211service.com
Cómo evitar que un truco al estilo Gawker te ponga en peligro
Aquí hay dos hechos clave para todas aquellas personas que se verán comprometidas por el incumplimiento y posterior publicación de 1,3 millones de combinaciones de nombres de usuario, contraseñas y cuentas de correo electrónico de Gawker.com:
1) Teóricamente, este tipo de cosas podrían estar sucediendo todo el tiempo, debido a la gran cantidad de sitios web que ahora tienen al menos una de nuestras contraseñas.
2) Es patéticamente fácil asegurarse de que este tipo de ataque nunca amenace su seguridad en línea.
Primero, comencemos con el resumen más breve posible de los hechos. Si ya ha asimilado el resto de la cobertura sobre este tema, puede omitir los dos párrafos siguientes, y si ya comprende por qué es increíblemente imprudente usar la misma contraseña en varios sitios, puede omitir los siguientes cuatro.
Los piratas informáticos entraron en la base de datos de las cuentas de los comentaristas (y aparentemente en todas las demás bases de datos) de Gawker.com. Esta base de datos incluye no solo nombres de usuario y contraseñas, sino también direcciones de correo electrónico. Lo sabemos porque hicieron pública toda la base de datos; está disponible a través de BitTorrent en este momento.
Debido a que muchas personas usan la misma contraseña para absolutamente todo, una encuesta sugiere que podría ser tan alto como el 75 por ciento –Los piratas informáticos de todas partes ahora tienen acceso a versiones encriptadas de las contraseñas utilizadas por los comentaristas de Gawker y las direcciones de correo electrónico para las que esas contraseñas probablemente funcionen. El cifrado de estas contraseñas es débil, pero la buena noticia es que Gawker solo almacenaba los primeros 8 caracteres de estas contraseñas. Por lo tanto, si su contraseña tiene 10 o más caracteres, puede estar seguro incluso si no la cambió en todos los demás sitios en los que la usa.
Mucha gente va a cambiar sus contraseñas en respuesta a esta brecha de seguridad. Pero por una razón u otra, muchos no lo harán, lo que los deja vulnerables en el futuro previsible.
Más importante aún, este ataque señala un hecho simple que todos debemos tener en cuenta al crear contraseñas en línea. Cuando usa la misma contraseña para varios sitios diferentes, está haciendo que esa contraseña sea tan segura como el sitio más débil en el que la usa. Es decir, la forma más fácil de piratear la cuenta de correo de Google de alguien es encontrar su contraseña en algún sitio con menor seguridad: este elemento humano es la vulnerabilidad número uno en Gmail.
Así es como se derrota este hecho básico de la seguridad en Internet, que es que, tarde o temprano, su contraseña se hará pública, de una forma u otra:
Garantice su seguridad memorizando cuatro contraseñas y usándolas en niveles
1. Todos tenemos una contraseña desechable que usamos en sitios que no nos importan. ¡Bien! Siga usando esta contraseña en los sitios que no le interesan (como Gawker.com). Si alguna vez se viola, el peor de los casos es que ahora los piratas informáticos tengan la única contraseña que no podría importarle menos. En el peor de los casos: piratean su cuenta de Last.fm (etc.) y comienzan a publicar me gusta vergonzosos.
2. Para los sitios en los que no desea que se haga pasar por su identidad (Twitter, Facebook, etc.) utilice una segunda contraseña, diferente de la primera. Asegúrese de que no sea una palabra en el diccionario, hágalo siempre que se sienta cómodo haciéndolo y asegúrese de que contenga caracteres especiales en el medio y no solo al final.
3. Para su cuenta de correo electrónico principal, use una contraseña totalmente única y asegúrese de que sea larga, contenga caracteres especiales, etc. Su cuenta de correo electrónico puede contener información sobre otras cuentas que tenga, incluso contraseñas; esto la convierte en una especie de clave maestra que debe guardar celosamente con una contraseña que no se utiliza en ningún otro sitio.
4. Para sus cuentas realmente muy importantes, aquí estamos hablando de cuentas bancarias, use una cuarta contraseña que no usa en ningún otro tipo de sitio. Nunca querrás que un pirata informático descifre esa aplicación web aleatoria que usaste, o que un fisgón use FireSheep , para espiar su inicio de sesión de Facebook, para obtener acceso a sus cuentas bancarias. (Por supuesto, la mayoría de estas cuentas también tienen números PIN para prevenir ese tipo de ataques).
De todos modos, eso es todo. Cuatro contraseñas: una es basura, y también podría garabatearla en texto sin formato en la frente. Uno se acostumbra en sitios como Facebook que probablemente tienen una seguridad bastante decente. Y dos contraseñas muy especiales bloquean solo sus cuentas bancarias y su correo electrónico. Compare este enfoque con el consejo de Lifehacker vinculado desde la publicación de Gawker.com que anuncia que el sitio ha sido pirateado y que todos los usuarios deben actualizar sus contraseñas (como en, todas):
No es necesario que recuerde 100 contraseñas si tiene un conjunto de reglas para generarlas. Una forma de generar contraseñas únicas es elegir una contraseña base y luego aplicar una regla que mezcle de alguna forma el nombre del servicio con ella.
Yo, por mi parte, prefiero no tener que pasar por ninguna gimnasia mental cuando trato de averiguar qué contraseña utilicé para un sitio. En cambio, estoy tranquilo sabiendo que mi contraseña basura es vulnerable y el resto relativamente seguro.
Sigue a Mims en Twitter o contáctalo por correo electrónico .