{"id":6322,"date":"2013-11-15T08:55:00","date_gmt":"2013-11-15T07:55:00","guid":{"rendered":"http:\/\/www.montejo.biz\/blog\/?p=6322"},"modified":"2013-12-01T12:12:26","modified_gmt":"2013-12-01T11:12:26","slug":"cmo-los-ninjas-de-lite-de-la-seguridad-protegen-sus-contraseas-y-iii","status":"publish","type":"post","link":"https:\/\/www.montejo.biz\/blog\/2013\/11\/15\/cmo-los-ninjas-de-lite-de-la-seguridad-protegen-sus-contraseas-y-iii\/","title":{"rendered":"C\u00f3mo los ninjas de \u00e9lite de la seguridad protegen sus contrase\u00f1as (y III)"},"content":{"rendered":"

Schneier, por su parte, utiliza la aplicaci\u00f3n PasswordSafe<\/a>, que ayud\u00f3 a desarrollar, mientras que Gosney ha comenzado recientemente a utilizar LastPass<\/a>.<\/p>\n

El \u00fanico de los expertos en seguridad que evita un gestor de contrase\u00f1as es Desautels, quien dijo que prefiere recordar sus contrase\u00f1as o, cuando sea posible, utiliza \u00abtokens de proximidad<\/a>\u00bb con contrase\u00f1as de un solo uso para iniciar sesi\u00f3n en su equipo.<\/p>\n

\"19-10-2013-12-22-19_thumb\"<\/a><\/p>\n

\u00abLa mayor\u00eda de los servicios que ofrecen la administraci\u00f3n de contrase\u00f1as se basan en una tecnolog\u00eda que es vulnerable a cierto nivel\u00bb, explic\u00f3. \u00abNo conf\u00edo en la tecnolog\u00eda y, desde luego, no voy a confiar con credenciales sensibles si puedo elegir. Puedo utilizar diferentes contrase\u00f1as para cada cuenta. Trato de crear mis contrase\u00f1as siempre que sea posible, pero que sea f\u00e1cil recordarlas\u00bb. Su contrase\u00f1a m\u00e1s larga tiene 63 caracteres de longitud.<\/p>\n

<\/p>\n

Schneier dijo que a veces tambi\u00e9n renuncia a los beneficios de un gestor de contrase\u00f1as a favor de c\u00f3digos de acceso que son m\u00e1s f\u00e1ciles de recordar. Le dijo a Ars<\/a> que sigue funcionando con un sistema que expuso en 2008<\/a>.<\/p>\n

\"19-10-2013-12-23-09_thumb\"<\/a><\/p>\n

Se trata de escoger una frase larga, memorable y convertirlo en una contrase\u00f1a. \u00abEste cerdito fue al mercado\u00bb, por ejemplo, puede convertirse en \u00bb tlpWENT2m \u00ab.<\/p>\n

En junio, en un blog<\/a>, respondiendo a una pregunta de descifrado de contrase\u00f1as, ofreci\u00f3 otros ejemplos de contrase\u00f1as que son a la vez memorables y dif\u00edciles de romper: \u00abCuando ten\u00eda siete a\u00f1os, mi hermana tir\u00f3 mi conejo de peluche en el ba\u00f1o \u00bb se convierte en \u00bb WIw7 , mstmsritt …\u00bb y \u00abHace mucho tiempo en una galaxia no muy lejos a todos\u00bb se convierte en \u00abTiempoL @ go- INAG ~ Faaa\u00bb.<\/p>\n

\"19-10-2013-13-15-12_thumb\"<\/a><\/p>\n

Schneier dijo que sigue en pie el consejo, aunque se advierte a las personas que deben escoger sus propias frases largas.<\/p>\n

Sin duda, las frases y las contrase\u00f1as correspondientes que eligi\u00f3 en sus puestos de trabajo ya se han guardado en las listas de palabras vulnerables, por lo que los lectores no las deben considerar fuertes.<\/p>\n

Schneier dijo que tambi\u00e9n sigue dando el consejo que public\u00f3 hace ocho a\u00f1os para escribir contrase\u00f1as en una hoja de papel<\/a> y guardarlas en tu cartera o en otro lugar seguro.<\/p>\n

\"20-10-2013-20-51-39_thumb\"<\/a><\/p>\n

Una tirada de dados<\/strong><\/p>\n

Otra manera de conseguir contrase\u00f1as que son a la vez fuertes y recordables es utilizar un m\u00e9todo conocido como Diceware<\/a> para encadenar una lista de palabras elegidas al azar.<\/p>\n

\"20-10-2013-20-53-26_thumb\"<\/a><\/p>\n

Un ejemplo podr\u00eda ser \u00abmodificar cocinero ropa recelosos ali\u00bb preferiblemente con espacios a menos que la pol\u00edtica de contrase\u00f1as espec\u00edfica lo impida.<\/p>\n

\u201dPara conseguir fuerza, tiene que haber algo al azar en el proceso\u00bb, dijo Goldberg. \u00abLanzo dados (o hacer el equivalente electr\u00f3nico) para recoger cuatro o cinco palabras de una lista de palabras. Es importante que las palabras realmente se puedan seleccionar a trav\u00e9s de alg\u00fan proceso aleatorio externo (como un generador de n\u00fameros aleatorios o tirar los dados). Luego escribir mal por lo menos una de esas palabras\u00bb.<\/p>\n

Sin embargo, Goldberg dijo que prefiere usar contrase\u00f1as largas, generadas aleatoriamente cada vez que sea posible.<\/p>\n

\"20-10-2013-20-55-03_thumb\"<\/a><\/p>\n

\u00abPara las contrase\u00f1as que yo no tengo que recordar, he elegido 23 de longitud de las contrase\u00f1as que genero\u00bb, dijo. \u00abEleg\u00ed 23 porque encontrar una contrase\u00f1a elegida verdaderamente al azar de esa longitud tiene casi tantas posibilidades como la b\u00fasqueda de una clave de cifrado de 128 bits. Cualquier cosa m\u00e1s fuerte es s\u00f3lo perder el tiempo. \u00bb<\/p>\n

Gosney, por su parte, emplea una estrategia diferente para las contrase\u00f1as que tiene que recordar, siempre que no protejan cuentas que \u00e9l considera cr\u00edticas. Se trata de utilizar varios palabras base comunes con diversas transformaciones aplicadas para hacer cada uno lo suficientemente \u00fanico.<\/p>\n

\"20-10-2013-20-56-27_thumb\"<\/a><\/p>\n

Otro de los retos para asegurar la gesti\u00f3n de contrase\u00f1as est\u00e1 la sincronizaci\u00f3n\u00a0 de contrase\u00f1as a trav\u00e9s de m\u00faltiples dispositivos, especialmente cuando se ejecutan en plataformas vastamente diferentes.<\/p>\n

Como se dijo anteriormente, Goldberg aborda el reto con 1Password, que funciona en Windows, Mac OS X, iOS y sistemas operativos Android. LastPass ofrece a\u00fan m\u00e1s flexibilidad, se ejecuta en Windows, OSX, Linux, iOS, Android, Windows Phone y Blackberry.<\/p>\n

\"20-10-2013-20-57-10_thumb\"<\/a><\/p>\n

Para aquellos que no quieren usar un gestor de contrase\u00f1as, otra opci\u00f3n para el manejo de contrase\u00f1as en diferentes dispositivos es utilizar la configuraci\u00f3n de sincronizaci\u00f3n avanzadas en el navegador Google Chrome<\/a>.<\/p>\n

\u00abYo uso Chrome, que cifra las contrase\u00f1as guardadas en su base de datos local,\u00bb dijo Gosney. \u00abTambi\u00e9n permito al navegador que sincronice mis contrase\u00f1as con mi cuenta de Google. He configurado Chrome para cifrar todos los datos sincronizados mediante una contrase\u00f1a de sincronizaci\u00f3n independiente en lugar de mi contrase\u00f1a de la cuenta Google. La contrase\u00f1a de sincronizaci\u00f3n no se env\u00eda a Google, por lo que mis datos en Google est\u00e1n seguros\u00bb .<\/p>\n

Sin duda, estos m\u00e9todos no son para todos. Varios de los expertos dicen que no est\u00e1n del todo seguros almacenando contrase\u00f1as, aun cuando est\u00e9n cifradas, en la nube.<\/p>\n

\u00abCuando se pone un mont\u00f3n de cosas de valor en un solo lugar, ese lugar se vuelve muy interesante para los delincuentes\u00bb, dijo Desautels .Es m\u00e1s, \u00abponer todas tus contrase\u00f1as en una ubicaci\u00f3n significa que alguien con una citaci\u00f3n judicial (o no) puede conseguirlas\u00bb.<\/p>\n

\"20-10-2013-20-59-43_thumb\"<\/a><\/p>\n

Tambi\u00e9n est\u00e1 la cuesti\u00f3n de confiar en Chrome u otro navegador para almacenar una gran cach\u00e9 de contrase\u00f1as.<\/p>\n

\u00abSi alguien roba mi ordenador y \/ o me obligan a entregar mi contrase\u00f1a de root, yo no quiero que tengan el resto de mis contrase\u00f1as, ya que se almacenan localmente\u00bb dijo Grossman, que se centra en la seguridad Web.<\/p>\n

\u00abEn segundo lugar, he visto y he desarrollado muchos hacks para los navegadores que pueden extraer las contrase\u00f1as guardadas de la aplicaci\u00f3n muy r\u00e1pidamente con s\u00f3lo visitar el sitio equivocado, o haciendo clic en un enlace da\u00f1ino \u00ab.<\/p>\n

Un ejemplo de este tipo de ataque a partir de 2010 ya est\u00e1 aqu\u00ed<\/a>.<\/p>\n

\"20-10-2013-21-00-37_thumb\"<\/a><\/p>\n

Carpe Diem<\/strong><\/p>\n

Algunos consejos a\u00f1adidos, aunque estos gur\u00fas no hayan dicho que los apliquen:<\/p>\n

Trata las respuestas a preguntas de seguridad como contrase\u00f1as secundarias. Es decir, en lugar de nombrar a la escuela real en que te graduaste, escoge una frase larga como \u00bb arNEsISIon \u00bb en su lugar.<\/p>\n

\"20-10-2013-21-01-41_thumb\"<\/a><\/p>\n

S\u00f3lo aseg\u00farate de almacenar las respuestas falsas en un administrador de contrase\u00f1as o cualquier otro lugar seguro.<\/p>\n

Otra sugerencia es usar una direcci\u00f3n de correo electr\u00f3nico espec\u00edfica para todas las cuentas importantes, y no usarla para ning\u00fan otro prop\u00f3sito.<\/p>\n

Si extra\u00f1os o sospechosos correos llegan a la bandeja de entrada, puede ser un indicio de una violaci\u00f3n grave en alguna parte.<\/p>\n

\"20-10-2013-21-07-39_thumb\"<\/a><\/p>\n

Por \u00faltimo, es aconsejable tener una copia de seguridad de todas las contrase\u00f1as en un abogado, el c\u00f3nyuge u otra persona de confianza. No es un pensamiento agradable, pero alg\u00fan d\u00eda vamos a morir. Las contrase\u00f1as de las cuentas bancarias, los activos de jubilaci\u00f3n y otras cuentas importantes deben ser una parte fundamental de cualquier planificaci\u00f3n de patrimonio. Por \u00faltimo, y lo m\u00e1s importante, considera el uso de la autenticaci\u00f3n de dos factores<\/a> cuando sea posible.<\/p>\n

Durante m\u00e1s de una d\u00e9cada , los visionarios de tecnolog\u00eda han predicho la muerte de las contrase\u00f1as<\/a> como el principal medio para demostrar nuestra identidad en Internet. Hasta que ese d\u00eda llegue finalmente, los lectores deben recordar que el dolor de generar y almacenar contrase\u00f1as de forma segura es mucho m\u00e1s el resultado de la imperfecci\u00f3n de este medio de autenticaci\u00f3n que de la fragilidad de los miles de millones de personas que dependen de \u00e9l.<\/p>\n

\"20-10-2013-21-10-34_thumb\"<\/a><\/p>\n

\u00abEl problema no es la gesti\u00f3n y el almacenamiento de nombres de usuario y contrase\u00f1as\u00bb, dijo Desautels . \u00abEl problema es que estamos usando los nombres de usuario y contrase\u00f1as. Nombres de usuario y contrase\u00f1as son s\u00f3lo un m\u00e9todo horrible y misterioso de autenticar a alguien.\u00bb<\/p>\n

Art\u00edculo original: http:\/\/arstechnica.com\/security\/2013\/07\/how-elite-security-ninjas-choose-and-safeguard-their-passwords\/<\/a><\/p>\n\n\t\t\t\t\t\t\t

If you found an error, highlight it and press Shift + E<\/strong> or pulsa aqu\u00ed<\/strong><\/a> to inform us.<\/p>\n\t\t\t\t\t\t<\/div>