Mitos comunes sobre las contraseñas que debes dejar de creer
En la era digital actual, tenemos contraseñas para todo. Banca en línea, cuentas de redes sociales, cuentas de trabajo, cuentas de correo electrónico, préstamos e hipotecas, facturación de servicios públicos y la lista continúa.
Desafortunadamente, gran parte de la población digital usa contraseñas iguales o similares para todo. ¿Y por qué no iban a hacerlo? Es mucho más fácil recordar una o dos contraseñas que recordar únicas para cada cuenta en línea que pueda tener una persona.
Afortunadamente, el inicio de sesión único o SSO hace que sea mucho más fácil para los consumidores administrar sus cuentas. El inicio de sesión único es lo que te permite “Iniciar sesión con Facebook” o “Iniciar sesión con Google”.
Esencialmente, los sitios web que admiten SSO te permiten registrarte en su sitio utilizando una identidad existente. Esto en lugar de crear una nueva única para ese sitio web.
SSO nos ayuda de una manera principal: ahora podemos aprovechar la misma cuenta (y contraseña) para múltiples inicios de sesión. Por lo tanto, se acabaron los días en los que tener inicios de sesión únicos en varios sitios web era una excusa. Esto era una excusa para crear contraseñas débiles y fáciles de recordar.
Las capacidades de SSO nos brindan la conveniencia de reutilizar una identidad. Por lo tanto, lo mínimo que podemos hacer por nosotros y la seguridad de nuestra cuenta es asegurarnos de que las contraseñas de nuestras cuentas sean seguras. Las cuentas de de Google, Microsoft y Social Me deben ser sólidas y complejas.
Pero, ¿qué es exactamente una contraseña segura? ¿Una de 20 caracteres? ¿Uno con algunos caracteres especiales?
Repasemos algunos mitos comunes sobre las contraseñas y refutémoslos.
En HackWise hemos desarrollado la herramienta Buscador de Leaks, la cual permite a los usuarios con membresía Wiser Elite buscar dentro de múltiples Data Breaches para conocer si su correo y contraseñas han sido filtradas en algún Hackeo.
Conoce cualquier contraseña que haya sido filtrada con el Buscador de Leaks
Cuando tu cuenta es hackeada, significa que alguien está tratando de dañarte
Falso
Cuando se trata de cuentas hackeadas, muchas personas pueden pensar que el hacker está sentado en una computadora en algún lugar del mundo. Nos imaginamos que el hacker está ingresando tu cuenta y probando diferentes contraseñas hasta que adivinan la correcta.
Eso está lejos de lo que realmente sucede.
La mayor parte del tiempo, tu cuenta se ve comprometida de manera oportunista de dos maneras.
- Una empresa con la que tienes una cuenta fue vulnerada y tu contraseña estuvo involucrada en esa infracción.
- Tu cuenta estuvo involucrada en un ataque de fuerza bruta
El número uno es el más factible de los dos. Por lo tanto, es importante estar siempre al tanto de las empresas con las que estás involucrado. Esto para asegurarte de estar al tanto de cualquier incidente que haya ocurrido recientemente. Nuestro buscador de leaks es un buen lugar para revisar.
Quizás te estés preguntando, ¿qué es un intento de fuerza bruta?
Fuerza bruta
Los intentos de fuerza bruta son ataques que ocurren cuando un actor malintencionado usa un archivo de texto de contraseñas conocidas. Lo usa para intentar ingresar a una cuenta. El ataque es automatizado en el que un programa recorre una lista de contraseñas en un archivo de texto dado. Y, prueba cada una en una página de inicio de sesión.
Cuando se completa el ataque, el hacker puede revisar los resultados y analizar las fallas de inicio de sesión. Lo que queda es una lista de combinaciones de nombre de usuario y contraseña que tuvieron éxito en el sitio en particular que está tratando de vulnerar.
Es posible que te preguntes de dónde obtienen sus listas de contraseñas los actores maliciosos. Principalmente del #1, infracciones de empresas. Cuando las empresas son vulneradas y las cuentas de los usuarios se ven comprometidas los ciberdelincuentes toman acción. Estos toman esas listas de nombres de usuario y contraseñas y las vierten en la Dark Web. Sin embargo, la mayoría de las veces, la lista de contraseñas hackeadas está cifrada, así que, ¿cómo pueden saber cuáles son las contraseñas?
Desafortunadamente, existen programas poderosos que pueden descifrar listas interminables de cadenas cifradas con relativa rapidez. Lo que me lleva a mi próximo mito a desmitificar …
La complejidad de la contraseña es más importante que la longitud
Falso
La longitud de la contraseña es más importante que la complejidad. Una contraseña de 20 caracteres con cero caracteres especiales es más fuerte que una contraseña de ocho caracteres con varios caracteres especiales.
¿Por qué? Las contraseñas más largas tardan más en descifrarse por las aplicaciones de descifrado de contraseñas que una contraseña más corta.
Puede tomar de 1 a 8 minutos descifrar una contraseña de ocho caracteres. Mientras que una contraseña de 20 caracteres tardaría millones de años en descifrarse.
Aquí hay una gran imagen para enfatizar esto.
Dado esto, una contraseña de BN2@f3=m es en realidad una contraseña más débil que SphinxOverlaborEfficientHarsh. Esto porque es más corta y se puede descifrar en una pequeña cantidad de tiempo.
Entonces, realmente, si nos tomáramos el tiempo para crear contraseñas más largas, en lugar de contraseñas complejas, nuestras cuentas serían mucho más seguras.
¿Quiere saber cómo crear fácilmente una contraseña segura que no sea una pesadilla para escribir?
Use a Passphrase es un sitio que te ayuda a generar al azar frases de contraseña que son fáciles de recordar y muy seguras. Esto a menos que tu cuenta se vea comprometida, por supuesto. ¡Debes echar un vistazo al tiempo aproximado de descifrado que se muestra en el siguiente ejemplo!
Debes cambiar tu contraseña cada 45 a 90 días
Falso
Cambiar tu contraseña con frecuencia no hace más que confundirte y hacer que sea más difícil recordar tu contraseña. Si estableces una contraseña segura y compruebas periódicamente que no ha sido filtrada, ¡estás bien! ¿Qué dice eso? Si no está descifrada, ¿no la cambias? Bueno, si no está filtrada, ¡no la cambies!
Una forma buena y fácil de comprobar que tu contraseña no se ha visto comprometida es usar nuestro buscador de leaks.
Este te permite ingresar una contraseña, ya sea una nueva que estés a punto de usar o una existente. Este la comparará con una base de datos de contraseñas filtradas para ver si la tuya está allí.
Si está ahí, ¡no la uses!
Si mi contraseña es segura, no necesito implementar MFA
Falso
MFA, o autenticación multifactor, es imprescindible en la actualidad. Para ser honesto, si una plataforma no ofrece configuración MFA, generalmente estoy un poco preocupado. Especialmente si se trata de un sitio financiero, de salud o gubernamental.
Si bien las contraseñas largas reducen significativamente el riesgo de que la cuenta se vea comprometida, no mitiga el riesgo por completo. Tu contraseña aún puede ser descifrada a través de malware como keyloggers y ladrones de información y correos electrónicos de phishing/spam.
Como puedes adivinar, el keylogger captura tus pulsaciones de teclado y el ladrón de información exfiltra datos de tu computadora. Cualquiera de esos programas maliciosos puede resultar en el robo de tu contraseña.
El phishing y el spam son esos correos electrónicos molestos que todos recibimos. Estos intentan engañar a los destinatarios para que proporcionen información confidencial, como su nombre de usuario y contraseña. Muchas de estas estafas se han vuelto muy sofisticadas. Y, van tan lejos como para imitar una página de inicio de sesión de redes sociales o correo electrónico. Por eso es importante comprobar siempre la URL del sitio al que estás a punto de iniciar sesión.
¿Es seguro?
¿Muestra el icono del candado y es HTTPS, lo que indica que el tráfico está cifrado? Si ves HTTP, no ingreses información confidencial en el sitio porque se transmitirá en texto sin cifrar, lo que te hará susceptible de ser robado.
¿Es legítimo? – ¿Coincide la URL con lo que esperarías ver? Por ejemplo, si quisiera iniciar sesión en Facebook, esperaría ver https://facebook.com/login o algo similar. No https://faceboook[.]com[/]login. Ten en cuenta que este tiene tres o.
Entonces, dada la información anterior, es importante comprender que una contraseña segura no protege tu información contra el robo. Es por eso que tener un segundo factor de autenticación, como un mensaje de texto SMS o un código de autenticación móvil es necesario. Este proporciona un enfoque de defensa en profundidad para la seguridad de tu cuenta en caso de que alguien obtenga tu contraseña e intente iniciar sesión.
Es similar a las defensas que ponemos en nuestras casas. Instalar una cerradura y un cerrojo servirá lo suficientemente bien para proteger nuestro hogar. No obstante, muchas personas deciden instalar sistemas de seguridad y cámaras para agregar medidas de detección en caso de un robo.
Consejos importantes
Para terminar con esto y ponerle un bonito lazo, aquí hay algunas cosas que debes hacer. A continuación, algunos consejos adicionales para ayudarte a crear excelentes contraseñas y proteger tus cuentas:
- Utiliza contraseñas largas y aprovecha un generador de frases de contraseña para crear una para ti.
- Alternativamente, algunas excelentes frases de contraseña son un título de película o canción favorita o líneas de una película o canción favorita. ¡Dado que no compartes abiertamente esta información!
- Utiliza un administrador de contraseñas para ayudarte a administrar tus contraseñas, pero evita almacenar tu contraseña en los navegadores. Cuando tu navegador te pregunte si deseas guardar tu contraseña para uso futuro, haz clic en ¡No!
- Puedes usar nuestro servicio de buscador de leaks para verificar si tu correo electrónico y/o contraseña ha estado involucrado en alguna infracción. Y asegúrate de cambiar tu contraseña en los sitios donde ha estado.
- Habilita MFA siempre que esté disponible y evita las preguntas de seguridad/correo electrónico como segundo factor, ya que se pueden ver comprometidos fácilmente. Los autenticadores móviles como Microsoft y Google Authenticator son las mejores opciones.
- Si bien SSO te permite usar la misma identidad en múltiples plataformas, aún debes crear contraseñas únicas. Debes crearla en sitios que no usan el inicio de sesión único
Espero que este artículo destructor de mitos te proporcione información útil para tener en cuenta la próxima vez que crees una.