Cada día estamos más y más expuestos en Internet y cada día nos preocupamos menos por nuestra propia seguridad. Pero qué me va a pasar en Internet he oído decir a muchos, pues de todo. Los que llevamos ya muchos años sabemos ya todo esto pero probablemente a los nuevos les vendría bien leérselo.
Los datos que tenemos online
¿Alguna vez habéis dado una contraseña por correo? ¿Por mensaje privado? ¿Incluso por mensajería tipo Skype? Cualquiera puede pensar que es seguro pero, ¿realmente lo es? En un principio puede parecer que sí puesto que nadie debería poder acceder a nuestra cuenta pero, ¿y si no es así? Por supuesto Google, Microsoft y cualquier otra empresa tiene seguridad de la buena en sus servicios pero os sorprendería saber cuantas veces los hackeos son más simples de lo que pensáis.
La misma contraseña
Y aquí tenemos el causante de muchos dolores de cabeza.
La regla número uno al registrarte en cualquier sitio es que nunca tienes que dar por hecho que tu contraseña va a ser guardada en el servidor de una forma segura.
En la gran mayoría de sitios las contraseñas se encriptan por seguridad para que no estén a simple vista por si alguien accede a todos los datos del sitio, ¿lógico, verdad?
Voy a poner el ejemplo de WaH, cuando creas tu contraseña o la cambias ésta nunca se envía como tal ya que primero se encripta. Hay muchos tipos de encriptación y el de WaH está entre los regulares creo yo, y ahora os explico por qué.
vBulletin 3 (o sea, el sistema de foros que utiliza WaH) encripta las contraseñas de ésta forma:
Primero encripta la contraseña con md5, luego une el resultado con un salt (que es una cadena con letras y números que se genera automáticamente cada vez que creas o cambias tu contraseña) y finalmente vuelve a encriptar todo en md5. Si mi contraseña fuese "pokemon2342" en el servidor estaría guardado "79dc53da4442ea737c273e70b4eb0a87" y el salt.
Cada vez que iniciamos sesión se repite todo el proceso de encriptación y si la contraseña que hemos introducido en el login tras encriptarse con el mismo salt resulta ser la misma guardada, estaríamos dentro.
Vale, como he dicho en un principio podríamos pensar que estamos seguros porque la contraseña va encriptada pero realmente nunca se está seguro.
Los ataques a base de diccionario
Ahora imagina que alguien puede acceder a las bases de datos de un sitio web en el que estás registrado y tiene en su poder las contraseñas encriptadas. En un principio podríamos pensar que estamos seguros pero los ataques de diccionario nos van a demostrar lo contrario.
Un ataque de diccionario es de forma resumida un ataque en el que tenemos una base con muchísimos tipos de contraseña normalmente sencillas y se van probando con cada contraseña encriptada de tal forma que se va probando a encriptar cada contraseña del diccionario con el tipo de encriptación que utilice la contraseña que queremos descubrir hasta que el resultado sea el mismo que la que ya está en la base de datos, de esta forma habríamos obtenido la contraseña de la base de datos, ¿parece fácil, verdad? Lo es.
¿Qué pasa ahora si estamos usando la misma contraseña en todos sitios? Lo tenemos jodido.
Prevenir los ataques de diccionario
Tal y como he dicho normalmente los diccionarios de contraseña suelen ser sencillos y muchas otras veces simplemente son palabras que se van juntando de forma aleatoria.
Ninguna contraseña encriptada es imposible de desencriptar con un ataque de este tipo o de fuerza bruta pero sí que es posible hacer que el que quiere intentar desencriptar la contraseña se muera antes de que pueda conseguirla.
Si utilizamos una contraseña como la que he puesto en el ejemplo de antes, pokemon2342, es posible que en menos de un minuto ya esté desencriptada nuestra contraseña pero si usamos algo más complejo el proceso puede alargarse durante años e incluso siglos. Tampoco quiero decir con esto que tengamos que usar contraseñas tipo 3FgdcGdf35FHds*.
Encontrando una buena contraseña
Lo primero que tenemos que tener claro es que las contraseñas son sensibles a las mayúsculas por lo que siempre debemos de usar una contraseña con minúsculas, mayúsculas y por supuesto números.
Unir varias palabras con un numero podría aumentar la seguridad de una contraseña pero si el ataque de diccionario que están usando se dedica a coger palabras e ir probando volvemos a estar jodidosaunque esta vez se tardaría más en desencriptarla.
¿Pero y si usamos palabras fáciles de recordar y que no existanno, nombres de Pokémon no valen o empezamos a mezclar idiomas? Si a esto le añadimos un caracter especial tipo * / ? ! ya tendríamos una contraseña mucho mejor que la que podríamos tener al principio. Voy a poner un ejemplo.
Los datos que tenemos online
¿Alguna vez habéis dado una contraseña por correo? ¿Por mensaje privado? ¿Incluso por mensajería tipo Skype? Cualquiera puede pensar que es seguro pero, ¿realmente lo es? En un principio puede parecer que sí puesto que nadie debería poder acceder a nuestra cuenta pero, ¿y si no es así? Por supuesto Google, Microsoft y cualquier otra empresa tiene seguridad de la buena en sus servicios pero os sorprendería saber cuantas veces los hackeos son más simples de lo que pensáis.
La misma contraseña
Y aquí tenemos el causante de muchos dolores de cabeza.
La regla número uno al registrarte en cualquier sitio es que nunca tienes que dar por hecho que tu contraseña va a ser guardada en el servidor de una forma segura.
En la gran mayoría de sitios las contraseñas se encriptan por seguridad para que no estén a simple vista por si alguien accede a todos los datos del sitio, ¿lógico, verdad?
Voy a poner el ejemplo de WaH, cuando creas tu contraseña o la cambias ésta nunca se envía como tal ya que primero se encripta. Hay muchos tipos de encriptación y el de WaH está entre los regulares creo yo, y ahora os explico por qué.
vBulletin 3 (o sea, el sistema de foros que utiliza WaH) encripta las contraseñas de ésta forma:
Código:
md5(md5([U]contraseña[/U]) . [U]salt[/U])Cada vez que iniciamos sesión se repite todo el proceso de encriptación y si la contraseña que hemos introducido en el login tras encriptarse con el mismo salt resulta ser la misma guardada, estaríamos dentro.
Vale, como he dicho en un principio podríamos pensar que estamos seguros porque la contraseña va encriptada pero realmente nunca se está seguro.
Los ataques a base de diccionario
Ahora imagina que alguien puede acceder a las bases de datos de un sitio web en el que estás registrado y tiene en su poder las contraseñas encriptadas. En un principio podríamos pensar que estamos seguros pero los ataques de diccionario nos van a demostrar lo contrario.
Un ataque de diccionario es de forma resumida un ataque en el que tenemos una base con muchísimos tipos de contraseña normalmente sencillas y se van probando con cada contraseña encriptada de tal forma que se va probando a encriptar cada contraseña del diccionario con el tipo de encriptación que utilice la contraseña que queremos descubrir hasta que el resultado sea el mismo que la que ya está en la base de datos, de esta forma habríamos obtenido la contraseña de la base de datos, ¿parece fácil, verdad? Lo es.
¿Qué pasa ahora si estamos usando la misma contraseña en todos sitios? Lo tenemos jodido.
Prevenir los ataques de diccionario
Tal y como he dicho normalmente los diccionarios de contraseña suelen ser sencillos y muchas otras veces simplemente son palabras que se van juntando de forma aleatoria.
Ninguna contraseña encriptada es imposible de desencriptar con un ataque de este tipo o de fuerza bruta pero sí que es posible hacer que el que quiere intentar desencriptar la contraseña se muera antes de que pueda conseguirla.
Si utilizamos una contraseña como la que he puesto en el ejemplo de antes, pokemon2342, es posible que en menos de un minuto ya esté desencriptada nuestra contraseña pero si usamos algo más complejo el proceso puede alargarse durante años e incluso siglos. Tampoco quiero decir con esto que tengamos que usar contraseñas tipo 3FgdcGdf35FHds*.
Encontrando una buena contraseña
Lo primero que tenemos que tener claro es que las contraseñas son sensibles a las mayúsculas por lo que siempre debemos de usar una contraseña con minúsculas, mayúsculas y por supuesto números.
Unir varias palabras con un numero podría aumentar la seguridad de una contraseña pero si el ataque de diccionario que están usando se dedica a coger palabras e ir probando volvemos a estar jodidos
¿Pero y si usamos palabras fáciles de recordar y que no existan
NintenLol90*
Parece sencilla y es que realmente es una contraseña muy sencilla pero al ser una cadena de palabras que empiezan por mayúsculas y que no se suelen utilizar nos hemos librado de que los ataques a base de diccionario saquen nuestra contraseña en menos de un minuto.
Nunca repitas una contraseña
Que estés a salvo de los ataques de diccionario no significa que estés a salvo de la incompetencia de algunos sitios. Nunca sabes como se está guardando tu contraseña por lo que nunca debes dar por hecho de que nadie va a poder verla y por ello nunca uses la misma contraseña en varias webs, puedes usar una contraseña del mismo estilo o que te recuerde e incluso esto estaría algo mal, pero nunca la misma.
Pero es que luego tengo que recordar todas las contraseñas dice mucha gente, ¿de verdad esto es una excusa de verdad? Cuando creamos una contraseña normalmente la creamos de forma que vayamos a recordarla y siempre nos queda la opción de tener un papel con nuestras contraseñas en algún cajón escondido.
Yo personalmente utilizo una contraseña diferente en todos los sitios en donde me registro y no he tenido nunca dificultad para recordarlas.
He llegado a conocer a gente que utiliza su nombre y algún número o incluso la fecha de nacimiento como contraseña en todos sitios. Tal vez nunca les pase nada pero tal vez algún día se encuentren que no pueden acceder a nada o que hay datos personales suyos por Internet y en el peor de los casos que han podido acceder hasta a su Paypal o algún tipo de cuenta de este tipo porque sí, el riesgo es real.
Nunca repitas una contraseña
Que estés a salvo de los ataques de diccionario no significa que estés a salvo de la incompetencia de algunos sitios. Nunca sabes como se está guardando tu contraseña por lo que nunca debes dar por hecho de que nadie va a poder verla y por ello nunca uses la misma contraseña en varias webs, puedes usar una contraseña del mismo estilo o que te recuerde e incluso esto estaría algo mal, pero nunca la misma.
Pero es que luego tengo que recordar todas las contraseñas dice mucha gente, ¿de verdad esto es una excusa de verdad? Cuando creamos una contraseña normalmente la creamos de forma que vayamos a recordarla y siempre nos queda la opción de tener un papel con nuestras contraseñas en algún cajón escondido.
Yo personalmente utilizo una contraseña diferente en todos los sitios en donde me registro y no he tenido nunca dificultad para recordarlas.
He llegado a conocer a gente que utiliza su nombre y algún número o incluso la fecha de nacimiento como contraseña en todos sitios. Tal vez nunca les pase nada pero tal vez algún día se encuentren que no pueden acceder a nada o que hay datos personales suyos por Internet y en el peor de los casos que han podido acceder hasta a su Paypal o algún tipo de cuenta de este tipo porque sí, el riesgo es real.
