sábado, 14 de diciembre de 2013

Cómo gestionar tus contraseñas: diversifica y vencerás !


7:00 Suena el despertador, le doy un viaje y consigo apagarlo.
7:05 Vuelve a sonar el despertador, lo apago de nuevo pero... ah, sí, "1234" para desactivar la alarma.
7:07 Agarro la BlackBerry y... olvidé cargarla anoche. La pongo a cargar: "Introduzca el código PIN (quedan 3)" tecleo "2325", vaya "Error  de PIN" ,"Introduzca el código PIN (quedan 2)" Ahora me pongo las gafas "de ver" respiro hondo y tecleo "2325" y ahora sí "Código Aceptado" (...juraría que tecleé lo mismo antes...).
7:20 Ya voy tarde !
7:21 Vitrocerámica y microondas analógicos, botones gordos "de girar", nada que teclear, gracias Señor !
7:23 Mientras sube el café enciendo la televisión, joder "keyboard locked", es verdad, hace dos días que digo que tengo que ver esto, pero ya he probado todos los códigos que podían ser y nada, a ver si le dedico un rato.
7:30 Mientras tomo el café enciendo el ordenador, tengo que copiar al USB el excel que estuve preparando anoche, se me olvidó copiarlo.
7:35 "Bienvenidos a Windows 8 introduzca su palabra de paso", vuelvo a probar el lector de huella y... no va bien, vuelve a fallar, a ver si lo miro, bueno, ¿cómo era ...? Ah, sí: "Miclave1" recuerdo que se pusieron muy pesados los amigos de Microsoft con eso de las mayúsculas y los números en la palabra de paso. Ya estoy dentro. Ya está.
8:00 Tras mi ducha y otros cuidados analógicos llego finalmente al metro y, vaya, tengo que comprar un billete de 10 viajes, me dirijo a la máquina expendedora y leo "Pago sólo con tarjeta", no hay problema, faltaría más,..."Introduzca el número secreto", este..., este es el de siempre: "****" (perdonad, es deformación profesional). Perfecto !
8:10 Consigo sentarme en el vagón, bien! podré leer algo en el iPad, "Introduzca el código", este era haciendo una diagonal y cero: "1590" "Código incorrecto, reintentar" ¿cómo? ah!, sí, la otra diagonal, "3570".
9:00 Tras pasar dos controles de seguridad consigo sentarme finalmente en mi mesa de trabajo. Uf! ya está todo. Pues no, realmente empieza ahora...
9:01"Bienvenidos a Windows 7 introduzca su palabra de paso" ...

En sólo dos horas he contabilizado 7 contraseñas! Me gustaría decir que he exagerado pero creo que para muchos de vosotros se trata de una escena cotidiana o, cuando menos, familiar. Incluso hasta aquí me atrevería a decir que hablamos de un volumen razonable, pero si añadimos la cantidad de registros y contraseñas que usamos en Internet la situación se complica.


'richarddows.co.uk login page' photo (c) 2009, the_english_guy - license: http://creativecommons.org/licenses/by/2.0/

Las contraseñas juegan un papel fundamental en la seguridad actual y no sería fácil buscarles una alternativa. Así pues, los expertos en seguridad han decidido que tenemos que vivir rodeados de estos códigos que, no podemos compartir con nadie, no podemos escribir a menos que tengamos un lugar seguro donde guardarlos... si por ellos fuera nos harían comer el papel donde los hemos escrito y memorizarlos de por vida. Y, por supuesto, deben cumplir una serie de reglas que a los expertos en seguridad les parecen obvias:

  • Una contraseña distinta para cada uso.
  • No debe corresponderse con ninguna palabra conocida y evitar así ataques llamados de diccionario.
  • De longitud suficiente
  • Deben contener mayúsculas y minúsculas.
  • Deben contener números
  • Y si ya incluyes algún signo del tipo: $,&,(,?... podrás dormir a pierna suelta.
Tras aplicar las reglas anteriores podríamos obtener una contraseña del tipo:

2!mY8q#P

Podríamos hacer una encuesta para determinar si alguien que lea este artículo (asumiendo que haya alguien que lo lea) tiene una contraseña mínimamente parecida. Yo desde luego no.

Pero nos vamos a ahorrar el trabajo de la encuesta porque en el reciente ataque que sufrió la empresa Adobe con la consiguiente liberación de material confidencial se han podido ver algunas cosas, por ejemplo el ranking con las contraseñas más usadas. Y para disgusto de nuestros expertos en seguridad el  resultado ha sido:

#      Count      Ciphertext                      Plaintext
--------------------------------------------------------------
1.   1911938      EQ7fIpT7i/Q=                    123456
2.    446162      j9p+HwtWWT86aMjgZFLzYg==        123456789
3.    345834      L8qbAD3jl3jioxG6CatHBw==        password
4.    211659      BB4e6X+b2xLioxG6CatHBw==        adobe123
5.    201580      j9p+HwtWWT/ioxG6CatHBw==        12345678


Es decir, casi 2 millones de usuarios registrados de Adobe utilizan como contraseña "123456". Pero es que además, entre las 100 primeras contraseñas no se ve ni una sola mayúscula y, menos aún, algún signo que no sean letras o números. Ninguna de las 100 primeras contraseñas puede calificarse de "fuerte" en términos criptográficos y sería fácil de atacar.

What you shouldn't put on a credit card swiper

La conclusión no es otra que, muy a pesar de los expertos en seguridad, no es humanamente posible gestionar correctamente el número de contraseñas que necesitamos hoy en día y los usuarios se ven obligados a buscar soluciones prácticas. Por otro lado, muy a pesar nuestro, ellos tienen razón y necesitamos contraseñas suficientemente "fuertes" para garantizar nuestra la seguridad. Pues algo tenemos que pensar ¿no?.

Para los registros en Internet, lo que os propongo a continuación es utilizar la DIVERSIFICACION. Esta es una técnica que se utiliza desde hace algún tiempo en sistemas de seguridad profesionales y consiste en utilizando una valor secreto "maestro" y, con alguna información propia de cada aplicación, generar un valor secreto específico. Es verdad que esto se suele hacer con algoritmos criptográficos que garantizan que la revelación del secreto específico no pone en peligro el secreto maestro. De acuerdo, pondré un ejemplo:

Imaginemos que determinamos que nuestro secreto maestro es (aquí puedes verificar la fortaleza de tu contraseña):
R$55tg

E imaginemos que hacemos un esfuerzo y lo memorizamos: R$55tgR$55tg, R$55tg, R$55tg...
Tendríamos, por ejemplo, las siguientes claves específicas:
  • google -> gR$55tg
  • facebook -> fR$55tg
  • twitter -> tR$55tg
En este ejemplo, he precedido el valor secreto maestro por la inicial del dominio donde me quiero registrar. El criterio puede ser cualquiera, así podemos elegir en vez de la inicial de google "g" su segunda letra "o" o la última "e", o también en lugar de colocar esa letra al principio, hacerlo al final u otra posición. Lo importante es mantener siempre el mismo criterio para poder así recordarlo. Como el criterio puede ser cualquiera no hay una manera clara de, a través de una contraseña, de determinar otra. Puede parecer un poco lioso pero una vez memorizado el valor maestro, en este caso R$55tg, el resto se consigue con muy poco esfuerzo.
Es cierto que la situación no suele ser tan mala como puede parecer y quien más y quien menos siempre ha tenido las contraseñas del banco, el PIN de la tarjeta y alguna otra cosa que nos resulta critica, de manera independiente del resto. Pero Internet evoluciona muy deprisa y a veces no es fácil determinar qué servicios son críticos, así que será mejor ir considerándolos a todos como de alto riesgo.

Publicado por en No hay comentarios:

domingo, 8 de diciembre de 2013

Los pagos del futuro serán... ¡ en Servilleta !


Lo que voy a contar a continuación ha sido la experiencia de pago con tarjeta más increíble que he presenciado estos años y que ha terminado de animarme a comenzar este blog.

Con esta entrada arranco un viejo proyecto personal para crear un blog sobre seguridad informática en el mundo de los medios de pago. Trabajo desde hace años en este sector y aunque, como ocurre en casi cualquier tema, la oferta de información y opinión es inmensa todavía hoy echo en falta un enfoque más orientado a los usuarios de a pie. 

Acabo de volver de la feria de Cartes en Paris, para los que no la conocen, esta feria es el evento mundial más importante de los medios de pago: fabricantes de tarjetas, soluciones de pago, nuevos terminales y dispositivos... Es una feria bastante monótona, tirando a casposilla diría yo, donde las soluciones tradicionales siguen dominando el mercado y las novedades son básicamente las mismas todos los años, con cierto lavado de cara. 

Estamos situados ¿verdad? pues ahora, en medio de todo este evento, ubicaros en la cantina del centro de exposiciones. Pues bien, tras recorrer el self-service seleccionando los platos del menú llega el momento de pagar... con tarjeta, claro, ¿claro? pues no, la cajera nos advierte de problemas con las tarjetas y nos obliga a pagar en efectivo. 

No puede ser, llevo tres días escuchando en la feria las innovadoras formas de pago que nos esperan a la vuelta de la esquina, las tecnologías más novedosas aplicadas a este sector y como las soluciones Cloud me van a hacer la vida más sencilla, y aquí, en Paris, en una de las ciudades más avanzadas del mundo, en Cartes, la Meca de los medios de pago, ¿no puedo pagar con mi tarjeta un triste menú de cantina? 

Tras las risas iniciales empezamos a revisar las carteras, todo esto está muy bien pero el papel de indignado no quita el hambre y, al final, tienes que comer. Los dos primeros de mi grupo pagamos en efectivo, el tercero, un poco más rezagado y ajeno a nuestra experiencia insiste en intentar pagar con tarjeta pues no hay alternativa de pagar en efectivo -estamos ya sin blanca- y como bien presagiaba la señora, la transacción, por algún motivo, fracasa. Se llega pues a un punto de bloqueo donde no parece haber salida, todos nos hemos visto en alguna situación similar que termina normalmente yendo a un cajero próximo, pero esto es Francia, Centro de exposiciones....no hay cajeros. Lo increíble sucede a continuación.

La cajera en su afán de encontrar una solución y tras chequear con el supervisor , propone lo siguiente: apúnteme en esta servilleta el número de la tarjeta con la fecha de caducidad y CVV para realizar el pago posteriormente. 

Así procedió mi compañero pero aún falta algo en esta historia, este pago corresponde a un viaje de empresa y por tanto es un gasto a justificar ¿cómo solucionarlo? muy fácil, obteniendo una copia de la servilleta y este fue el resultado. 



Esta historia es un caso límite de algo que es más cotidiano de lo que pensamos, como simular pagos presenciales cuando en verdad no lo son. Otro día hablaremos de como operaciones presenciales se convierten en no presenciales (compras por internet) sin que el usuario sea consciente, increíble ¿verdad?

Siguiendo con nuestra servilleta, se abren aquí dos cuestiones interesantes: ¿qué debería pasar con este pago? y la segunda, más importante si cabe ¿qué va a pasar?

Para la primera pregunta, el sentido común creo que nos dice a todos que un cargo así nunca debería ser aceptado por la entidad procesadora y, por tanto, el cargo no debería llegar a la cuenta bancaria de nuestro amigo (lo sentimos por la cajera y el encargado que sólo trataban de ayudar). Estamos hablando de una tarjeta chip, con PIN... el producto de más alta seguridad que un usuario de tarjeta de pago puede tener hoy en día en su bolsillo. Y, por cierto, con una leyenda sobre la tarjeta que reza aquello de "ELECTRONIC USE ONLY". En fin, me gustaría pensar que esto no va a pasar.

La segunda pregunta, ¿qué va a pasar? es la importante y honestamente no sé si alguien lo tiene claro porque yo no tengo ni idea de cómo acabará esta historia.

¡Se aceptan apuestas!

Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Suscribirse a: Entradas (Atom)