Si quieres recibir un correo cuando haya un nuevo post, escribe aquí tu mail.- CU

viernes, 12 de mayo de 2017

PONGÁMOSLO DIFÍCIL !! (Hackers, Crackers, Gestores de Contraseñas, Passwords......)


CREDITS TO MOTHERBOARD:

https://motherboard.vice.com/en_us/article/hacker-steals-millions-of-user-account-details-from-education-platform-edmodo
___________________________________________________

Hola a todos:

Este miércoles estaba hablando con mis alumnos sobre la importancia de las contraseñas, de no usar el mismo password para todo, de utilizar caracteres especiales, mayúsculas, minúsculas, números.... y casi todos me estuvieron diciendo el problema que suponía todo eso, así como la "exigencia" de algunos organismos de cambiar la clave cada 6 meses para seguir teniendo acceso a ella, la dificultad de utilizar una clave de esas características (y más teniendo en cuenta que hay que utilizar contraseña PARA TODO) y todo eso.

Digo esto porque esta mañana me despertaba con la noticia de que un servicio de internet ha sido crackeado (NO ESTA CONFIRMADO POR ELLOS, pero tampoco era de esperar...no) y que han tenido acceso a millones de contraseñas (nombres de usuario, passwords y e`mails) con todo lo que ello puede suponer.

Nos podemos preguntar que cómo pueden saber entonces que ha sido crackeado?

Pues porque en la página de Hansa en la "darkweb"  aparece el anuncio que incluyo a continuación....





... en donde indica que tiene 77 millones de passwords (deben de ser todas menos la mía, porque ya la he cambiado ;) )



El sitio web LEAKBASE les ha dado a los de MOTHERBOARD una lista para verificar que no es una "fantasmada" y que la lista es real y parece que tiene todas las trazas, porque con los mails que les han dado, no pueden registrar nuevos usuarios en edmodo (lo que parece indicar que es porque esas cuentas ya están siendo usadas).

Edmodo dice que "está verificando la veracidad de los datos" pero mientras los verifica tampoco habría costado tanto avisar a los usuarios con mayor nivel de acceso por si alguno de ellos tiene esa contraseña utilizada en otros servicios o incluso en el acceso a su correo vinculado al acceso.


---------------------------------

Digo esto tras haber cambiado ya mi contraseña de acceso.

La he cambiado solamente porque no se viera afectado mi perfil y nivel de edmodo, porque esos datos no afectarían a otro tipo de acceso.


Cómo puedo estar tan seguro de ello.

Hace ya muchos años, que unos amigos me demostraron (crackeandome varias cuentas en sitios web) que la mejor contraseña y más difícil (si no imposible) de crackear, era una que ni siquiera tu fueras capaz de recordar y con una extensión de al menos 8 caracteres.

Y ahora viene cuando la matan, porque como vas a poner una contraseña lo suficientemente larga que ni siquiera tú puedas recordar??

Pues directamente usando un gestor de contraseñas, bloqueándolo con una contraseña maestra lo suficientemente buena como para complicar el acceso y que no vayas "publicando" por todos lados y generando contraseñas seguras con ellas.

A modo de ejemplo un botón.

- Yo tengo registro en Siteground

 (REGISTRO POR SUPUESTO IMAGINARIO, a ver si ahora lo vamos a fastidiar..jajaj)

- tengo el pluging LASTPASS (instalado en mi navegador)

- cuando me voy a registrar tengo multitud de opciones (que tampoco es plan de ponerse a explicar ahora por aquí porque el funcionamiento de este plugin es bastante complejo para usarlo a nivel avanzado), pero la que más me interesa es la de "GENERAR CONTRASEÑA" con las características que yo tenga definidas. la genero, la uso y a correr.


N.B.- las características que tengo configuradas por defecto en lastpass son 12 caracteres con mayúsculas, minúsculas, números y caracteres especiales (y no pronunciable).


De todos modos, no hay nada seguro, porque si bien adivinar la contraseña por método de fuerza bruta, o por ingenieria social es IMPOSIBLE (salvo que tenga cientos de ordenadores sincronizados para adivinar el password, y disponga de miles de millones de años) puede acceder a la base de datos de la empresa en la que estoy registrado y obtenerlos.

Pues bien, en ese caso, habré perdido acceso a un sitio web, pero a ninguno más.


________________________________________________________________

No quiero extenderme, más que nada porque no se en que quedará todo esto e igual me estoy PRECIPITANDO en mis valoraciones y es un fake muy bien montado, pero el que vende esta base de datos y pide sobre $1000, tiene nivel 1 y es "conocido".

Una última observación... podéis pensar que siempre hay una contraseña de acceso a last pass.-

 Llevo  utilizándolo años y años, jamás una filtración de su base de datos, la contraseña que utilizo allí cumple los requisitos que considero básicos y..... si alguien accede a lastpass desde un ordenador que no es el mio (IP) le pedirá una confirmación de acceso a través de mi móvil o correo (según tenga configurado) y si pese a ello acceden me mandará un mail como .....




en el que me dice que la IP XXXXXXX  ha solicitado un cambio de contraseña y que si no he sido yo y quiero revertir ese cambio, simplemente he de solicitarlo a soporte (VERIFICANDO).



NADA ES TOTALMENTE SEGURO, PERO AL MENOS....


PONGÁMOSLO DIFICIL.


Have a nice day.- PP4MNK