Las empresas tecnológicas llevan tiempo buscando solución a este asunto, pero no es sencillo. Los datos biométricos como huellas dactilares, voz, patrones faciales o retina, que podemos usar para desbloquear el móvil o hacer pagos no están aún lo suficientemente extendidos y desarrollados para emplearlos en todos los casos. Y además pueden arrojar falsos negativos, es decir, que en ocasiones no reconozcan al propietario de los mismos, contribuyendo a esa fatiga y estrés al no permitirnos acceder a nuestros dispositivos o cuentas.
|
etiquetas: contraseñas , ciberseguridad , estrés
He visto un dominio de windows comprometidos en 30 minutos por un dispositivo con S.O. similar a Kali Linux simplemente enchufado en la red (no había NAC), escuchando tráfico y atacando el protocolo. Era un dominio desactualizado y mal configurado.
Por otro lado, no nos gusta la idea de sugerir anotar la contraseña de inicio de sesión en un móvil o en un gestor de contraseñas que no conocemos o controlamos. Estarían muy expuestas a brechas de seguridad.
La solución: 2FA/MFA.
La principal ventaja que le veo yo es que no necesitas teclear el password, por lo que nadie te va a ver tecleándolo, ni tampoco lo ven si estás compartiendo pantalla.
Claro, que lo que vea el perito forense igual no es la normal. Seguramente hay muchísimos más ataques que vienen de fuera. La conclusión es que hay que tener un gestor de contraseñas y utilizarlo.
Yo lo prefiero en el móvil y lo uso casi siempre desde el mismo. Cuando no tengo el móvil a mano (muy rara vez), puedo usar el token físico (yo llevo 3 años con 2FA, como usuario avanzadilla de la organización, y sin problemas).
El siguiente paso será 2FA/MFA (una yubikey o código OTP) y podremos ser más laxos con la longitud de contraseña (ej. 10 caracteres), pero nos hemos visto en la obligación de ser conservadores a la espera de la implantación del doble factor.
Pero aún así, la política la consideran como una agresión
La solución es 2FA/MFA o una solución passwordless, aunque la AEPD nos indica que no debemos usar biometría si existe alguna otra alternativa (a no ser que sea para el acceso a info o zonas muy confidenciales, en cuyo caso la biometría podría justificarse).
En mi trabajo los clientes son más de la mitad de fuera de España y son todos iguales. La seguridad la quieren para figurar, quieren que tengas muchos plans listos y te exigen muchas cosas como el doble factor o bases de datos aisladas que si lo tienen no lo utilizan y si lo tienen que pagar lo ignoran.
Videoconferencia de equipos de seguridad en la UE poniendo capturas en redes sociales con la URL a pelo permitiendo invitados.
www.eldiario.es/internacional/periodista-cuela-videoconferencia-secret
Esa exigencia de cambiar contraseñas que en principio no han sido comprometidas contribuye al hastío. La obligación de usar letras y números y al menos una mayúscula (o imponer esquemas semejantes) hace que las personas elijan contraseñas secuenciales, especialmente cuando los cambios son frecuentes.
Recuerdo a dos compañeros que tuve… » ver todo el comentario
Al final usan patrones y la seguridad en vez de mejorar, empeora, porque si un atacante obtiene en la darkweb alguna contraseña vieja (porque la hayan metido en una web de compras comprometida o en una red social con brecha) que acaba en un patrón, van a tenerlo más fácil para conocer la actual.
Por otro lado, ahora los expertos comentan que el password en el postit es más seguro que el password en un txt en el almacenamiento del PC o del servidor, porque el atacante remoto no se va a desplazar a tu oficina a ver tus anotaciones, pero en tu disco sí podría tener acceso en remoto.
Estaba la chica esa que inventó el cacharro, que es un dongle usb que el pc ve como un teclado. Tiene un botón que si lo pulsas teclea el password. La gracia es que puede ser muy largo y complejo. Se fue a presentarlo a una feria de seguridad, pero no le daba el presupuesto para un stand, así que que se sentó en un taburete en un rincón. Nadie le hacia ni caso. Pasó por ahí el espanta perros ese de "Security Now" y le preguntó que de qué iba. Le gustó la idea (yo creo que se la llevó al hotel) y le dedicó un podcast entero al invento (mucho entusiasmo). Desde entonces que se hizo conocido.
No menciona el 2FA que es la solución correcta. Los cambios frecuentes de password no aportan nada a la seguridad. Los caracteres raros no aportan nada a la seguridad.
Los passwords buenos son largos, tanto como se pueda. Eso de coger las iniciales es estúpido. Pon las palabras completas.
Los gestores de password son algo obligatorio. Por favor usad uno de código libre. Los que se venden son malísimos.
Para generarlas usar un algoritmo (así no hay que recordar la contraseña, solo el algoritmo).
Un algoritmo puede ser "cojo estos libros doblo 10 hojas y uso la palabra en la punta del doblez", "cojo mis muebles favoritos de casa y uso la primera letra del color, la segunda… » ver todo el comentario