Tag Contraseñas

¿Contraseñas con emoticonos? ¡Por qué no! Las ventajas y desventajas de usar emojis en las contraseñas.

A nadie le gustan las contraseñas. Uno demora años en introducirlas, son difíciles de recordar y la necesidad de un número, un símbolo, una letra mayúscula y un par de dientes de gallina solo hace que crearlas sea aún más difícil. Pero, si usas la misma contraseña en todas partes o te limitas a contraseñas sencillas y cortas (fáciles de leer, débiles), tarde o temprano serás víctima de piratería. ¿Cómo combinar la practicidad de escritura, la facilidad para recordarlas y la resistencia a la piratería? Una forma interesante, aunque inusual, es usar emojis. Sí, esos mismos emoticonos 😁 y otros iconos lindos 🔐 que nos encanta usar en chats y publicaciones.

En los ordenadores y teléfonos inteligentes de hoy, los emojis son símbolos tan completos como las letras de los alfabetos y los signos de puntuación. Esto se debe a que son parte del estándar Unicode (consulta aquí para obtener una lista completa de emojis estandarizados). Por lo tanto, en teoría, se pueden usar en cualquier texto, incluidas las contraseñas.

Por qué usar emojis en las contraseñas

Como existen tanto emojis, tu contraseña puede ser el doble de corta. Cuando los intrusos intentan forzar una contraseña que contiene letras, números y signos de puntuación, hay menos de cien variaciones para cada símbolo que deben elegir. Sin embargo, hay más de 3600 emojis estandarizados en Unicode, por lo que añadir uno a tu contraseña obliga a los piratas informáticos a pasar por alrededor de 3700 variantes por símbolo. Entonces, en términos de complejidad, una contraseña compuesta por cinco emoticones diferentes equivale a una contraseña regular de nueve caracteres, mientras que siete emojis equivalen a una contraseña segura de 13 caracteres “comunes”.

Algunos emojis nuevos en Unicode.

Los emojis son más fáciles de memorizar. En lugar de un utilizar un puñado de letras y números sin sentido, puedes componer una frase lógica y crear un rompecabezas de emojis sobre la base de esta. Para esto, puedes usar un traductor de emojis o un chatbot como ChatGPT.

Un traductor de emojis o ChatGPT puede crear una contraseña de acertijo basada en emojis sobre un tema determinado.

Los piratas informáticos no utilizan los emojis en los ataques de fuerza bruta. Varias herramientas de piratería y diccionarios para descifrar contraseñas incluyen combinaciones de palabras, números y sustituciones comunes como E1iteP4$$w0rd, pero (¿por ahora?) no incluyen emojis. Entonces, cuando un atacante atraviesa una base de datos de contraseñas filtradas, es probable que tu cuenta, que está protegida con una contraseña como: 👁️🐝🍁👁️🥫🪰 (“I believe I can fly”), esté segura.

Parece demasiado bueno para ser cierto. Entonces, ¿cuáles son las desventajas de las contraseñas con emojis? Por desgracia, son considerables.

¿Por qué no usar emojis en las contraseñas?

No todos los servicios aceptan contraseñas con emojis. Llevamos a cabo un pequeño experimento de creación de cuenta usando una contraseña que tenía varios emojis estándar. Fue rechazada tanto por Microsoft/Outlook como por Google/Gmail. Sin embargo, Dropbox y OpenAI la aceptaron con gusto, así que básicamente es una cuestión de experimentar.

No todos los servicios aceptan contraseñas con emojis.

Debes probar tu contraseña con emojis inmediatamente para asegurarte de que funcione. Aunque puedas crear una cuenta con esa contraseña, es posible que no pase la verificación al iniciar sesión.

Los emojis son más difíciles de introducir. En los teléfonos inteligentes, introducir emojis es la simplicidad en sí misma. En los ordenadores de sobremesa, sin embargo, puede ser un poco más problemático, aunque no demasiado (consulta los detalles a continuación). En cualquier caso, tendrás que encontrar los emojis que necesitas en una lista larga y asegurarte de elegir la imagen correcta entre varias similares. Si es multiplataforma, recuerda verificar que puedas introducir estos emojis tanto en tu ordenador como en tu teléfono inteligente para todos los servicios que usas.

Los emojis recientes te delatan. Muchos teclados de teléfonos inteligentes muestran los emojis de uso frecuente en la parte superior de la lista. Es poco probable que esta información ayude a los piratas informáticos en línea, pero es posible que amigos o familiares puedan adivinar o espiar tu contraseña.

Los emojis recientes pueden decir mucho sobre ti a miradas indiscretas.

Cómo crear una contraseña con emojis

Un compromiso razonable sería añadir uno o dos emojis a tu contraseña para aumentar su complejidad. El resto de la contraseña puede ser alfanumérica y menos sofisticada. Por supuesto, el uso de emojis no sustituye los consejos de seguridad tradicionales: el uso de un administrador de contraseñas y la autenticación de dos factores (2FA). Hablando de eso, Kaspersky Password Manager puede almacenar contraseñas con emojis y generar códigos de 2FA.

Contraseña con emojis y código de 2FA en Kaspersky Password Manager.

Cómo introducir contraseñas con emojis

El método de introducción depende de tu dispositivo y sistema operativo. Los teléfonos inteligentes tienen una sección de teclado especial para esto, mientras que en los ordenadores puedes usar una de estas opciones:

• En Windows 10 u 11, pulsa la tecla Win y la tecla de punto simultáneamente para abrir la tabla de emojis en cualquier campo de entrada. En muchos diseños, la combinación de teclas Win + ; también funciona.
• En macOS, la tabla de emojis está disponible en cualquier aplicación en Editar → Emoji y símbolos. Para abrir la tabla desde el teclado, mantén pulsadas las teclas Comando + Control + Barra espaciadora al mismo tiempo.
• En Ubuntu Linux (versión 18 y posteriores), puedes introducir emojis haciendo clic con el botón derecho en el campo de entrada y seleccionando Insertar emoji en el menú contextual. Para abrir la tabla desde el teclado, al igual que en Windows, pulsa Win + punto al mismo tiempo.
• Entrada por código de carácter. Por lento y aburrido que parezca, esta es una forma fiable de introducir cualquier carácter Unicode, no solo emojis. Primero, busca el código del carácter correspondiente en la tabla y, a continuación, introdúcelo usando una combinación de teclas especial. En Windows, mantén pulsada la tecla Alt e introduce el código decimal de la lista en el teclado numérico lateral. Para otros sistemas operativos, el proceso se describe en más detalle aquí.
• La forma más sencilla de introducir contraseñas con emojis es guardarlas en Kaspersky Password Manager e insertarlas en los campos de entrada requeridos de forma automática.

Fuente: latam.kaspersky.com

Un informe de 2022 reveló cuáles son las contraseñas más populares a nivel global en 2022 y “password”, “123456” y “123456789” son las tres más utilizada en el mundo.

Como todos los años, NordPass publicó su informe con las contraseñas más elegidas por las personas a nivel global. Al igual que la edición pasada, el reporte además incluye una lista con las contraseñas más elegidas en algunos países en particular, entre ellos: Brasil, Chile, Colombia, España y México.

Los datos nos dan una perspectiva sobre el nivel de madurez actual de las personas en un aspecto muy sensible que hace a la seguridad de la información: las contraseñas. Y de acuerdo al informe de este año, lamentablemente muchas personas siguen eligiendo contraseñas débiles, predecibles y fáciles de adivinar para proteger sus cuentas de correo electrónico, redes sociales u otros servicios online.

Password: la contraseña más utilizada a nivel global

Esta vez resulta que, a diferencia de lo que venía sucediendo, “123456” ya no es la más utilizada, sino que su lugar lo ocupó otra contraseña que constantemente dice presente en este reporte: “password”.

La lista elaborada por NordPass con las 200 contraseñas más comunes surge del análisis de una base de datos de 3TB que contienen contraseñas que quedaron expuestas en incidentes de seguridad. Esta información fue recopilada gracias a la colaboración de investigadores independientes especializados en investigación de incidentes.

Como se puede apreciar en la siguiente imagen, la tabla está ordenada de acuerdo a la cantidad de veces que una misma clave se fue utilizada, incluye el número de veces que estaba presente en la base de datos, y el tiempo en que tardaría en ser descifrada a través de un ataque de fuerza bruta.

Fuente: NordPass.

Como mencionamos, el informe incluye datos de algunos países en particular que para nuestros lectores pueden ser de interés. Como vemos en la siguiente tabla, en los cinco países la contraseña más utilizada se repite: 123456. Además, más allá de algunas variaciones en la lista de cada país, algo que se puede apreciar fácilmente es la cantidad de variantes de “123456”. Algo que también se observa a nivel global.

Otro dato interesante que incluye este reporte es una clasificación de las contraseñas más populares en categorías como deportes, nombres de artistas o grupos musicales, comidas, videojuegos, películas o autos, entre otros. Lo que muestra esto es un patrón que muchas veces siguen las personas a la hora de elegir una contraseña para que sean fáciles de recordar. Sin embargo, esto las convierte en fáciles de predecir. Sobre todo en ataques de fuerza bruta automatizados en los que los cibercriminales utilizan software para probar múltiples combinaciones de direcciones de correo y contraseñas en segundos.

Senhas que usam o nome de um artista. Fonte: NordPass.

Senhas que usam o nome de um time ou club. Fonte: NordPass.

Senhas que usam o nome de um filme. Fonte: NordPass.

Los resultados demuestran que sigue siendo fundamental concientizar a las personas acerca de la importancia que tiene crear contraseñas largas, difíciles de predecir y que sean únicas para cada cuenta o servicio online. Además, las personas deben saber que todo esto puede lograrse utilizando en la computadora o en el teléfono un administrador de contraseñas, ya que estos servicios contemplan todas estas necesidades. Por último, recordamos a todos la importancia de activar la autenticación en dos pasos en todos los servicios que utilizan para que la seguridad de sus cuentas no dependa únicamente de la contraseña.

Fuente: www.welivesecurity.com

Si bien los generadores de contraseñas online no suelen ofrecer la opción de almacenar las claves generadas, son una buena alternativa para evitar caer en contraseñas fáciles de adivinar o la tentación de reutilizar una que ya estés usando.

Siempre decimos que incorporar el hábito de crear contraseñas seguras y únicas para cada servicio online es muy importante, pero también es cierto que es difícil ser siempre lo suficientemente creativo al momento de crear una contraseña y que a la vez cumpla con: tener 20 caracteres diferentes, con mayúsculas, minúsculas, números y símbolos, y que a la vez sea distinta a todas las que has creado anteriormente para que no tengan nada en común. Por eso, los generadores de contraseñas online son una opción útil, ya que permiten en segundos generar una contraseña aleatoria y segura con apenas pocos clics.

Lo ideal es utilizar un gestor de contraseñas como KeePass o el que puede venir incluido en una solución de seguridad como es el caso de ESET Smart Security Premium, ya que los gestores no solo permiten guardar en un caja de seguridad digital todas las contraseñas de forma cifrada y sin necesidad de tener que recordarlas de memoria, sino que además ofrecen la posibilidad de crear contraseñas fuertes y seguras sin tener que acceder a un servicio online.

Lectura recomendada: ¿Es seguro aceptar que Google Chrome almacene nuestra contraseña?
Pero si decides no utilizar un gestor de contraseñas y prefieres usar un generador de contraseñas online, es una gran opción, ya que con estas herramientas te aseguras la creación de claves aleatorias de múltiples caracteres diferentes, que incluyen mayúsculas, minúsculas y caracteres especiales que hacen que tu clave sea difícil de adivinar. Lo que deberás evitar es reutilizar la misma contraseña para otra cuenta online, que es uno de los errores más comunes a la hora de crear una contraseña nueva.

Existen muchas opciones de generadores de contraseñas seguras online y la mayoría funciona de forma similar. Generalmente permiten al usuario elegir distintas características, como la cantidad de caracteres, si se incluyen mayúsculas y minúsculas, símbolos y números. En algunos casos se ofrece la opción de no repetir caracteres y también la posibilidad de crear frases como contraseña.

Por ejemplo, el generador de contraseñas seguras online de ESET permite crear claves de hasta 64 caracteres.

Generador de contraseñas seguras de ESET. Accede a la herramienta aquí.

Puedes corroborar con otro servicio la fortaleza de las contraseñas creadas con estas herramientas. Por ejemplo, la Universidad de Illinois ofrece una herramienta para evaluar la seguridad de las contraseñas y les otorga un puntaje. Además, detalla cuáles son los aspectos más fuertes y débiles, ayudando al usuario a comprender qué se valora más de una contraseña para determinar su seguridad.

Otra opción es la que ofrece Secure Password Generator, un sitio que asegura no almacenar contraseñas generadas y que ofrece varios parámetros que el usuario puede ajustar para crear. Además, tiene la alternativa más avanzada, llamada Password Generator Plus, que permite generar hasta 50 contraseñas diferentes con un solo clic. Algo interesante que ofrece este generador de contraseñas es la opción para recordar la contraseña mediante una frase con ayudas para la memoria.

Generador de contraseñas passwordsgenerator.net.

La mayoría de las compañías que ofrecen en el mercado gestores de contraseña también cuentan con una herramienta online para generar contraseñas seguras, como es LastPass, DashLine, Robotalp o Keeper.

¿Por qué es importante generar contraseñas seguras?
Cuanto más difícil de adivinar es una contraseña mayor seguridad brinda. Lamentablemente la realidad muestra que pasan los años y una gran masa de usuarios continúa utilizando contraseñas extremadamente débiles y fáciles de predecir. Esto lo observamos con los reportes que año a año publican algunas compañías que revelan cuáles son las contraseñas más utilizadas por los usuarios, las cuales suelen coincidir también con las más débiles.

Por ejemplo, la contraseña “123456” se detectó más de 1 millón de veces sumando las distintas filtraciones que sufren sitios a lo largo del mundo, y le siguen variantes de la misma que contienen más o menos números, o contraseñas como “password”.

¿Qué es una contraseña segura? La seguridad de una contraseña está determinada fundamentalmente por la dificultad o el tiempo que le insume a un programa de computadora descifrarla según el poder de cómputo. A mayor cantidad y variedad de caracteres, más tiempo le llevará al programa informático descifrar la clave. Hablamos de tecnología que es capaz de realizar millones de combinaciones diferentes a partir de ocho caracteres y en apenas unos instantes. Según explica el sitio del Foro Económico Mundial, una contraseña con 12 caracteres que contenga al menos una letra en mayúscula, un símbolo y un número demandaría 34.000 años a una computadora para poder descifrarla.

Hecha esta aclaración, los cibercriminales realizan ataques de fuerza bruta; es decir, utilizan programas para lanzar ataques contra servicios online y probar combinaciones de caracteres para una lista de direcciones de correo y contraseñas filtradas en brechas de seguridad pasadas, hasta encontrar credenciales válidas.

Lectura recomendada: Qué es un ataque de password spraying: pocas contraseñas para muchos usuarios
Algunas tablas ilustran qué tan rápido son descifradas las contraseñas en ataques de fuerza bruta de acuerdo a la longitud de caracteres, si solo contiene números, minúsculas, símbolos, etc. Por ejemplo, contraseñas de 8 caracteres y solo compuestas por letras minúsculas son descifradas al instante. Lo mismo contraseñas de 6 caracteres que incluyen al menos una letra mayúscula, un número y un símbolo. Según otras tablas, como la que realiza Hive Systems, contraseñas realmente seguras tienen un mínimo de 17 caracteres conformados por números y letras mayúsculas y minúsculas.

Infographic: How Safe Is Your Password? | Statista
Qué hacen los atacantes con las contraseñas descifradas
Con esta información en su poder los cibercriminales pueden vender esta información en foros de hacking en la dark web que son a su vez compradas por otros actores de amenazas para lanzar otros ataques y provocar otras brechas, o pueden usarlas para robar dinero o información adicional del usuario, como nombre, dirección, datos de la tarjeta de crédito o cuenta bancaria, entre otros. Todo esto lo pueden usar para el robo de identidad, un tipo de fraude que creció en el último tiempo.

Como comentario final en este Día Mundial de la Contraseña, además de recomendar a los usuarios utilizar un gestor de contraseñas para dar un salto considerable en mejorar la seguridad de sus cuentas digitales, recomendamos fuertemente habilitar la autenticación en dos pasos en todas las cuentas, como WhatsApp, Google, Facebook, Instagram, etc., para añadir una capa extra de seguridad y que el acceso a sus cuentas no solo dependa de una contraseña. Varios estudios han demostrado que habilitar la autenticación en dos pasos reduce considerablemente la posibilidad del robo de cuentas.

Fuente: https://www.welivesecurity.com/

¿Están los días contados para contraseñas como ‘123456’? Mientras que Microsoft impulsa un mundo lejos de las contraseñas, esto es lo que su organización debe considerar antes de desprenderse de ellas.

El concepto “sin contraseña” promete hacer la vida mucho más fácil, tanto para los usuarios como para los departamentos de seguridad. Ofrece la tentadora perspectiva de reducir los costos administrativos, mejorar la productividad y reducir el riesgo cibernético. Sin embargo, a pesar de estos llamativos beneficios, su implementación tanto para las empresas del sector B2C (acrónimo de Business to consumer, en inglés) como para el sector B2B (Business to business) no ha sido tan fuerte como podría haberse esperado.

No obstante, cuando la compañía de software más grande del mundo decide respaldar un nuevo paradigma tecnológico, al menos hay que tomar nota. Hace bastante que Microsoft describió a las contraseñas como “inconvenientes, inseguras y costosas”. En marzo de 2021, la compañía introdujo una solución de autenticación sin contraseña para clientes comerciales. Y, en septiembre, anunció que extendería el soporte para todos los usuarios. Por lo cual, se podría decir que la era de la autenticación sin contraseña finalmente ha llegado.

Cuando las contraseñas ya no son adecuadas para su propósito

Las contraseñas han existido durante casi tanto tiempo como las computadoras y su desaparición ha sido predicha muchas veces. Pero, sin embargo, todavía siguen en uso, asegurando todo, desde aplicaciones corporativas hasta la banca en línea, el correo electrónico y cuentas de comercio electrónico.

El problema es que ahora tenemos demasiadas de estas credenciales para administrar y recordar. Una estimación sugiere que el 57% de los trabajadores estadounidenses han anotado contraseñas corporativas en notas adhesivas, mientras que una encuesta realizada en 2021 por ESET Latinoamérica que el 49% de los usuarios anotan sus contraseñas para no olvidarlas y 38% lo hace en un papel. Y el número crece constantemente a medida que expandimos nuestra huella digital. A modo de referencia, una estimación de octubre de 2020 afirmaba que en promedio una persona utiliza alrededor de 100 contraseñas, casi un 25% más que antes de que comenzara la pandemia.

Desde una perspectiva de ciberseguridad, el desafío con las contraseñas está bien documentado: Proporcionan a los atacantes un objetivo que es cada vez más fácil de obtener mediante robo, ataques de phishing, o mediante fuerza bruta. Una vez que tienen las claves en su poder, los atacantes pueden hacerse pasar por usuarios legítimos, superando los mecanismos de seguridad perimetrales y permaneciendo ocultos dentro de las redes corporativas durante mucho tiempo. Actualmente, el tiempo necesario para identificar y contener una brecha de datos es de 287 días.

Los administradores de contraseñas y métodos como el inicio de sesión único (en inglés, Single Sign-on) ofrecen alguna forma de contención para estos desafíos, almacenando y recordando claves complejas para cada cuenta, para que los usuarios no tengan que hacerlo. Sin embargo, todavía no son universalmente populares entre los consumidores. ¿El resultado? Los usuarios reutilizan en múltiples cuentas credenciales que son fáciles de recordar, tanto para sus cuentas de uso personal como corporativas, quedando expuestos a ataques de fuerza bruta como el credential stuffing.

No se trata solo de riesgos de seguridad. Las contraseñas requieren mucho tiempo y dinero para que los equipos de IT las administren, y puedan agregar una fricción adicional al recorrido del cliente. Las brechas pueden requerir reinicios masivos en grandes volúmenes de cuentas, lo que puede interferir con la experiencia del usuario en entornos B2B y B2C.

Cómo la eliminación de las contraseñas puede beneficiar a su negocio

En este contexto, la autenticación sin contraseña ofrece un gran salto. Mediante el uso de una aplicación de autenticación biométrica, como el reconocimiento facial o una clave de seguridad, o un código único enviado por correo electrónico/mensaje de texto, las organizaciones pueden eliminar de un solo golpe los dolores de cabeza de seguridad y administración asociados con las credenciales estáticas.

Al adoptar este enfoque para operaciones B2B y B2C, las organizaciones pueden:

• Mejorar la experiencia del usuario: Haciendo que los inicios de sesión sean más fluidos y eliminando la necesidad de que los usuarios recuerden sus contraseñas. Esto incluso podría impulsar mejores ventas si menos carritos de compras quedan abandonados debido a problemas de inicio de sesión.
• Mejorar la seguridad: Si no hay contraseñas para robar, las organizaciones pueden eliminar un vector clave que compromete la seguridad. Se afirma que, el año pasado, las contraseñas fueron las culpables del 84% de las brechas de datos. Al menos esto generará mayor dificultad a los atacantes para obtener lo que buscan. Y en el caso de los ataques de fuerza bruta, que actualmente se registran miles de millones cada año, se convertirán en cosa del pasado.
• Reducción en los costos y el daño a la reputación: al minimizar los daños financieros provocados por los ataques de ransomware y las brechas de datos. También reducirá los costos de administración IT asociados con el restablecimiento de contraseñas y la investigación de incidentes. Un informe indica que podría costar hasta 150 euros (200 dólares) por el restablecimiento de cada contraseña y unas 30.000 horas en pérdida de productividad por año. Esto sin mencionar el tiempo extra invertido por los equipos de IT que podrían emplearse en tareas de mayor valor.

¿Qué está frenando la autenticación sin contraseña?

Sin embargo, “sin contraseñas” no es sinónimo de panacea. Aún existen varias barreras para su implementación, incluyendo:

• La seguridad no está 100% asegurada: Los ataques de SIM swapping, por ejemplo, pueden ayudar a los atacantes a eludir los códigos de acceso de un solo uso (OTP) enviados vía mensaje de texto (SMS). Y, si los atacantes pueden acceder a dispositivos y máquinas, por ejemplo, vía spyware, también podrían interceptar estos códigos de un solo uso.
• La biometría no es infalible: Al autenticarse con un atributo físico que el usuario no puede cambiar o restablecer, el riesgo aumenta si los atacantes encuentran una manera de comprometer el sistema. Ya se están desarrollando técnicas de aprendizaje automático para socavar la tecnología de reconocimiento de voz y de imagen.
• Altos costos: Las PyMEs (pequeñas y medianas empresas) con una gran base de usuarios o clientes pueden encontrar que implementar alguna tecnología sin contraseña termina siendo bastante costoso, sin mencionar los potenciales costos involucrados en la emisión de dispositivos o tokens de reemplazo, si corresponde. Usar un proveedor establecido como Microsoft tiene más sentido, aunque habrá un costo de desarrollo interno asociado.
• Reticencia del usuario: Hay una razón por la cual las contraseñas han resistido a lo largo del tiempo, a pesar de sus principales deficiencias de seguridad: los usuarios saben instintivamente cómo usarlas. Superar el miedo a lo desconocido podría abordarse más fácilmente en un entorno empresarial, donde los usuarios no tendrán otra opción que seguir las reglas. Pero en un mundo B2C podría crear la suficiente fricción adicional para desmotivar a los clientes. Por lo tanto, se debe tener cuidado para que el proceso de inicio de sesión sea lo más fluido e intuitivo posible.

A medida que la era post pandemia efectivamente comience, hay dos tendencias que serán las que den forma al futuro sin contraseña: un aumento en el uso de servicios en línea para el consumidor y la aparición del trabajo híbrido. Con el dispositivo móvil en el centro de ambos, parece tener sentido que cualquier estrategia corporativa sin contraseñas comience aquí.

Fuente: https://www.welivesecurity.com/

La versión estable de 1Password para Linux ya está disponible su descarga. Su aparición por estos lares se dio hace algo menos de un año en la forma de preview release y con la advertencia explícita por parte de sus desarrolladores de no estar a la par de funciones con las aplicaciones para Windows y Mac y de usarse solo para pruebas; pero la espera ha terminado… si es que alguien la esperaba, lo cual es muy probable.

Habida cuenta de que hablamos de un gestor de contraseñas que funciona a modo de servicio de pago y se basa en software privativo, quizás no se trate del estreno más interesante del mundo este de 1Password para Linux, pero al igual que sucede por ejemplo con Microsoft Edge, para el que el ecosistema de Linux y del código abierto tiene alternativas de sobra, 1Password es una de las aplicaciones más populares de su categoría y quienes utilizan diferentes sistemas operativos, no cabe duda de que tiene su público.

En el caso de que no lo conozcas, ¿qué ofrece 1Password para Linux? Lo cierto es que bastantes cosas, como por supuesto todas funciones básicas que esperas de un gestor de contraseñas: que las guarde a buen recaudo con cifrado de extremo, doble autenticación, generador de contraseñas fuertes, soporte multiplataforma, incluyendo extensiones para navegadores web… Y otras más específicas que ya se anunciaron con la versión de pruebas:

• Instalaciones simples y seguras utilizando administradores de paquetes como APT y DNF
• Cambio automático del modo oscuro basada en el tema de GTK
• Abrir ubicaciones de red (FTP, SSH, SMB)
• Soporte de administrador de ventanas de mosaico y títulos de ventanas descriptivos
• Desbloqueo con la cuenta de usuario de Linux, incluida la biometría
• Icono de la bandeja del sistema
• Integración y limpieza del portapapeles X11
• Atajos de teclado
• Exportación de datos
• Desbloqueo de múltiples cuentas con diferentes contraseñas
• Cree colecciones para organizar datos entre cuentas y bóvedas

Desde entonces hasta ahora, claro está, 1Password para Linux ha mejorado características ya presentes pero incompletas como la integración con el bloqueo, inactividad y suspensión del sistema o integración con GNOME, KDE y otros gestores de ventanas, así como ha añadido, además de estabilidad, otras tantas opciones que le faltaban:

• Asistente de bienvenida
• Editor de etiquetas
• Elementos favoritos
• Adjuntar archivos
• Nueva interfaz para la línea de comandos
• Integración con GNOME Keyring, KDE Wallet y el llavero del kernel
• Soporte para Arch Linux

Nada mal, para tratarse de la primera versión estable de 1Password para Linux. Por lo demás, ya os contamos que la aplicación ha sido desarrollado con Rust (backend) y Electron (frontend) y que aun cuando es un servicio de pago (a partir de 2,99 dólares al mes), con su llegada a Linux ofrece un plan gratuito para equipos de trabajo que desarrollen proyectos de código abierto. Toda la información acerca de este lanzamiento, en la página oficial de 1Password para Linux.

Fuente: www.muylinux.com

KeePassXC 2.6 es la nueva versión de este gestor de contraseñas de código abierto, el más activo heredero de un noble linaje cuyo origen se remonta a hace más de tres lustros. Y no solo eso: es de lo mejor en su categoría, sino el mejor, y una de esas aplicaciones que recomendados sin dudarlo.

Tras algo menos de un año desde el lanzamiento de su anterior versión, KeePassXC 2.6 va a gusto mucho a sus usuarios habituales, y es que por fin ha renovado su interfaz. KeePassXC 2.6 llega con un remozado que se hace evidente desde el primer instante y que incluye el diseño de su interfaz, ahora más minimalista pero sin cambios radicales, nuevos temas claro, oscuro y nativo, modo compacto y un nuevo conjunto de iconos más moderno.

En resumen, KeePassXC 2.6 se ve mejor que nunca y aunque parezca un asunto menor, no lo es, porque la apariencia de una aplicación influye sustancialmente en la experiencia de usuario. Con esta nueva versión, por ejemplo, se ha incluido un nuevo conjunto de iconos para los grupos y las entradas, pero también para la barra de herramientas y la bandeja de sistema como cabía esperar: en estilo monocromo.

Unas capturas de KeePassXC 2.6 como muestra del nuevo aspecto.

Pero si KeePassXC 2.6 se renueva por fuera, por dentro se refina, tanto por las correcciones como por los cambios que trae. A destacar la mejora de la integración con las llaves de autenticación YubiKey y OnlyKey, que ahora permiten hasta cuatro conexiones simultáneas; la mejora del generador de contraseñas o la mejora de la integración con el complemento para navegadores web, entre otras. Son bastantes los detalles que contribuyen a la mejora generalizada de la aplicación.

La última novedad de interés de KeePassXC 2.6 a comentar se refiere a los informes de las bases de datos, más completos, mejor estructurados y presentados y con soporte para comprobar de manera segura que las contraseñas no han sido vulneradas a través del conocido servicio Have I Been Pwned. Puedes acceder a estas funciones mediante el menú «bases de datos > Databases report» (este es quizás uno de los aspecto a mejorar de KeePassXC: la traducción sigue sin estar completa… pero si te molesta, ya sabes).

Puedes descargar KeePassXC 2.6 en la página oficial, disponible en formatos AppImage, Snap, en un PPA oficial para Ubuntu y con paquetes para otras distribuciones (está disponible en los repositorios de casi cualquier distribución actual, pero no actualizado).

En definitiva, el nuevo tótem de las contraseñas se encuentra en plena forma.

Fuente: www.muylinux.com

Estas contraseñas son las más populares, pero lejos están de ser las más seguras

Año tras año, los análisis muestran que millones de personas toman decisiones cuestionables cuando se trata crear contraseñas para proteger sus cuentas. Y los datos más recientes confirman que los malos hábitos son difíciles de erradicar y que muchas personas están dispuestas a ponerse en la primera línea de fuego de los ataques que buscan el secuestro de cuentas.

A partir de un análisis sobre un total de 500 millones de contraseñas que se filtraron en varias brechas de datos a lo largo del 2019, NordPass descubrió que “12345”, “123456” y “123456789” eran las más frecuentes. Entre todas, estas contraseñas compuestas por cadenas numéricas se usaron para “asegurar” un total de 6.3 millones de cuentas. Sin embargo, el resto de la lista de las contraseñas más utilizadas no presenta un escenario mucho más optimista, ya que a estas tres opciones siguieron “prueba1” y “contraseña”.

De manera un tanto predecible, la tabla está repleta de muchas otras contraseñas de las cuales se sospecha son muy comunes: como son “asdf”, “qwerty”, “iloveyou” y varias otras alternativas más. También abundan otras contraseñas extremadamente fáciles de vulnerar, incluidas cadenas numéricas simples y nombres comunes. La misma imagen se repite cada año en las listas de las contraseñas más utilizadas, como fue el año pasado, el año anterior, etc.

La lista completa con las 200 contraseñas más populares está disponible en el sitio de NordPass, pero aquí compartimos las 25 principales.

¿Te resulta familiar?

Si reconoce haber utilizado o estar utilizando algunas de las contraseñas de la lista, entonces es recomendable que en su lista de resoluciones de año nuevo incluya el cambio de contraseñas. Para quienes no saben por dónde empezar, la idea a la hora de cambiar de contraseña debería ser pensar en una clave que muy difícilmente pueda ser igual a la que millones de personas eligen al momento de suscribirse a un servicio.

Una forma de lograr esto es optar por una frase como contraseña. Si el criterio de armado es correcto, suele derivar en una clave muy difícil de vulnerar y fácil de recordar. Esto último es especialmente útil si no se utiliza un software de administración de contraseñas, una herramienta que ha demostrado beneficiar tanto la solidez como la singularidad de la contraseña. Es importante que esa contraseña en formato frase sea única para cada una de sus cuentas en línea, ya que reutilizar contraseñas en varios servicios es algo riesgoso.

También es posible que quiera estar al tanto sobre filtraciones de contraseña. Existe una serie de servicios en los que se puede verificar si sus credenciales de inicio de sesión pueden haber sido filtradas en alguna brecha. Algunos de estos incluso ofrecen la opción de suscribirse a alertas si su información de inicio de sesión se ve comprometida por una violación.

De hecho, dado que en esta era en la cual vivimos los datos de inicio de sesión de millones de usuarios se han comprometidos, ¿por qué conformarse con una línea de defensa si se puede tener dos? En este sentido, el doble factor de autenticación es una forma muy valiosa de agregar una capa adicional de seguridad a las cuentas en línea, además de su contraseña.

Fuente: www.welivesecurity.com

El uso de la biometría se está convirtiendo en una de las alternativas para mantener nuestros datos seguros.

En 2017, Sarah*, una actriz que vive en Londres, fue víctima del delito de robo de identidad.

«Llegué a casa un día y me encontré con una sorpresa en el buzón», recuerda.

«Había allí dos tarjetas de crédito nuevas que no había pedido y una carta de un banco denegándome otra, que tampoco solicité».

Tuvo que gastar US$200 en servicios de verificación de crédito para tratar de averiguar dónde se habían originado las peticiones que ella no había hecho.

«Y eso es mucho dinero y tiempo».

El robo de identidad es constante en Europa, así como en otras regiones del mundo.

En Reino Unido, el Sistema de la Industria del Crédito para Evitar el Fraude (CIFAS, por sus siglas en inglés), una entidad sin ánimo de lucro con representación del sector público y privado, registró 190.000 casos tan solo el año pasado.

Y que nuestras vidas sean cada vez más digitales es campo fértil para los que se dedican a robar información personal.

Pero entonces ¿cómo podemos mantener segura nuestra identidad digital?

Nuestra primera línea de defensa es muchas veces una contraseña.

Sin embargo, no siempre es la mejor opción.

En abril de este año, Facebook admitió que millones de contraseñas de las cuentas de usuarios de Instagram estaban almacenadas en sus sistemas en un formato de lectura que era vulnerable a ataques.

Microsoft se está moviendo hacia productos sin contraseña.

También hubo un robo digital de grandes proporciones. El año pasado el portal de internet Quora fue hackeado, comprometiendo los nombres y los correos electrónicos de 100 millones de usuarios.

Recientemente, Yahoo! saldó con un acuerdo de $117,5 millones dólares una demanda colectiva por el hackeo masivo que afectó a unos 3.000 millones de usuarios entre 2012 y 2016. Los piratas informáticos se hicieron con correos electrónicos y contraseñas.

Tampoco sorprendió que Microsoft anunciara el año pasado que la compañía está planeando «matar» la contraseña y comenzar a utilizar datos biométricos o una clave especial de seguridad para que se acceda a sus cuentas.

La consultora en tecnologías de la investigación Gartner predice que, para el 2022, el 60% de las grandes marcas e incluso medianas empresas reducirá a la mitad su dependencia para con las contraseñas como método de acceso para sus usuarios.

«Las contraseñas son lo primero por lo que empiezan los hackers», le dijo a la BBC Jason Tooley, director de Veridium, una empresa dedicada a prestar servicios de autentificación biométrica.

«La gente tiende a utilizar contraseñas que son fáciles de recordar y por eso sus sistemas quedan comprometidos», agregó.

El sistema verificación por contraseña es considerado por algunos analistas como obsoleto.

Dejar ese sistema a un lado no solo es un paso en la mejora de la seguridad, también ahorra tiempo a los departamentos de soporte técnico, que dedican horas y horas a restablecer claves olvidadas.

«El costo asociado al uso de contraseñas es de hasta US$200 por empleado, sin incluir la pérdida de productividad», explicó Tooley.

«Para una organización grande, de más de 1.000 empleados, eso es un costo enorme», añadió.

«Nuevos riesgos»

Philip Black es el director comercial de Post-Quantum, una compañía que diseña poderosos sistemas de encriptación para proteger la información.

Está de acuerdo con que las claves y las contraseñas son hoy por hoy el punto débil de la vida digital.

«Hay que crear y usar tantas claves que se vuelve algo inmanejable, así que la gente termina utilizando el mismo código para todo y eso es lo que crea la vulnerabilidad», dijo Black.

Una nueva serie de reglas de la Unión Europea fue diseñada para lidiar con el problema.

La Segunda Directiva de Servicios de Pago (PSD2) les exige a los negocios usar al menos dos vías para autentificar la identidad de un usuario.

Puede ser mediante algo que el cliente tenga en su poder (como una tarjeta del banco), algo que solo él sabe (como un PIN) o una característica propia, entre las que se incluyen los datos biométricos.

Varias empresas de seguridad dicen que una combinación métodos de autentificación reemplazará las contraseñas.

Aunque los tokens, las contraseñas y los códigos enviados por mensaje de texto dominaron hasta ahora este tipo de validaciones, el interés en la biométrica está aumentado.

De acuerdo a la encuesta sobre fraude bancario de la consultora KPMG, en 2019 el 67% de los bancos está invirtiendo en medidas biométricas como huellas digitales, patrones de voz y reconocimiento facial.

La biometría ofrece una mejor experiencia al consumidor, pero no ha tenido el desarrollo esperado debido a que necesita de equipos especializados.

Con los últimos modelos de teléfonos móviles, muchas personas ya tienen el hardware necesario en sus bolsillos.

Una investigación hecha en Reino Unido, por ejemplo, señaló que una quinta parte de los residentes del país tiene un celular que puede escanear huellas digitales. Y ese número está creciendo de manera acelerada.

Pero incluso en eso, los datos son vulnerables.

En septiembre, investigadores chinos demostraron en una conferencia en Shanghái que era posible obtener las huellas digitales de alguien con una fotografía tomada a larga distancia.

Ahora, si es difícil recomponer una contraseña, tratemos de cambiar nuestra huella digital.

Las huellas digitales se han convertido en una opción de protección de datos.

Para aumentar la seguridad, la compañías están confiando en la autenticación multifactor (MFA), que busca identificar a los usuarios usando todas las formas posibles.

Esto incluye no solo el PIN y escaneo de huellas digitales, sino también la ubicación, el historial de compras, sus patrones de movimientoy la identidad telefónica. Hasta la manera en la que agarran el teléfono móvil.

Entonces ¿la biometría va a reemplazar las contraseñas?

«No, una combinación de factores va a reemplazar las contraseñas. Estamos y deberíamos avanzar hacia esto», dice Ali Niknam, director ejecutivo de Bunq, un servicio de banca móvil.

Sin embargo, existe el riesgo de que la autenticación multifactor, aunque segura, haga que el proceso sea aún más complicado.

Si no sabe qué es lo se está usando para verificar su identidad en internet, ¿cómo va un usuario a proteger esa información?

«Ahora cuido que mi fecha de nacimiento o mi dirección no esté en ningún lado», cuenta Sarah.

«Tengo 33 años, soy relativamente joven y estoy familiarizada con la tecnología, pero no estoy segura de saber cómo ser más cuidadosa«, reconoce.

Fuente: www.bbc.com

Les adelantamos el lanzamiento en el PING, pero como advertimos, merecía la pena comentarlo con un poco de calma y a eso vamos. Y es que KeePassXC 2.5 llega tras más de medio año de desarrollo para confirmar una vez más algo que ya estaba claro: que es el gestor de contraseñas de código abierto más recomendable del panorama actualmente.

Parece difícil que haya quien no conozca a la familia de gestores de contraseña de código abierto KeePass, de la cual KeePassXC es uno de sus miembros más recientes a razón del nulo progreso de KeePassX, una versión en Qt cuyo lento desarrollo propició el nacimiento de un fork, KeePassXC, que ha resultado ser lo mejor que podía haber pasado.

Por si acaso, ya os recomendamos a KeePassXC como en nuevo tótem de las contraseñas en un artículo de repaso que os interesará leer, si aún no lo conocías, aunque lo cierto es que de un tiempo a esta parte está en todo lados, precisamente debido al la lentitud del desarrollo de sus alternativas. El último cambio significativo lo encontramos en Tails 4.0, que lo toma como opción por defecto.

En cuanto a las novedades de KeePassXC 2.5, ahí va una lista

• Nueva opción para crear una copia de seguridad de la base de datos impresa.
• Nuevo panel de estadísticas de la base de datos.
• Las vistas de entrada y desbloqueo han sido rediseñadas.
• Nueva opción para descargar los favicons de las entradas de una sola vez.
• Autocompletado automático del nombre de usuario en función de los nombres de usuario conocidos de otras entradas.
• Importación de archivos OpVault de 1Password.
• Soporte para las llaves de seguridad de código abierto OnlyKey.

En lo que se refiere al soporte de Linux, también hay novedades interesantes, como la mejora de la versión para la línea de comandos, incluyendo la posibilidad de verificar si las credenciales se han visto comprometidas haciendo uso de la base de datos de HIBP, pero sin necesidad de conectarse a esta; así como el soporte del estándar libsecret y, en principio, la compatibilidad con los clientes que hagan uso de esta tecnología.

Al contrario, el lanzamiento de KeePassXC 2.5 supone el fin del soporte para Ubuntu 14.04 LTS y las nueva AppImage se basan ahora en Ubuntu 16.04 LTS, con Qt 5.5 como requisito mínimo.

Y en cuanto a la descarga de KeePassX 2.5, en la página oficial se ofrecen diferentes vías para las principales distribuciones Linux, incluyendo las mencionadas AppImage, paquetes Snap, repositorios dedicados y más.

Fuente: www.muylinux.com

(CNN) — Si “123456” es tu contraseña, puede ser hora de un cambio.

Esa fue la conclusión poco sorprendente de una encuesta que revela las contraseñas más vulnerables de Internet, que también advirtió que los códigos que usan nombres, equipos deportivos e insultos son más populares de lo que se podría pensar.

MIRA: Facebook almacenó las contraseñas de los usuarios en una base de datos a la que el personal podría acceder

La encuesta, realizada por el Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés) del Reino Unido, analizó las contraseñas de cuentas en todo el mundo que habían sido violadas.

Varias combinaciones de números formaron el top 10, mientras que “blink182” fue el artista musical más popular y “Superman” el personaje de ficción más común.

Pero “123456” fue el ganador incontrolable, con 23,2 millones de cuentas usando el código fácil de descifrar. “123456789” fue usado por 7,7 millones, mientras que “qwerty” y “password” fueron usados por más de 3 millones de cuentas.

LEE: Caso de extorsión sexual enciende el debate legal sobre contraseñas de teléfonos

Ashley y Michael fueron los nombres más utilizados, seguidos por Daniel, Jessica y Charlie.

Liverpool encabezó la tabla de clubes de fútbol de la Premier League que se usaron como contraseñas, con Chelsea, Arsenal y Manchester United (“manutd”) que conforman el resto de los cuatro primeros. Manchester City (“mancity”), por el contrario, terminaría en el puesto 11 en la clasificación de contraseñas de la Premier League.

The Dallas Cowboys (“cowboys1”) fue el apodo más popular del equipo de la NFL, mientras que el domingo fue el día más usado de la semana y agosto, el mes más común.

Las 10 contraseñas más comunes fueron:

123456123456789
qwerty
password
111111
12345678
abc123
1234567
password1
12345

“iloveyou” acaba de perder el top 10, mientras que “monkey” y “dragon” hicieron apariciones sorpresivas en el top 20. Muchos de los usuarios también usaron palabras clave como una oportunidad para aprovechar una colorida gama de malas palabras.

MIRA: ¿Por qué Facebook quiere eliminar las contraseñas?

El NCSC recomendó usar tres términos “aleatorios pero memorables” en una contraseña, para reducir el riesgo de que una cuenta sea violada.

“La reutilización de la contraseña es un riesgo importante que se puede evitar, nadie debe proteger los datos confidenciales con algo que se pueda adivinar, como su primer nombre, el equipo de fútbol local o la banda favorita”, dijo Ian Levy, Director Técnico de NCSC.

“Usar contraseñas difíciles de adivinar es un primer paso sólido y recomendamos combinar tres palabras aleatorias pero memorables. Sea creativo y use palabras memorables para usted, para que la gente no pueda adivinar su contraseña”, agregó.

Fuente: cnnespanol.cnn.com