Cómo encontrar la felicidad en un mundo de locura con contraseña

A principios de agosto, el reportero Wired Mat Honan hizo piratear sus contraseñas más valiosas a través de una compleja serie de exploits de ingeniería social. La brecha fue noticia porque expuso fallas de seguridad en las políticas de servicio al cliente de Apple y Amazon; pero no olvidemos que la saga de Honan coronó un largo verano lleno de invasiones de servidores que expusieron millones de contraseñas de usuarios en masa.

En junio, los hackers robaron unas 6.5 millones de contraseñas de LinkedIn y las publicaron en línea. Ese mismo mes, los intrusos pusieron en peligro alrededor de 1,5 millones de contraseñas de eHarmony en una violación de seguridad, y en julio los piratas informáticos tomaron 450,000 contraseñas de Yahoo Voice. Entre las contraseñas más comunes utilizadas por los miembros de Yahoo: "123456", "bienvenida" y la siempre popular "contraseña".

El problema fundamental no es que estos sitios deberían haber hecho un mejor trabajo al proteger los datos del usuario (aunque deberían tener). Y no es que los usuarios eligieran contraseñas que fueran extremadamente fáciles de descifrar y luego reciclaran las mismas contraseñas endebles en cada sitio donde se registraron (aunque lo hicieron).

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

El problema es que las contraseñas se han convertido en herramientas autodestructivas, a menudo impotentes, en el gran esquema de la seguridad digital. Necesitamos demasiados, y los fuertes son demasiado difíciles de recordar.

"Para usar la red en estos días, debe tener docenas de contraseñas e inicios de sesión", dice Terry Hartmann, vicepresidente de soluciones de seguridad global para Unisys.. "Cada vez que vuelves a un sitio, parece que han introducido nuevas reglas para hacer que las contraseñas sean más complejas. Eventualmente, los usuarios vuelven a usar una contraseña para todo. "

En resumen: el sistema de contraseñas está roto. Todas las contraseñas violadas en los exploits de LinkedIn, eHarmony y Yahoo habían sido "hash", es decir, las contraseñas reales habían sido reemplazadas por código generado algorítmicamente. Esto transforma las contraseñas almacenadas en los servidores (y robadas por los piratas informáticos) en jerigonza alfanumérica. Aún así, si su contraseña es tan simple como, por ejemplo, "officepc", un hacker puede crackearla fácilmente incluso en forma de hash utilizando fuerza bruta o una tabla de arco iris.

Pero no todo está perdido. Las contraseñas complejas infundidas con números y caracteres especiales (y que no tienen ningún parecido con un nombre o palabra real) le dan una oportunidad de luchar contra los piratas informáticos, y puede almacenar estos códigos en una práctica aplicación de administración de contraseñas. Los sitios web, mientras tanto, están haciendo más para reforzar la seguridad en su extremo, requiriendo autenticación multifactorial, y parece que la tecnología biométrica pronto será empleada para la seguridad del mercado masivo también.

El problema de la contraseña no desaparecerá. pronto, sin embargo, y por ahora tendremos que confiar en las aplicaciones, los servicios y las tecnologías emergentes explicadas a continuación para estar un paso por delante de los malos.

Password Vaults

Los programas de administración de contraseñas son como filtros de spam herramientas aburridas pero esenciales para gestionar tu vida digital. Un buen administrador de contraseñas recuerda todos tus inicios de sesión, reemplaza las contraseñas simples que eliges con las complejas y te permite cambiar esas contraseñas rápidamente si un sitio o servicio que usas es pirateado.

La mejor parte: en lugar de tener que recordar docenas de contraseñas únicas, solo debe recordar una: la contraseña maestra de su bóveda. Y a menos que siempre inicie sesión desde la misma máquina y el mismo navegador (en cuyo caso probablemente esté leyendo esto en una conexión de acceso telefónico de AOL), querrá un programa basado en la nube como LastPass, 1Password o Roboform que se pueda aplicar sus inicios de sesión a cualquier PC, teléfono o tableta que use.

La desventaja es que todavía debe recordar su contraseña maestra, y realmente debería ser una buena, llena de una combinación de números, mayúsculas y minúsculas, y caracteres especiales como signos de interrogación y signos de exclamación.

Por supuesto, un atacante que logra plantar un registrador de pulsaciones en su sistema podrá olfatear su contraseña a medida que la escribe, señala Robert Siciliano, un experto en seguridad en línea para McAfee que utiliza una bóveda de contraseñas para almacenar más de 700 inicios de sesión. Del mismo modo, si los ladrones piratean una bóveda de contraseñas basada en la nube, como sucedió con LastPass en mayo de 2011, podría ser un juego terminado. Afortunadamente para los clientes de LastPass, no se violó ninguna información sensible en el ataque de 2011; pero la próxima vez que ocurra una intrusión exitosa (y que le pase a alguna empresa de seguridad en alguna parte es inevitable), los usuarios pueden no ser tan afortunados.

Conclusión: las bóvedas de administración de contraseñas ofrecen un valor inmenso y son herramientas esenciales para cualquiera que valores de seguridad digital.

Autenticación multifactorial

Las contraseñas complejas almacenadas en una bóveda cifrada son solo un primer paso. Algunos sitios confían en un segundo nivel de seguridad para identificar a los usuarios, generalmente una pieza de hardware a la que solo tiene acceso el usuario legítimo. De esta forma, incluso un atacante que conozca su contraseña necesitará acceder, por ejemplo, a su teléfono o computadora para robar sus datos.

Las instituciones financieras están obligadas por ley a usar múltiples factores al manejar transacciones en línea, pero pueden hacerlo está en segundo plano al autenticar su máquina o su ubicación, dice Siciliano. Entonces, por ejemplo, si usted vive en San Francisco y alguien en Shanghai intenta acceder a su cuenta bancaria, esa transacción puede ser bloqueada, o se le puede solicitar a esa persona que brinde una autenticación adicional al ingresar un número enviado a un dispositivo provisto por el banco.

Google y Facebook ahora también ofrecen autenticación de dos factores: puede hacer que envíen un PIN temporal a su teléfono celular cada vez que inicie sesión desde una máquina desconocida (este PIN debe proporcionarse junto con su contraseña; la primera vez que intenta iniciar sesión a través de esa nueva máquina). Esta falla habría evitado todas las dificultades que Mat Honan sufrió el mes pasado.

El sistema de autenticación de dos partes de Google garantiza un mayor nivel de seguridad, pero a muchos usuarios les resulta tedioso en la práctica real.

Desafortunadamente, sin embargo, aparte de bancos y un puñado de sitios web de alto perfil, la mayoría de los sitios en línea simplemente no ofrecen autenticación multifactorial, en parte porque no es muy conveniente, y la gran mayoría de los usuarios de Internet están dispuestos a cambiar la seguridad por inicios de sesión sin problemas.

"La autenticación de dos factores no siempre pasa la prueba de la abuela", dice Siciliano. "Eso significa más llamadas de soporte, más restablecimientos de contraseñas y mayores costos. Es por eso que, por lo general, solo lo utilizan empresas con mucho que perder. "

Biometría

La belleza de la biometría es que no tiene que recordar nada en absoluto, y mucho menos una contraseña compleja. En cambio, un sistema de seguridad biométrico aprovecha las propiedades únicas de su propio embalaje físico para autenticar su identidad.

Los sistemas biométricos pueden escanear huellas dactilares, iris, caras e incluso voces para establecer si una persona debería tener acceso a un servicio o pieza de hardware. Todavía no están implementados para los principales servicios en la nube, pero Terry Hartmann de Unisys dice que los principales bancos están probando sistemas de identificación biométrica ahora, y espera que comiencen a implementarse el próximo año. La reciente adquisición por $ 360 millones de AuthenTec, fabricante de tecnología de escaneo de huellas dactilares de Apple, sugiere que se puede incorporar algún tipo de identificación biométrica en futuros productos de Apple.

La seguridad biométrica rudimentaria ya está disponible en muchos portátiles.

La biometría no perfecto, sin embargo. Los investigadores han usado escáneres de huellas dactilares mediante el uso de dedos de gelatina, y han engañado a los sistemas de reconocimiento facial mediante el uso de fotografías. En la conferencia BlackHat de julio pasado, los investigadores de seguridad demostraron una forma de engañar a los escáneres de iris mediante la ingeniería inversa de los datos de imagen.

Y, por supuesto, los hackers pueden apuntar a datos biométricos almacenados en una base de datos central y robar identidades al sustituir sus propios datos biométricos en lugar de sus víctimas. Al igual que con las contraseñas y otra información de identificación personal, el nivel de protección proporcionado por la seguridad biométrica dependerá enteramente de la competencia de quien almacenó los datos (todos sabemos qué tan bien funcionó en LinkedIn).

Exigir datos biométricos al iniciar sesión también podría el anonimato es difícil (si no imposible) para disidentes políticos, denunciantes y personas que habitan múltiples identidades por razones personales o profesionales. Temores sobre Minority Report vigilancia gubernamental también puede hacer que muchos consumidores se detengan.

A pesar de todo, Joseph Pritikin, director de marketing de productos en AOptix Technologies, un fabricante de escáneres de iris desplegados en aeropuertos y pasos fronterizos, predice que los teléfonos inteligentes que emplean datos biométricos serán uno de los dispositivos clave de identificación del futuro, en parte porque los datos pueden almacenarse de manera segura en el dispositivo.

"Será una combinación de algo que soy y algo que tengo, muy probablemente un teléfono inteligente ", dice Pritikin. "Su encriptación basada en hardware sería difícil de comprometer".

Una ID para gobernarlos a todos

En última instancia, la solución ideal para la fatiga de contraseñas es unificar todos nuestros inicios de sesión dispares e identidades en línea. Ingrese a la Administración Obama, que en abril de 2011 lanzó una iniciativa público-privada, la Estrategia Nacional de Identidades de Confianza en el Ciberespacio, para desarrollar un ecosistema de identidad que permita a los consumidores utilizar cualquier sistema de verificación y hacer que funcione sin problemas en cualquier sitio.

Tal sistema podría verificar que usted es lo suficientemente mayor como para comprar vino en línea o que califica para un descuento de estudiante, sin necesariamente compartir toda su información personal con cada sitio, dice Jim Fenton, jefe de especialistas de seguridad de OneID, un sistema de gestión de identidad de Internet. El sistema también te permitirá operar bajo un seudónimo, si así es como quieres rodar.

Pero las ruedas del gobierno se mueven lentamente. El mes pasado, el comité directivo de NTSIC celebró su primera reunión. Entre los problemas que eventualmente tendrá que abordar está la cantidad de información que se debe compartir entre las partes y cuánto control deben tener los consumidores sobre esa información, dice Fenton, miembro del grupo de privacidad del comité de dirección.

En otras palabras: Ayuda está en camino, pero no llegará pronto. Mientras tanto, estamos atrapados con contraseñas. Crea algunos buenos y asegúrate de que estén bajo llave.