El otro día hablando con una persona, voy a mantener el anonimato por cuestiones obvias, me comentó que le habían dado la contraseña de la red wi-fi de su oficina y que le había sorprendido sobremanera una peculiaridad de la misma, coincidía con el nombre de la red, ¡¡oohhh!!
Esto de hacer coincidentes los nombres de las redes y las contraseñas de las mismas, es como ir con la cremallera del bolso abierto en plena hora punta en el metro en la estación de Sol, aquí en Madrid, una invitación a que otro meta la mano en él…
Contraseñas, nunca, nunca fáciles.
Es una obviedad pero, a pesar del paso de los años y de toda la información que tenemos, hay gente que sigue tratando el tema de la elección de contraseñas como un trago que hay que pasar, y cuanto más rápido mejor. De esta forma, es habitual que se usen fechas señaladas, nombres de nuestros hijos, de nuestra pareja, de nuestro chihuahua, del futbolista de moda, de mi equipo de softball… En fin, términos muy relacionados con nuestra vida y que a poco de «navegación» por la web, alguien hábil puede extraer.
No es solo una cuestión de cagarla con las contraseñas de nuestra red wi-fi en el hogar, esto es extensivo a las de nuestras cuentas de correo, a nuestros blogs, a nuestros perfiles en redes sociales, ni digamos la importancia que toma si las contraseñas elegidas son ya para una red de un negocio o los correspondientes perfiles sociales de éste. La cagada es épica y puede tener consecuencias muy desagradables.
En junio de 2012 un ataque a la red de contactos profesionales LinkedIn sustrajo las contraseñas de hasta seis millones de usuarios de la misma y las hizo públicas. Mark Burnett un consultor de seguridad reconocido, realizó un estudio y comprobó que las «veinticinco contraseñas más utilizadas» por los usuarios de LinkedIn eran las que siguen:
- password
- 123456
- 12345678
- 1234
- qwerty
- 12345
- dragon
- pussy
- baseball
- football
- letmein
- monkey
- 696969
- abc123
- mustang
- michael
- shadow
- master
- jennifer
- 111111
- 2000
- jordan
- superman
- harley
- 1234567
De locos ¿verdad? Pues mira las tuyas que lo mismo tienes alguna parecida… Ese listado es de contraseñas que los usuarios piensan “no tiene nada que ver conmigo” cumplo con la seguridad, ya, ya, pero cualquier software usado para descubrir contraseñas tarda décimas de segundo en localizarlas. Son fáciles, muy fáciles y eso nunca jamás.
Contraseñas, cómo crackearlas… Mejor cómo intentar evitarlo.
No, no te lo voy a explicar. Lo primero, no sé para qué lo vas a usar y no quiero que me piratees mis cuentas o peor, y más que nada por la cantidad de enlaces que se encuentran en internet sobre el tema, las apps de android e iphone que se encuentran para las redes wi-fi, etc… A mí particularmente me gusta de lo que se habla en este enlace, para que no busques mucho más.
Los procesos de password cracking tienen dos métodos muy extendidos: los ataques de fuerza bruta y los ataques de diccionario. Estos últimos son bastante efectivos, por qué, porque los usuarios eligen palabras en su idioma para usar como clave, fácil muy fácil. Pero si no funciona tu idioma materno usaremos el siguiente idioma, fácil muy fácil.
Bien, todas las recomendaciones van en la línea de usar un mínimo de dieciséis caracteres, usando mayúsculas, minúsculas, letras, números y símbolos especiales, bien mezcladito. Esta recomendación te protege contra ataques de diccionario y se lo pone chungo a los ataques de fuerza bruta, dependiendo del método de cifrado será más segura. Otra recomendación muy válida es la de cambiar cada equis tiempo las contraseñas, para hacerlo hay que ser muy metódico y haber creado un sistema de generación y recordatorio de contraseñas personalizado, mucho trabajo, ¿verdad? Si os da vértigo pensarlo no os preocupéis hay software de gestión de contraseñas, las generan robustas y las encriptan en tu dispositivo para que no sean accesibles a un tercero. Ejemplos son “KeePass Password Safe”, “Password Safe”, “LoginControl”, la primera y la tercera una con posibilidad de traducción al español y la otra en español, para que no metamos la pata…
Contraseñas seguras en la red wifi.
El caso del que hablaba al principio es de traca, para rizar más el rizo la conexión entre equipos, servidor y periféricos de la empresa es esa misma red wi-fi. Tienen los datos al descubierto de cualquiera, bueno en realidad, tenían pues ya han subsanado esa brecha de seguridad… Ponerlo fácil en la contraseña del wi-fi puede producir un efecto molesto, tu vecino o varios se conectarán a tu red y te comerán ancho de banda, si además se dedican a bajar archivos a cascoporro tu ancho de banda será delgado de banda. Pero al margen de la actividad parasitaria, nunca sabes quién entra a tu red, ni sus conocimientos ni su nivel ético, al final es dejar la puerta abierta y confiar en la bondad de todo el que pase por delante.
Mi primer consejo es cambiar tanto el nombre de red que trae tu router por defecto y por supuesto la contraseña que trae, más que nada porque ya existen diccionarios de las distintas operadoras, solo hay que identificar a tu operador y atacar con él, es cuestión de más o menos tiempo. Por supuesto, en la elección del nombre de red pondría algo que no tuviera nada que ver en principio conmigo, sobre todo nunca poner el nombre de la empresa, si te estoy buscando me lo pones fácil, muy fácil.
Segundo consejo, aseguraros de que todos los equipos de la red inalámbrica y sus adaptadores sean compatibles con el sistema WPA2, de momento lo más seguro hoy por hoy. Una vez asegurado que todos los equipos lo aguantan, configurar la red wi-fi con WPA2-Personal con cifrado AES.
Y tercer y último consejo, elige la contraseña siguiendo las indicaciones del anterior encabezado, dieciséis caracteres, letras, números, mayúsculas, minúsculas, símbolos especiales y cambiarla cada cierto tiempo, ninguna contraseña es eterna si alguien está dispuesto a entrar.
¿Cómo son de seguras vuestras contraseñas?
Yo ya te he hecho caso en todo!!!
Es una decisión muy sabia 😉