"12345" és realment dolent: la vostra guia definitiva de seguretat de contrasenyes

Us hem aconsellat una i altra vegada que l’única manera segura d’emmagatzemar i utilitzar contrasenyes és confiar en un gestor de contrasenyes, però alguns no escolteu. En una enquesta PCMag sobre contrasenyes, només un 24 per cent de vosaltres va informar d’utilitzar un gestor de contrasenyes. Què fas la resta? Feu servir contrasenyes fàcils com la contrasenya o el 12345678? Memoritzar una contrasenya complexa i utilitzar-la a tot arreu? Escolteu, tenir cura de la seguretat de les contrasenyes no és poca cosa, però tenint en compte l’enorme escala del risc, tal com s’il·lustra a la recent violació de la col·lecció # 1, que va exposar 773 milions d’ adreces de correu electrònic piratejades: heu de fer tot el possible per mantenir les contrasenyes Caixa forta.

Tot i que utilitzeu el millor gestor de contrasenyes, no garanteix la seguretat dels vostres comptes, no si feu servir el gestor de contrasenyes per recordar aquelles mateixes contrasenyes cansades i antigues. Heu de baixar a les trinxeres i canviar les contrasenyes incorrectes de les més noves.

L'enquesta esmentada anteriorment va revelar que el 35 per cent dels lectors PCMag mai canvien la seva contrasenya, tret que es vegin obligats a fer-ho per incompliments. En general, això no és tan dolent. L’Institut Nacional de Normes i Tecnologia ja no recomana canviar les contrasenyes cada 90 dies. Ara NIST recomana utilitzar frases de contrasenya llargues com ara "Correct-Horse-Battery-Staple" i canviar-les només quan sigui necessari. Però si utilitzeu contrasenyes terribles, "quan sigui necessari" vol dir ara mateix .

Què fa que una contrasenya incorrecta? Analitzarem alguns dels atributs de contrasenyes terribles i, a continuació, us donarem alguns indicadors sobre com fer contrasenyes de la manera correcta.

Queda fora del diccionari

Cada pocs mesos, un local de notícies o un altre publica una llista de les pitjors contrasenyes. Veiem moltes opcions fàcils d’escriure, com 123456 i 12345678 i qwerty. Fàcil per a vostè? Segur. Però també és fàcil que els pirates informàtics facin crack. Altres contrasenyes comunes (i pobres) consisteixen en paraules del diccionari senzilles. Hem vist el bàsquet, el mico i les estrelles de la llista a les pitjors contrasenyes. Aquests també són fàcils d’esquerdar.

Alguns llocs web segurs es bloquegen després d’un nombre d’intents de contrasenya incorrectes, però molts no. Per a aquells que no tinguin cap bloqueig difícil d'endevinar, els pirates informàtics poden creuar una llista d'adreces de correu electrònic amb una llista de contrasenyes més populars i configurar un procés automatitzat per intentar combinar fins que entren.

Un lloc web protegit correctament no emmagatzema la vostra contrasenya enlloc. En lloc d'això, s'executa la contrasenya mitjançant un algoritme hashing, una mena de xifratge d'un sol sentit. La mateixa entrada sempre produeix la mateixa sortida, però no hi ha manera de tornar a la contrasenya original del hash resultant. Si la contrasenya que escriviu ha estat igual al mateix valor que s’emmagatzema, obtindreu accés. Tot i que els pirates informàtics capturen les dades d’usuari del lloc, no reben contrasenya, només hash.

Però els pirates informàtics intel·ligents poden crackar contrasenyes febles fins i tot quan es rentin, si saben quina és la funció de trastorn que utilitza el lloc. Comencen fent funcionar un enorme diccionari de contrasenyes comunes mitjançant la funció hashing. Després busquen els hams resultants a les dades capturades. Cada partit és una contrasenya esquerp. Els llocs amb la millor seguretat milloren la funció hash amb una tècnica anomenada salat, que fa que aquest tipus d’esquerdament basat en taula es pugui imposar, però, per què arriscar-se? Només queda fora del diccionari.

Pensa diferent

Un amic em va dir una vegada la seva contrasenya perfecta: 1qaz2wsx3edc4rfv. Ella podria "escriure" simplement lliscant un dit sobre quatre columnes inclinades del teclat. Era tan perfecte, que l'utilitzava a tot arreu. I va ser un gran error.

Difícilment passa una setmana sense notícies d’incompliment en alguna empresa o lloc web, exposant milers o milions de noms d’usuari i contrasenyes. Les víctimes intel·ligents canvien les contrasenyes immediatament. Els que ignoren el problema poden trobar-se bloquejats fora dels propis comptes després que els pirates informàtics restablissin la contrasenya.

Aquests pirates informàtics saben que moltes persones reciclen les seves contrasenyes. Una vegada que trobin un pare d’usuari i una contrasenya que funcionin, provaran les mateixes credencials d’altres llocs. És possible que no estigueu tan preocupats de perdre l’accés al vostre compte de Club Penguin, però si heu utilitzat la mateixa sessió al lloc web del vostre banc, haureu tingut molts problemes.

Va pitjor. Si algú altre té el control del vostre compte de correu electrònic, primer us pot bloquejar canviant la contrasenya. Aleshores, poden entrar en els altres comptes si teniu un enllaç de restabliment de contrasenya per correu electrònic. Et preocupes encara?

No tinguis personal

L'ús de la informació personal com a base de les contrasenyes és molt temptador, però és una mala idea. És probable que el nom del vostre gos aparegui als diccionaris que fan els hackers per als atacs de força bruta. Altres possibles, com les inicials i la data de naixement d’un membre de la família, probablement no recauen en un atac de força bruta, però si algú vol piratejar el seu compte específicament, aquestes dades personals poden generar un atac d’endevinació d’errors i proves.

No penseu ni un minut que les vostres dades personals siguin privades. Hi ha desenes de llocs que es poden utilitzar per trobar detalls sobre qualsevol persona: adreça, data de naixement, estat civil i molt més. Les publicacions en xarxes socials poden ser una altra font d'informació personal, sobretot si no heu assegurat correctament els vostres comptes. Un pirata informàtic determinat (o un veí maldestre) probablement pugui endevinar qualsevol contrasenya que creeu en funció de les vostres pròpies dades.

Tanqueu la porta posterior

Si no utilitzeu un gestor de contrasenyes, segur que heu oblidat la contrasenya d’un lloc. És massa freqüent, és per això que pràcticament totes les pàgines d’inici de sessió inclouen un "Heu oblidat la vostra contrasenya?" enllaç. Alguns llocs envien un enllaç de restabliment a la vostra adreça de correu electrònic, mentre que altres us permeten restablir la contrasenya després de respondre a les vostres preguntes de seguretat. I això obre les portes posteriors a qualsevol persona que vulgui piratejar el vostre compte.

La majoria de llocs ofereixen opcions abismals per a qüestions de seguretat. Com es diu la donzella de la teva mare? On vas anar a l'institut? Quina va ser la teva primera feina? Com s'ha assenyalat, la vostra vida personal és un llibre obert a qualsevol persona que tingui habilitats de cerca a Internet. Quan sigui possible, ignora les preguntes predefinides. Creeu la vostra pròpia pregunta amb una resposta única que sempre recordareu però que ningú més podia endevinar.

És més difícil quan el lloc no us permet definir les vostres pròpies preguntes. En aquest cas, la millor aposta és utilitzar una resposta memorable que sigui una mentida total. El nom de donzella de la meva mare és Obama. Vaig anar a l'escola a la màrtir comunista. Per a la meva primera feina, vaig ser domador de lleons. Hi ha un element de risc, ja que podríeu oblidar la mentida que heu triat. Suggeriria emmagatzemar aquestes respostes extravagants com a notes segures al gestor de contrasenyes… però si utilitzeu un gestor de contrasenyes hauria recordat la vostra contrasenya.

Què fer ara que us importa

Espero que us hagi convençut que l’ús de contrasenyes comunes és una idea podrida, com crear contrasenyes a partir d’informació personal. I fins i tot la contrasenya més forta i aleatòria es converteix en una responsabilitat si la feu servir arreu. Si esteu preparats per prendre mesures, aquí teniu alguns punts de partida:

• Utilitzeu un gestor de contrasenyes.
• Canvieu a un millor gestor de contrasenyes.
• Recordeu una contrasenya màxima de seguretat del vostre gestor de contrasenyes.
• Aprofiteu un generador de contrasenyes aleatòries per actualitzar les vostres contrasenyes antigues i dolentes.
• Fins i tot podeu crear el vostre propi generador de contrasenyes aleatoris a Excel.
• Habiliteu l'autenticació de dos factors sempre que estigui disponible.

Si un lloc segur no es cuida de la seguretat, podríeu perdre les credencials d'aquest lloc per incomplir les dades, però fent que totes les vostres contrasenyes siguin llargues, fortes i úniques, heu fet tot el possible per protegir els vostres comptes en línia.

I jeje! Ara que teniu un servei rotat, segur per la seguretat, plantegeu afegir una xarxa privada virtual o VPN. Si utilitzeu contrasenyes fortes per a llocs segurs, els altres no poden entrar als vostres comptes; Si afegiu una VPN, no hi ha cap possibilitat que algú pugui interceptar la vostra connexió amb aquests llocs segurs.