Schneier, por su parte, utiliza la aplicación PasswordSafe, que ayudó a desarrollar, mientras que Gosney ha comenzado recientemente a utilizar LastPass.
El único de los expertos en seguridad que evita un gestor de contraseñas es Desautels, quien dijo que prefiere recordar sus contraseñas o, cuando sea posible, utiliza «tokens de proximidad» con contraseñas de un solo uso para iniciar sesión en su equipo.
«La mayoría de los servicios que ofrecen la administración de contraseñas se basan en una tecnología que es vulnerable a cierto nivel», explicó. «No confío en la tecnología y, desde luego, no voy a confiar con credenciales sensibles si puedo elegir. Puedo utilizar diferentes contraseñas para cada cuenta. Trato de crear mis contraseñas siempre que sea posible, pero que sea fácil recordarlas». Su contraseña más larga tiene 63 caracteres de longitud.
Schneier dijo que a veces también renuncia a los beneficios de un gestor de contraseñas a favor de códigos de acceso que son más fáciles de recordar. Le dijo a Ars que sigue funcionando con un sistema que expuso en 2008.
Se trata de escoger una frase larga, memorable y convertirlo en una contraseña. «Este cerdito fue al mercado», por ejemplo, puede convertirse en » tlpWENT2m «.
En junio, en un blog, respondiendo a una pregunta de descifrado de contraseñas, ofreció otros ejemplos de contraseñas que son a la vez memorables y difíciles de romper: «Cuando tenía siete años, mi hermana tiró mi conejo de peluche en el baño » se convierte en » WIw7 , mstmsritt …» y «Hace mucho tiempo en una galaxia no muy lejos a todos» se convierte en «TiempoL @ go- INAG ~ Faaa».
Schneier dijo que sigue en pie el consejo, aunque se advierte a las personas que deben escoger sus propias frases largas.
Sin duda, las frases y las contraseñas correspondientes que eligió en sus puestos de trabajo ya se han guardado en las listas de palabras vulnerables, por lo que los lectores no las deben considerar fuertes.
Schneier dijo que también sigue dando el consejo que publicó hace ocho años para escribir contraseñas en una hoja de papel y guardarlas en tu cartera o en otro lugar seguro.
Una tirada de dados
Otra manera de conseguir contraseñas que son a la vez fuertes y recordables es utilizar un método conocido como Diceware para encadenar una lista de palabras elegidas al azar.
Un ejemplo podría ser «modificar cocinero ropa recelosos ali» preferiblemente con espacios a menos que la política de contraseñas específica lo impida.
”Para conseguir fuerza, tiene que haber algo al azar en el proceso», dijo Goldberg. «Lanzo dados (o hacer el equivalente electrónico) para recoger cuatro o cinco palabras de una lista de palabras. Es importante que las palabras realmente se puedan seleccionar a través de algún proceso aleatorio externo (como un generador de números aleatorios o tirar los dados). Luego escribir mal por lo menos una de esas palabras».
Sin embargo, Goldberg dijo que prefiere usar contraseñas largas, generadas aleatoriamente cada vez que sea posible.
«Para las contraseñas que yo no tengo que recordar, he elegido 23 de longitud de las contraseñas que genero», dijo. «Elegí 23 porque encontrar una contraseña elegida verdaderamente al azar de esa longitud tiene casi tantas posibilidades como la búsqueda de una clave de cifrado de 128 bits. Cualquier cosa más fuerte es sólo perder el tiempo. »
Gosney, por su parte, emplea una estrategia diferente para las contraseñas que tiene que recordar, siempre que no protejan cuentas que él considera críticas. Se trata de utilizar varios palabras base comunes con diversas transformaciones aplicadas para hacer cada uno lo suficientemente único.
Otro de los retos para asegurar la gestión de contraseñas está la sincronización de contraseñas a través de múltiples dispositivos, especialmente cuando se ejecutan en plataformas vastamente diferentes.
Como se dijo anteriormente, Goldberg aborda el reto con 1Password, que funciona en Windows, Mac OS X, iOS y sistemas operativos Android. LastPass ofrece aún más flexibilidad, se ejecuta en Windows, OSX, Linux, iOS, Android, Windows Phone y Blackberry.
Para aquellos que no quieren usar un gestor de contraseñas, otra opción para el manejo de contraseñas en diferentes dispositivos es utilizar la configuración de sincronización avanzadas en el navegador Google Chrome.
«Yo uso Chrome, que cifra las contraseñas guardadas en su base de datos local,» dijo Gosney. «También permito al navegador que sincronice mis contraseñas con mi cuenta de Google. He configurado Chrome para cifrar todos los datos sincronizados mediante una contraseña de sincronización independiente en lugar de mi contraseña de la cuenta Google. La contraseña de sincronización no se envía a Google, por lo que mis datos en Google están seguros» .
Sin duda, estos métodos no son para todos. Varios de los expertos dicen que no están del todo seguros almacenando contraseñas, aun cuando estén cifradas, en la nube.
«Cuando se pone un montón de cosas de valor en un solo lugar, ese lugar se vuelve muy interesante para los delincuentes», dijo Desautels .Es más, «poner todas tus contraseñas en una ubicación significa que alguien con una citación judicial (o no) puede conseguirlas».
También está la cuestión de confiar en Chrome u otro navegador para almacenar una gran caché de contraseñas.
«Si alguien roba mi ordenador y / o me obligan a entregar mi contraseña de root, yo no quiero que tengan el resto de mis contraseñas, ya que se almacenan localmente» dijo Grossman, que se centra en la seguridad Web.
«En segundo lugar, he visto y he desarrollado muchos hacks para los navegadores que pueden extraer las contraseñas guardadas de la aplicación muy rápidamente con sólo visitar el sitio equivocado, o haciendo clic en un enlace dañino «.
Un ejemplo de este tipo de ataque a partir de 2010 ya está aquí.
Carpe Diem
Algunos consejos añadidos, aunque estos gurús no hayan dicho que los apliquen:
Trata las respuestas a preguntas de seguridad como contraseñas secundarias. Es decir, en lugar de nombrar a la escuela real en que te graduaste, escoge una frase larga como » arNEsISIon » en su lugar.
Sólo asegúrate de almacenar las respuestas falsas en un administrador de contraseñas o cualquier otro lugar seguro.
Otra sugerencia es usar una dirección de correo electrónico específica para todas las cuentas importantes, y no usarla para ningún otro propósito.
Si extraños o sospechosos correos llegan a la bandeja de entrada, puede ser un indicio de una violación grave en alguna parte.
Por último, es aconsejable tener una copia de seguridad de todas las contraseñas en un abogado, el cónyuge u otra persona de confianza. No es un pensamiento agradable, pero algún día vamos a morir. Las contraseñas de las cuentas bancarias, los activos de jubilación y otras cuentas importantes deben ser una parte fundamental de cualquier planificación de patrimonio. Por último, y lo más importante, considera el uso de la autenticación de dos factores cuando sea posible.
Durante más de una década , los visionarios de tecnología han predicho la muerte de las contraseñas como el principal medio para demostrar nuestra identidad en Internet. Hasta que ese día llegue finalmente, los lectores deben recordar que el dolor de generar y almacenar contraseñas de forma segura es mucho más el resultado de la imperfección de este medio de autenticación que de la fragilidad de los miles de millones de personas que dependen de él.
«El problema no es la gestión y el almacenamiento de nombres de usuario y contraseñas», dijo Desautels . «El problema es que estamos usando los nombres de usuario y contraseñas. Nombres de usuario y contraseñas son sólo un método horrible y misterioso de autenticar a alguien.»
Artículo original: http://arstechnica.com/security/2013/07/how-elite-security-ninjas-choose-and-safeguard-their-passwords/
If you found an error, highlight it and press Shift + E or pulsa aquí to inform us.
Dejar una contestacion