millones de ellas sí lo hicieron.
RELACIONADO: Cómo recuperarse después de que la contraseña de su correo electrónico se vea comprometida
Entonces, ¿por qué importa? Aparte de las implicaciones de seguridad obvias e inmediatas de una infracción, las infracciones crean daños colaterales. Los piratas informáticos pueden comenzar a probar inmediatamente los inicios de sesión y las contraseñas que recopilan en otros sitios web.La mayoría de las personas son perezosas con sus contraseñas, y hay una buena posibilidad de que si alguien usó [email protected] con la contraseña bob1979, el mismo par de nombre de usuario / contraseña funcione en otros sitios web. Si esos otros sitios web tienen un perfil más alto (como sitios bancarios o si la contraseña que usó en Adobe realmente desbloquea su bandeja de entrada de correo electrónico), entonces hay un problema. Una vez que alguien tiene acceso a su bandeja de entrada de correo electrónico, puede comenzar a restablecer la contraseña en otros servicios y obtener acceso a ellos también.
La única forma de evitar que este tipo de reacción en cadena cause aún más problemas de seguridad dentro de la red de sitios web y servicios que utiliza es seguir dos reglas fundamentales de buena higiene de contraseñas:
- Su contraseña de correo electrónico debe ser larga, segura y completamente única entre todos sus inicios de sesión.
- Cada login obtiene una contraseña larga, segura y única. Sin reutilización de contraseñas. Siempre.
Esas dos reglas son el punto de partida de todas las guías de seguridad que hemos compartido contigo, incluida nuestra guía de emergencia que ha golpeado al fan Cómo recuperarse después de que la contraseña de su correo electrónico se vea comprometida .
Ahora, en este punto, probablemente te estés retorciendo un poco porque, francamente, casi nadie tiene prácticas de contraseña y seguridad perfectamente herméticas. No está solo si falta la higiene de su contraseña. De hecho, es hora de una confesión.
He escrito docenas de artículos de seguridad, publicaciones sobre brechas de seguridad y otras publicaciones relacionadas con contraseñas durante los años que he estado en How-To Geek. A pesar de ser precisamente el tipo de persona informada que debería saber más, a pesar de usar un administrador de contraseñas y generar contraseñas seguras para cada nuevo sitio web y servicio, cuando revisé mi correo electrónico a través del lista de inicios de sesión de Adobe comprometidos y la comparé con la contraseña comprometida, aún descubrí que me había quemado.
Hice esa cuenta de Adobe hace mucho tiempo cuando era mucho más laxa con la higiene de mi contraseña, y la contraseña que usé era común en docenas de sitios web y servicios en los que me registré antes de tomar muy en serio la creación de buenas contraseñas
Todo eso podría haberse evitado si hubiera practicado completamente lo que prediqué y no solo hubiera creado contraseñas únicas y sólidas, sino Audité mis antiguas contraseñas para asegurar que esta situación nunca sucediera en primer lugar. Ya sea que nunca haya intentado ser coherente y seguro con sus prácticas de contraseñas o simplemente necesite revisarlas para sentirse cómodo, una auditoría exhaustiva de contraseñas es el camino hacia la seguridad y la tranquilidad de las contraseñas. Siga leyendo mientras le mostramos cómo.
Preparándose para su desafío de seguridad de Lastpass
Podría auditar manualmente sus contraseñas, pero eso sería enormemente tedioso y no obtendría ninguno de los beneficios de usar un buen administrador de contraseñas . En lugar de auditar todo manualmente, vamos a tomar la ruta fácil y en gran medida automatizada: vamos a auditar nuestras contraseñas tomando el Desafío de seguridad de LastPass.
Esta guía no cubrirá la configuración de LastPass, por lo que si aún no tiene un sistema LastPass en funcionamiento, le recomendamos encarecidamente que configure uno. Revisa La guía HTG para comenzar con LastPass Para empezar. Aunque LastPass se ha actualizado desde que escribimos la guía (la interfaz es mucho más bonita y está mejor simplificada ahora), aún puede seguir los pasos con facilidad. Si está configurando LastPass por primera vez, asegúrese de importar todos sus contraseñas almacenadas en sus navegadores, ya que nuestro objetivo es auditar todas y cada una de las contraseñas que utiliza.
Ingrese cada nombre de usuario y contraseña en LastPass: Ya sea que sea nuevo en LastPass o no lo haya estado usando completamente para cada inicio de sesión, ahora es el momento de asegurarse de haber ingresado cada inicie sesión en el sistema LastPass. Vamos a hacernos eco de los consejos que dimos nuestra guía de recuperación de correo electrónico para buscar recordatorios en la bandeja de entrada de su correo electrónico:
Busque en su correo electrónico recordatorios de registro. No será difícil recordar los inicios de sesión que usa con frecuencia, como Facebook y su banco, pero es probable que haya docenas de servicios de desembolso en los que ni siquiera recuerde que usa su correo electrónico para iniciar sesión. Utilice búsquedas de palabras clave como "bienvenido a", "restablecer", "recuperación", "verificar", "contraseña", "nombre de usuario", "inicio de sesión", "cuenta" y combinaciones como "restablecer contraseña" o "verificar cuenta" . Nuevamente, sabemos que esto es una molestia, pero una vez que lo haya hecho con un administrador de contraseñas a su lado, tendrá una lista maestra de todas sus cuentas y nunca más tendrá que realizar esta búsqueda de palabras clave.
Habilite la autenticación de dos factores en su cuenta de LastPass: Este paso no es estrictamente necesario para realizar la auditoría de seguridad, pero mientras tenemos su atención, haremos todo lo posible para alentarlo, mientras está jugando en su cuenta de LastPass, a activar la autenticación de dos factores para proteger aún más su bóveda de LastPass. (¡No solo aumenta la seguridad de su cuenta, sino que también aumentará su puntuación de auditoría de seguridad!)
Aceptando el desafío de seguridad de LastPass
Ahora que ha importado todas sus contraseñas, es hora de prepararse para la vergüenza de no estar en el 1% de los ninjas de seguridad de contraseñas incondicionales. Visita el Desafío de seguridad de LastPass página y presione "Iniciar el desafío" en la parte inferior de la página. Se le pedirá que ingrese su contraseña maestra, como se ve en la captura de pantalla anterior, y luego LastPass ofrecerá verificar si alguna de las direcciones de correo electrónico contenidas en su bóveda fue parte de alguna infracción que haya rastreado. No hay una buena razón para no aprovechar esto:
Si tiene suerte, devuelve un resultado negativo. Si tiene suerte, aparecerá una ventana emergente como esta que le preguntará si desea obtener más información sobre las infracciones en las que estuvo involucrado su correo electrónico:
LastPass emitirá una única alerta de seguridad para cada instancia. Si ha tenido su dirección de correo electrónico durante mucho tiempo, esté preparado para sorprenderse por la cantidad de violaciones de contraseña en las que se ha enredado. A continuación, se muestra un ejemplo de un aviso de violación de contraseña:
Después de las ventanas emergentes, será arrojado al panel principal del Desafío de seguridad de LastPass. ¿Recuerda antes en la guía cuando hablé sobre cómo practico actualmente una buena higiene de contraseñas, pero que nunca había llegado a actualizar correctamente muchos sitios web y servicios más antiguos? Realmente se nota en la partitura que recibí. Ay:
Ese es mi puntaje con años de contraseñas aleatorias mezcladas. No se sorprenda demasiado si su puntaje es aún más bajo si ha estado usando el mismo puñado de contraseñas débiles una y otra vez. Ahora que tenemos nuestro puntaje (por increíble o vergonzoso que sea), es hora de profundizar en los datos. Puede utilizar los enlaces rápidos junto a su porcentaje de puntuación o simplemente comenzar a desplazarse. Primera parada, veamos los resultados detallados. Considere esto como una descripción general de 10,000 pies del estado de sus contraseñas:
Si bien debe prestar atención a todas las estadísticas aquí, las realmente importantes son "Nivel promedio de contraseña", qué tan débil o fuerte es su contraseña promedio y, lo que es aún más importante, "Número de contraseñas duplicadas" y "Número de sitios que tienen contraseñas duplicadas". ”. En la causa de mi auditoría, hubo 8 incautos en 43 sitios. Claramente, había sido bastante vago reutilizando la misma contraseña de bajo grado en más de unos pocos sitios.
Siguiente parada, la sección Sitios analizados. Aquí encontrará un desglose muy concreto de todos sus inicios de sesión y contraseñas organizados por uso de contraseñas duplicadas (si tenía duplicados), contraseñas únicas y, finalmente, inicios de sesión sin contraseña almacenada en LastPass. Mientras revisa la lista, maravíllese con el contraste entre las fortalezas de las contraseñas. En mi caso, uno de mis inicios de sesión financieros recibió una puntuación de contraseña del 45%, mientras que el inicio de sesión de Minecraft de mi hija recibió una puntuación perfecta del 100%. De nuevo, ay.
Arreglando su terrible puntaje de desafío de seguridad
Hay dos enlaces muy útiles integrados en los listados de auditoría. Si hace clic en "MOSTRAR", se le mostrará la contraseña de ese sitio y si hace clic en "Visitar sitio", puede ir directamente al sitio web para que pueda cambiar la contraseña. No solo se deben cambiar todas las contraseñas duplicadas, sino que también se debe eliminar de forma permanente cualquier contraseña que se adjunta a una cuenta violada (como Adobe.com o LinkedIn).
Dependiendo de cuántas o pocas contraseñas tenga (y cuán diligente haya sido con las buenas prácticas de contraseñas), este paso del proceso puede llevarle diez minutos o toda la tarde. Aunque el proceso para cambiar sus contraseñas variará según el diseño del sitio que está actualizando, aquí hay algunas pautas generales a seguir (estamos usando nuestra actualización de contraseña en Remember the Milk como ejemplo): Visite la página de cambio de contraseña . Por lo general, deberá ingresar su contraseña actual y luego generar una nueva contraseña.
Hágalo haciendo clic en el logotipo de bloqueo con flecha circular. LastPass se inserta en la nueva ranura de contraseña (como se ve en la captura de pantalla anterior). Revise su nueva contraseña y haga ajustes si lo desea (como alargarla o agregar caracteres especiales):
Haga clic en "Usar contraseña" y luego confirme que desea actualizar la entrada que está editando:
Asegúrese de confirmar el cambio también con el sitio web. Repita el proceso para cada contraseña duplicada y débil en su bóveda de LastPass.
Finalmente, lo último que necesita auditar es su contraseña maestra de LastPass. Hágalo haciendo clic en el enlace en la parte inferior de la pantalla del desafío con la etiqueta "Probar la seguridad de mi contraseña maestra de LastPass". Si no ve esto:
Debe restablecer su contraseña maestra de LastPass y aumentar la fuerza hasta que reciba una confirmación positiva y agradable del 100%.
Examinar los resultados y mejorar aún más la seguridad de LastPass
Una vez que haya revisado la lista de contraseñas duplicadas, eliminado las entradas antiguas y, de lo contrario, haya ordenado y protegido su lista de inicio de sesión / contraseña, es hora de volver a ejecutar la auditoría. Ahora, para enfatizar, la puntuación que ve a continuación se planteó únicamente mejorando la seguridad de la contraseña. (Si habilita funciones de seguridad adicionales, como autenticación multifactor , recibirá un impulso de alrededor del 10%).
¡No está mal! Después de eliminar todas las contraseñas duplicadas y llevar todas las contraseñas existentes al 90% o mejor, realmente mejoró nuestra puntuación. Si tiene curiosidad por saber por qué no saltó al 100%, hay algunos factores en juego, el más destacado de los cuales es que algunas contraseñas nunca se pueden actualizar con los estándares de LastPass debido a las políticas tontas establecidas por el administradores del sitio. Por ejemplo, la contraseña de inicio de sesión de mi biblioteca local es un pin de cuatro dígitos (que puntúa un 4% en la escala de seguridad de LastPass). La mayoría de las personas tendrán algún tipo de valores atípicos como ese en su lista y eso reducirá su puntuación.
En tales casos, es importante no desanimarse y utilizar el desglose detallado como métrica:
En el proceso de actualización de contraseñas, eliminé 17 sitios duplicados / vencidos, creé una contraseña única para cada sitio y servicio, y reduje el número de sitios con contraseñas duplicadas de 43 a 0 en el proceso.
Solo tomó alrededor de una hora de tiempo seriamente enfocado (el 12.4% de lo cual se gastó maldiciendo a los diseñadores de sitios web que colocaron enlaces de actualización de contraseñas en lugares oscuros), ¡y todo lo que necesité para motivarme fue una violación de contraseña de proporciones catastróficas! Estoy haciendo una nota aquí, un gran éxito.
Ahora que ha auditado sus contraseñas y está entusiasmado con tener un conjunto de contraseñas únicas, aprovechemos ese impulso. Golpear hasta nuestra guía para hacer LastPass incluso más seguro aumentando las iteraciones de contraseñas, restringiendo los inicios de sesión por país y más. Entre ejecutar la auditoría que describimos aquí, seguir nuestra guía de seguridad de LastPass y activar los algoritmos de dos factores, tendrá un sistema de administración de contraseñas a prueba de balas del que puede estar orgulloso.
