En estos momentos, es muy normal oír hablar de una filtración de datos. Una infracción podría ocurrir con un servicio popular como Gmail o un software que la mayoría de nosotros hemos olvidado, como MySpace.
Una de las peores cosas que un hacker puede descubrir es su contraseña. Esto es especialmente cierto si va en contra de los consejos estándar y utiliza el mismo inicio de sesión en varias plataformas diferentes. Pero la protección con contraseña no es sólo su responsabilidad.
Entonces, ¿cómo almacenan los sitios web sus contraseñas? ¿Cómo mantienen segura su información de inicio de sesión? ¿Y cuál es el método más seguro que pueden utilizar los sitios web para rastrear sus contraseñas?
En el peor de los casos: las contraseñas se guardan en texto sin formato
Considere esta situación: un sitio web grande ha sido pirateado. Los ciberdelincuentes han eludido cualquier medida de seguridad básica que tenga el sitio web y pueden explotar una falla en la estructura del sitio. Eres el cliente. Ese sitio web ha almacenado sus datos. El sitio garantiza que su contraseña sea segura. Pero, ¿qué pasa si ese sitio web almacena tu contraseña en texto sin formato?
Las contraseñas en texto plano son como un cebo lucrativo. No utilizan algoritmos por lo que no se pueden leer. Los piratas informáticos pueden leer contraseñas tan fácilmente como usted lee este artículo.
No importa cuán complejas sean sus contraseñas: una base de datos de texto plano es una lista de las contraseñas de todos, escritas claramente, incluidos los números y caracteres adicionales que utilice.
E incluso si los piratas informáticos no acceden al sitio web, ¿realmente desea que algún administrador del sitio web pueda ver sus datos secretos de inicio de sesión?
Podría pensar que se trata de un problema muy poco común, pero se estima que alrededor del 30% de los sitios de comercio electrónico utilizan este método para "proteger" los datos de los clientes.
Una forma sencilla de saber si un sitio web guarda las contraseñas en texto sin formato es si, inmediatamente después de registrarse, recibe un correo electrónico del sitio web con sus datos de inicio de sesión. En ese caso, es posible que desee cambiar otros sitios que utilicen la misma contraseña y comunicarse con la empresa para advertirles que su seguridad es demasiado deficiente. Por supuesto, es imposible confirmarlo al 100%, pero esta es una señal bastante clara y el sitio realmente no debería enviar ese tipo de cosas por correo electrónico.
Codificación: Suena bien, pero no es perfecta.
Muchos sitios web recurren al cifrado para proteger las contraseñas de los usuarios. El proceso de cifrado codifica su información, haciéndola ilegible hasta que dos claves, una que usted posee (que son sus datos de inicio de sesión) y la otra que posee la empresa en cuestión, aparecen juntas.
También has utilizado cifrado en muchos otros lugares. Face ID en iPhone es una forma de cifrado. El código de acceso es el mismo. Internet funciona con cifrado: el HTTPS que puede ver en la URL significa que el sitio web que está visitando utiliza el protocolo SSL o TLS para verificar la conexión y agregar datos. Pero, en realidad, el cifrado no es perfecto.
El cifrado puede brindarle tranquilidad. Pero si un sitio protege su contraseña usando su propia contraseña, un pirata informático puede robar la contraseña del sitio, luego encontrarla y descifrarla. Los piratas informáticos no necesitarán mucho esfuerzo para descubrir su contraseña; Por eso las grandes bases de datos son siempre un gran objetivo.
Si la clave (contraseña) de su sitio está almacenada en el mismo servidor que su contraseña, su contraseña también puede estar en texto sin formato.
Hash: sorprendentemente simple (pero no siempre efectivo)
El hash de contraseñas puede parecer una jerga, pero es simplemente una forma más segura de cifrado.
En lugar de almacenar la contraseña en texto sin formato, el sitio web ejecuta la contraseña a través de una función hash, como MD5, Secure Hashing Algorithm (SHA)-1 o SHA-256, que convierte la contraseña en un conjunto de dígitos completamente diferente. Pueden ser números, letras o cualquier otro carácter.
Su contraseña podría ser IH3artMU0. Puede convertirse en 7dVq$@ihT y si un hacker irrumpe en la base de datos, eso es todo lo que puede ver. Los piratas informáticos no pueden volver a descifrar la contraseña original.
Desafortunadamente, las cosas no son tan seguras como cree. Este método es mejor que el texto plano, pero aún así no supone un problema para los ciberdelincuentes.
Lo importante es que una contraseña particular genere un hash particular. Hay una buena razón para esto: cada vez que inicia sesión con la contraseña IH3artMU0, automáticamente pasa por ese hash y el sitio le permite acceder si ese hash y el de la base de datos del sitio coinciden.
En respuesta, los piratas informáticos han desarrollado tablas de arcoíris, similares a las hojas de trucos. Son listas de hashes, que otros ya utilizan como contraseñas, que un sistema sofisticado puede ejecutar rápidamente, como un ataque de Fuerza Bruta .
Si ha elegido una contraseña realmente pobre, ocupará un lugar destacado en la tabla del arco iris y podrá descifrarse fácilmente. Las contraseñas complejas tardarán más.
Mejor actualmente: salazón y hachís lento
La salazón es una de las técnicas más poderosas implementadas por la mayoría de los sitios web seguros.
Nada es impenetrable: los piratas informáticos siempre están trabajando activamente para descifrar cualquier nuevo sistema de seguridad. Actualmente, existen técnicas más potentes implementadas por los sitios web más seguros. Esas son funciones hash inteligentes.
Los hashes salados se basan en nonce criptográfico, un conjunto de datos aleatorios generado para cada contraseña individual, que suele ser muy largo y complejo.
Estos dígitos adicionales se agregan al principio o al final de la contraseña (o combinación de correo electrónico y contraseña) antes de que pase por la función hash, para defenderse de los intentos realizados utilizando una tabla de arcoíris.
En general, no hay problema si las sales se almacenan en los mismos servidores que los hashes. Descifrar un conjunto de contraseñas puede llevar mucho tiempo a los piratas informáticos y es aún más difícil si las contraseñas son complejas.
Es por eso que siempre debes usar una contraseña segura, sin importar qué tan seguro estés de la seguridad de tu sitio web.
Los sitios web también utilizan hashes lentos como medida adicional. Las funciones hash más famosas (MD5, SHA-1 y SHA-256) existen desde hace algún tiempo y se utilizan ampliamente porque son relativamente fáciles de implementar.
Si bien la sal todavía se aplica, los hashes lentos son aún mejores para defenderse de cualquier ataque que dependa de la velocidad. Al limitar a los piratas informáticos a un número significativamente menor de intentos por segundo, les llevará más tiempo descifrar, lo que hará que los intentos sean menos valiosos y, al mismo tiempo, la tasa de éxito será menor.
Los ciberdelincuentes deben sopesar si vale la pena atacar los lentos sistemas hash o las "soluciones rápidas". Por ejemplo, las instituciones médicas suelen tener menor seguridad, por lo que los datos obtenidos de ellas aún pueden venderse por cantidades sorprendentes de dinero.
Si un sistema está bajo “estrés”, puede ralentizarse aún más. Coda Hale, un ex desarrollador de software de Microsoft, compara MD5 con la función hash lenta más notable, bcrypt (otras funciones incluyen PBKDF-2 y scrypt):
"En lugar de descifrar contraseñas cada 40 segundos (como con MD5), las descifraría aproximadamente cada 12 años (cuando el sistema usa bcrypt). Sus contraseñas probablemente no necesiten ese tipo de seguridad y es posible que necesite un algoritmo de comparación más rápido. , pero bcrypt te permite elegir el equilibrio entre velocidad y seguridad".
Y como aún se puede realizar un hash lento en menos de un segundo, los usuarios no se verán afectados.
¿Ves una notificación de activación de Windows 10 en la esquina derecha de la pantalla? Este artículo le guiará sobre cómo eliminar el aviso de solicitud de derechos de autor en Windows 10.
Recientemente, Microsoft lanzó la última actualización acumulativa para usuarios de PC con Windows 10 llamada Build 14393.222. Esta actualización lanzada para Windows 10 corrige principalmente errores basados en los comentarios de los usuarios y mejora la experiencia de rendimiento del sistema operativo.
¿Tiene computadoras en su red local que necesitan acceso externo? Usar un host bastión como guardián de su red puede ser una buena solución.
A veces es posible que necesites eliminar todos los registros de eventos antiguos a la vez. En esta guía, Quantrimang.com le mostrará 3 formas de eliminar rápidamente todos los registros de eventos en el Visor de eventos de Windows 10.
Si prefiere usar un teclado clásico antiguo, como el IBM Modelo M, que no incluye una tecla física de Windows, existe un método sencillo para agregar más, tomando prestada una tecla que no usa con frecuencia.
WindowTop es una herramienta que tiene la capacidad de atenuar todas las ventanas de aplicaciones y programas que se ejecutan en computadoras con Windows 10. O puede usar una interfaz de fondo oscuro en Windows.
En muchos artículos anteriores hemos mencionado que permanecer anónimo en línea es extremadamente importante. Cada año se filtra información privada, lo que hace que la seguridad en línea sea cada vez más necesaria. Esa es también la razón por la que deberíamos utilizar direcciones IP virtuales. ¡A continuación, aprenderemos sobre métodos para crear IP falsas!
La barra de idioma en Windows 8 es una barra de herramientas de idioma en miniatura diseñada para mostrarse automáticamente en la pantalla del escritorio. Sin embargo, mucha gente quiere ocultar esta barra de idioma en la barra de tareas.
Maximizar la velocidad de Internet es esencial para optimizar su conexión de red. Podrás tener una óptima experiencia de entretenimiento y trabajo utilizando computadoras, televisores con acceso a Internet, consolas de juegos, etc.
La conectividad inalámbrica es una necesidad hoy en día y, por eso, la seguridad inalámbrica es esencial para garantizar la seguridad en su red interna.
