martes, 11 de marzo de 2014

Password – Cuidado donde la metes

Cuidado con los keyloggers en las empresas

Password – Cuidado donde la metes


No importa si tienes una buena y larga si no sabes como ni donde la metes.
Es muy importante entender que la seguridad de algunos servicios se ve fácilmente comprometida por contraseñas demasiado sencillas de obtener (ya sea por ingeniería social o mediante ataques de fuerza bruta). Por este motivo hemos considerado interesante ofrecer algunos consejos sobre contraseñas que seguro que le vendrán bien incluso a los/las “sabelotodo”.
No se trata solamente de que la contraseña sea buena ya que es importante la forma en la que se introduce.

La forma en la que metemos las claves.

Aparte de introducir las claves mediante teclado existen muchas otras formas de hacerlo. Estos métodos y dispositivos de entrada combinados nos permitirán meter nuestras claves de forma más segura.
Mediante el uso del ratón podemos introducir nuestras contraseñassiempre que ejecutemos previamente un teclado virtual en pantalla.
Existen muchos tipos de teclados virtuales en linux. Estos son un par de ellos bastante utilizados:
florence
Instalación en debian: apt-get install florence
Instalación en Ubuntu: sudo apt-get install florence
florence_093
xvkbd
Instalación en debian: apt-get install xvkbd
Instalación en Ubuntu: sudo apt-get install xvkdb
Este necesita que le demos a focus para indicar donde queremos usar el teclado.
xvkbd - Virtual Keyboard_092
kvkdb
Instalación en debian: apt-get install kvkdb
Instalación en Ubuntu: sudo apt-get install kvkdb
Selección_095
Usando estos teclados virtuales evitamos que nos roben las contraseñas mediante el uso de keyloggers sencillos.

¿Qué son los keyloggers?

Los keyloggers tienen como finalidad grabar lo que escribimos por teclado. Entre las muchas cosas que vamos escribiendo a lo largo del día están las contraseñas y en el caso de emails algunas veces las direcciones de contactos.
La gente piensa que es poco normal el uso de keyloggers pero es probable que los tengan sin saberlo en casa o en el trabajo.
Los keyloggers hardware son los más usados en los trabajos por parte de las empresas.
Keylogger-hardware-USB
Las propias empresas colocan este tipo de adaptadores (algunas veces simplemente teclados que ya llevan el keylogger incorporado) para controlar a sus empleados y en el caso de que comentan el error de acceder a sus correos personales desde el trabajo pues ver sus claves.
La empresas de esta forma acceden a las cuentas personales de sus empleados, a sus cuentas en redes sociales y consiguen información privada de valor.
Los keyloggers por software son los que suelen andar en los ordenadores caseros esperando que alguien pulse teclas.
Un keylogger es algo muy normal en windows. Ese sistema operativo suele infectarse con bastante facilidad incluso aunque se usen antivirus.
Los antivirus siempre van después del virus, es decir, primero sale el virus y después la vacuna. Los virus pasan en estado salvaje meses e incluso alguna que otra vez años hasta que son detectados como tal por los antivirus.
Los keyloggers son tan normales en windows como lo es el paint.Muchísimos troyanos llevan su keylogger incorporado que permite que lo que se pasa por teclado se envié a una dirección de email, un servidor IRC (a un determinado canal), …
No es ninguna tontería pues que cuentas como la del correo electrónico, acceso al banco, … sea mejor meterlas con teclado virtual.
En caso de mirones en la sala se puede optar por un uso mixto de teclado virtual y teclado real.

No dejar grabadas las contraseñas nunca en los navegadores:

Es muy normal que la gente olvide sus propias contraseñas al no usarlas todos los días. El proceso contrario ocurre también, el humano es capaz de recordar números de serie de windows si los instala todos los días piratas en un servicio técnico de mala muerte así como de recordar claves largas si ha de meterlas muchas veces al día cada día.
Los navegadores ofrecen la posibilidad de recordar las contraseñas por nosotros. Las almacenan en una base de datos y de esta forma ahorran al usuario el tener que introducirlas cada vez que usan el navegador.
Esto es un error grave. Estas dejando tu contraseña disponible para cualquier persona que pueda usar en un momento dado tu ordenador, es decir, en el trabajo por ejemplo estarías dejando tus claves a todo el mundo ya que es muy sencillo que alguien pueda obtenerlas en un momento dado que vas al baño o cuando sea.
NO almacenes nunca tus contraseñas en el navegador.
En el caso de Chromium en las opciones avanzadas es posible verlas todas con solo pinchar en “manager saved passwords”.
Selección_096
En firefox más de lo mismo y así en la mayoría de navegadores incluso internet explorer.
Las contraseñas han de estar en tu cabeza pero al ser algunas veces complicado recordarlas todas para poder gestionarlas hemos de recurrir a gestores de contraseñas o llaveros.

Gestionar las contraseñas

Un buen gestor de contraseñas es KeepassX. Este software nos permite gestionar todas nuestras contraseñas almacenándolas en un fichero cifrado en nuestro disco duro o donde queramos.
Es como usar un editor de textos, una hoja de calculo, un procesador de textos, … para almacenar contraseñas pero mucho mejor ya que estas no quedan disponibles a que cualquiera pueda visualizarlas.
Durante años hemos visto de todo tipo de errores. Gente grabando con el bloc de notas sus contraseñas en un fichero de texto plano, gente grabándolas en documentos creados con la suite de Microsoft a los que les ponían contraseñas ridículas (esos ficheros se rompen con mucha facilidad), gente escribiéndolas en post-its virtuales y reales, ….
Ya va siendo hora de gestionarlas bien. Keepassx permite esto y nos permite bastantes cosas más.
La contraseña con la que guardemos nuestra base de datos de claves puede ser un fichero almacenado en un pendrive, puede ser una clave de paso o ambas.
-home-fanta-claves.kdb- - KeePassX_098
Para introducir la clave que nos da todas las claves hemos te tener muchísimo cuidado. Nunca sobra usar el teclado virtual para esto.
Existen más gestores de llaves libres aunque no son tan sencillos de usar como keepàssx. Un ejemplo es password-gorilla.

Las claves que nunca has de usar:

  • - No has de usar claves que existan en algún diccionario. Ejemplos: perro, gato, universidad
  • - No has de usar claves que lleven el nombre de algún conocido. Ni el de tu novia, ni el de tu mascota, ni el de tu hijo/hija.
  • - Nada que tenga que ver contigo. Si eres un fan de Reincidentes pues haz el favor que tu clave no sea el nombre del grupo o de algún disco o canción. Las claves no han de tener nada de sentido ni nada que nos vincule a ellas.
  • - Nada de contraseñas con números de teléfono. Eso es ridículo. Una password numérica saldrá rápido.
  • - Nunca has de usar la contraseña que te dan por defecto. Si algún cacharro (un router por ejemplo) viene con la clave 1234 o admin has de cambiarla.
  • - No repitas la misma clave en ningún sitio. Si tienes la misma clave en tu cuenta de faceboook y tu correo van a entrarte al facebook y al correo.

¿Como puedo generar claves seguras?

Puedes crear claves más seguras utilizando estos programas en la linea de comandos.
gpw
Ofrece contraseñas no demasiado seguras pero aleatorias. No se recomienda su uso pero para ofrecer por ejemplo contraseñas por defecto puede ser interesante. La forma de uso es gpw [numero de contraseñas] [numero de caracteres por contraseña]
otp
Este es otro que permite obtener contraseñas aleatorias:
otp -N1 -L30 -S30 | tr " " ")" |cut -d ")" -f 3
Aunque en realidad no se necesita de un programa especifico para generar claves ya que podemos crearlas con estos simples “tipeos”:
  • date +%s | sha256sum | base64 | head -c 32 ; echo
  • < /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c${1:-32};echo;
  • openssl rand -base64 32
  • tr -cd ‘[:alnum:]‘ < /dev/urandom | fold -w30 | head -n1
  • strings /dev/urandom | grep -o ‘[[:alnum:]]’ | head -n 30 | tr -d ‘\n’; echo
  • < /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c6 dd if=/dev/urandom bs=1 count=32 2>/dev/null | base64 -w 0 | rev | cut -b 2- | rev
  • date | md5sum
Es importante que las contraseñas contengan tanto números como letras mayúsculas y minúsculas. Al mismo tiempo han de llevar caracteres “raros” como pueden ser el “.” o “#”.
Hoy es un buen día para empezar a gestionar tus claves y empezar a tomarte en serio este ritual. El tiempo que se pierde en meter una clave no es mucho mayor a 30 segundos (incluso metiéndoselas con teclados virtuales).Incluso si el tiempo que se pierde son varios minutos siempre nos interesa salvaguardar nuestras claves lo mejor posible y no meterlas donde sea ni como sea.

Algunos Generadores de claves online

No compartir

No has de compartir las contraseñas por Internet. Ni por correo electrónico ni por teléfono.
En especial se debe desconfiar de cualquier mensaje de correo electrónico en el que te soliciten la contraseña o indiquen que se ha de visitar un sitio web para comprobarla. Casi con total seguridad se trata de un fraude.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)