Asegurar su vida digital, el final: desacreditar prácticas de “seguridad” sin valor

Fotografía de primer plano extremo del tarro de píldoras etiquetadas
Agrandar / ¡Toma uno al día para mantener alejado a Evil Hackerman!

La seguridad y la privacidad de la información sufren el mismo fenómeno que vemos en la lucha contra el COVID-19: el síndrome de “he hecho mi propia investigación”. Muchas prácticas de seguridad y privacidad son cosas que se aprenden de segunda o tercera mano, basadas en tomos antiguos o cosas que hemos visto en la televisión, o son el resultado de aprender lecciones equivocadas de una experiencia personal.

Yo llamo a estas cosas “medicina popular cibernética”. Y en los últimos años, me he encontrado tratando de deshacer estos hábitos en amigos, familiares y miembros aleatorios del público. Algunas costumbres cibernéticas son inofensivas o incluso pueden proporcionar una pequeña cantidad de protección incidental. Otros le dan una falsa sensación de protección mientras debilitan activamente su privacidad y seguridad. Sin embargo, algunas de estas creencias se han generalizado tanto que en realidad se han convertido en políticas de la empresa.

Llevé esta pregunta a algunos amigos en InfoSec Twitter: “¿Cuál es el consejo de seguridad más tonto que ha escuchado?? “Muchas de las respuestas ya estaban en mi lista sustancial de contramedidas mitológicas, pero había otras que había olvidado o que ni siquiera había considerado. Y aparentemente, algunas personas (o empresas … ¡o incluso proveedores!) Han decidido estas malas ideas. son canon.

Si me repito de artículos anteriores, es solo porque sigo escuchando estos malos consejos. Este artículo no erradicará estas prácticas, lamentablemente, están tan arraigadas en la cultura que continuarán siendo transmitidas y practicadas religiosamente hasta que las debilidades tecnológicas que les permiten existir se hayan desvanecido en la antigüedad. Pero juntos podemos al menos intentar poner fin a la locura de aquellos en nuestros círculos de influencia.

Mito: Cambiarás tu contraseña cada 30 días

Las contraseñas han sido parte de la seguridad informática desde 1960, cuando Fernando Corbató adicional contraseñas para archivos personales al Sistema de tiempo compartido compatible del . (CTSS). Y casi de inmediato, se convirtieron, como admitió el propio Corbató, en “una pesadilla”. Desde entonces, se han difundido todo tipo de malos consejos (y malas políticas corporativas) sobre cómo usar, administrar y cambiar las contraseñas.

En el pasado, los límites tecnológicos han sido lo principal que dicta la política de contraseñas, por ejemplo, límites en el número y tipo de caracteres. La baja seguridad de las contraseñas cortas llevó a políticas que requerían que las contraseñas se cambiaran con frecuencia. Pero los sistemas operativos y de seguridad modernos han hecho que todo el baile de la contraseña corta versus el cambio frecuente de contraseña sea obsoleto, ¿verdad?

Aparentemente no. No solo se han seguido utilizando estas costumbres populares para iniciar sesión en computadoras personales en el trabajo, sino que se han integrado en los servicios al consumidor en la web; algunos sitios bancarios y de comercio electrónico tienen tamaños máximos estrictos para las contraseñas. Y, probablemente debido al diseño deficiente del software y al temor a los ataques de inyección de SQL o secuencias de comandos entre sitios, algunos servicios también limitan los tipos de caracteres que se pueden usar en las contraseñas. Supongo que es solo en caso de que alguien quiera usar la contraseña “contraseña’); Usuarios de DROP TABLE; –” o algo.

Independientemente de si estamos hablando de una contraseña o ALFILER, las políticas que limitan la longitud o los caracteres debilitan la complejidad y la seguridad. Las contraseñas largas con caracteres como espacios y signos de puntuación son más memorables que los números arbitrarios o las variantes de palabras leetspeak. La definición de Microsoft de un PIN es, esencialmente, una contraseña específica de hardware que controla el acceso al dispositivo y las credenciales de inicio de sesión basadas en la magia negra del Módulo de plataforma confiable; un PIN de cuatro dígitos para el acceso al dispositivo no es más seguro que uno basado en letras y números si alguien ha robado su computadora y la está golpeando en su tiempo libre.

Elija una contraseña lo suficientemente larga y compleja para una computadora personal o del trabajo, y solo debería tener que cambiarla si otra persona la ha compartido o la ha robado. Cambiar las contraseñas cada 30 días solo hace que las contraseñas sean más difíciles de recordar y puede hacer que las personas desarrollen soluciones alternativas para la creación de contraseñas incorrectas que dan como resultado contraseñas más débiles, por ejemplo, aumentando los números al final de ellas:

  • Pa55w0rd1
  • Pa55w0rd2
  • Pa55w0rd3
  • … puedes ver a donde lleva esta locura

Elija una contraseña compleja pero memorable para el inicio de sesión de su computadora o su teléfono, como sugiere XKCD (aunque no uses el del cómic, tal vez genere uno con Diceware!). No lo reutilices en ningún otro lugar. Y no lo cambie a menos que sea necesario.

Mito: ¡No lo escriba!

Muchos de nosotros hemos visto el peor de los casos en la gestión de contraseñas: las contraseñas en notas Post-it pegadas a los monitores en el terreno de los cubículos, esperando ser abusadas. Este hábito ha llevado a muchos aspirantes a mentores de seguridad a gritar: “¡No escriba sus contraseñas!”

Excepto tu probablemente deberían escríbalos, pero no en un post-it en su cubículo. Muchos servicios de autenticación de dos factores promueven la impresión y el almacenamiento de códigos de recuperación en caso de que pierda el acceso a su aplicación o dispositivo de segundo factor, por ejemplo. Y no puede guardar las contraseñas de los dispositivos en un administrador de contraseñas, ¿verdad?

Algunas personas insisten en escribir contraseñas en un cuaderno (¡Hola, mamá!). Nunca le digas a estas personas que están equivocadas, pero hacer anímalos a hacer esto solamente para contraseñas que no se pueden almacenar en un administrador de contraseñas o que pueden ser necesarias para recuperar copias de seguridad y servicios si un dispositivo se daña o se pierde, por ejemplo, si tiene un ID de Apple. Desea que estas contraseñas de alto valor sean complejas y fáciles de recordar, pero se usan con poca frecuencia, por lo que pueden olvidarse más fácilmente. Adelante, escríbalos. Y luego coloque las contraseñas escritas (¡y sus códigos de recuperación 2FA!) En un lugar seguro y no público al que pueda acceder cuando las cosas salgan mal.

Allí es Sin embargo, algo que no debe hacer con las contraseñas es mantenerlas en un archivo de texto u otro formato no cifrado. En un incidente de intrusión reciente que estaba revisando, una de las primeras cosas que los delincuentes lograron hacer fue encontrar un archivo llamado Password List.xlsx. Puedes imaginar cómo fueron las cosas a partir de ahí. Y aparentemente esto sucede de forma habitual en algunas empresas:

Ahora, si estos archivos fueran documentos de Office protegidos con contraseña, al menos habría algo de esperanza, ya que Office usa el cifrado AES y realiza una mezcla seria de contraseñas SHA-1 para generar las claves en versiones más recientes. En los casos en que no puede mantener las contraseñas en un administrador de contraseñas, pero necesita realizar un seguimiento de ellas, este es un nivel aceptable de seguridad en la mayoría de los casos.

Mito: 2FA es 2 aterrador para mí

Soy un gran defensor de la autenticación de dos factores (“2FA”) como una forma de proteger las credenciales de inicio de sesión; Me ha salvado varias veces de que me piratearan cuentas después de que las infracciones de los proveedores revelaran mis contraseñas. (También hubo una ocasión en la que perdí el acceso a una cuenta de correo electrónico porque un proveedor de nombres de dominio decidió no renovar automáticamente mi dominio personal y en su lugar se lo vendió a un operador de blogs fraudulentos. Dejaré que usted adivine cuál registrador me ensució de esa manera). Pero con frecuencia veo personas que deciden no usar 2FA porque vieron en algún lugar que 2FA a través de mensajes de texto es menos seguro, pero no vieron la otra parte sobre el uso de una aplicación de autenticación u otro método en su lugar si posible. Y luego llegaron a la conclusión errónea de que 2FA es más seguro que 2FA con SMS.

Déjame ser claro: alguna 2FA es mejor que ningún 2FA. Y con los tipos habituales de intentos de fuerza bruta que hacen los atacantes contra los servicios en la nube comunes, alguna 2FA hará que alrededor del 90 por ciento de estos intentos sean totalmente infructuosos (y el otro 10 por ciento de las veces solo resultará en una denegación de servicio potencialmente recuperable). Definitivamente quieres algunos forma de 2FA en una cuenta de Amazon o cualquier cosa que tenga algún vínculo con su información de compra, sin importar qué tipo de 2FA sea.

Pero tener 2FA no es garantía de que alguien no logre conseguir lo que quiere. Algunos ataques de phishing ahora están logrando sortear la autenticación de dos factores mediante el uso de ataques de “paso a través” 2FA:

Si recibe un correo electrónico con un enlace que lo lleva a un sitio web que solicita sus credenciales, y luego recibe una alerta 2FA para su inicio de sesión, eso no significa necesariamente que el enlace sea legítimo y que debe proporcionar el código o tocar el ” aprobar “botón. Esto podría ser un intento de que usted simplemente ayude al atacante. Eche un vistazo a ese enlace. Entonces llame a su equipo de seguridad, tal vez. (El equipo de seguridad de mi empleador actual intenta hacerme phishing 2FA dos o tres veces al mes estos días).

Entonces usa 2FA. Pero tenga en cuenta sus solicitudes de inicio de sesión y no apruebe las extrañas.

Leave a Reply

Your email address will not be published. Required fields are marked *