Cómo incentivar a los empleados para que refuercen la seguridad de sus contraseñas

enero 16, 2009 § Deja un comentario

De Bill Carey / Traducción: Diana Delgado

Una de las tareas de los departamentos de TI es conseguir que los empleados asuman las políticas de seguridad de las contraseñas, ya no sólo por el bien de los propios empleados, sino por el del conjunto de la empresa.

Bill Carey, colaborador del Knowledge center recomienda a las empresas una estrategia en cinco etapas para la educación de los empleados en el refuerzo de la seguridad de sus contraseñas.

Probablemente, la Gobernadora de Alaska, Sarah Palin no era consciente de la importancia que llegaría a tener su cuenta de correo electrónico, y sin embargo, cuando fue elegida candidata para la vicepresidencia por el partido Republicano, se convirtió inmediatamente en objetivo de los hackers David Kernell se coló en su cuenta de correo utilizando la posibilidad “restaurar contraseña” de Yahoo! y adivinando sus respuestas a las preguntas de seguridad.

La triste realidad es que las llamadas “preguntas de seguridad” no son en absoluto seguras. En general, no resulta muy difícil dar con el lugar de nacimiento o incluso con el nombre de soltera de la madre de una persona. Alguien debería haber advertido a Palin que no hacía falta decir la verdad en esas preguntas. Uno tiene perfecto derecho a decir que ha nacido en Belén y que el nombre de soltera de su madre es Barbarosa. A la base de datos de Yahoo le da exactamente igual.

El robo de identidad es un asunto muy serio, incluso para los que no participamos en una carrera electoral. Para la persona corriente, la amenaza que entraña una identidad electrónica frágil no es tanto una cuestión de cotilleos o indiscreciones políticas. Uno podría jugarse su reputación – si se tratase de un “amigo” o una esposa espías -, pero el riesgo mayor de seguridad tiene que ver con el acceso al dinero y con la posibilidad de encontrarse en números rojos.

Consecuencias para la empresa de una contraseña poco segura

En el caso de una empresa, las consecuencias pueden ser mucho más graves. Si los empleados comparten contraseñas o utilizan contraseñas fáciles de adivinar, se pone en peligro la información financiera de la empresa o los secretos comerciales. Y una empresa verá gravemente dañada su reputación si permite el acceso no autorizado a datos de sus clientes. Las empresas tienen dos razones para incentivar a sus empleados a reforzar su seguridad online: la primera, proteger sus propios activos; y la segunda proporcionar un beneficio tangible y sin coste a los empleados, ayudándoles a proteger su identidad electrónica.

En cualquier empresa, lo más probable es que a los empleados les preocupe la seguridad de su identidad online, sin embargo, no cuentan con los conocimientos y herramientas necesarios para prevenir los riesgos. Creen que “hobbit” es una contraseña muy inteligente, aunque participen en un foro de discusión sobre “El Señor de los Anillos” y tengan una fotografía de Frodo de salva pantallas.

La buena noticia para los empresarios es que si ayudan a sus empleados a proteger sus identidades electrónicas personales, conseguirán que ellos adopten políticas de seguridad adecuadas a la hora de acceder a los sistemas y datos de la empresa. Y aún más, un empresario que ayuda a sus empleados a proteger su seguridad online será percibido como un jefe que se preocupa y no como un histérico del control obsesionado por imponer otro complicado procedimiento de seguridad.

Cinco etapas para aumentar la seguridad de las contraseñas

Si se les informa con delicadeza, los trabajadores entenderán mejor la necesidad de seguridad en la empresa y estarán más dispuestos a participar en la puesta en práctica de una política responsable de seguridad. ¿Cuál sería en la práctica la mejor forma de aumentar la concienciación sobre la seguridad electrónica? A continuación, se describe una estrategia en cinco etapas que cualquier empresa puede aplicar:

Etapa 1: Asigne a alguien del departamento de TI el seguimiento de artículos sobre fallos de seguridad y la distribución de esos artículos entre los empleados, acompañados de sugerencias sobre cómo evitar dichos fallos de seguridad. De esta forma, conseguirá mantener el asunto seguridad como prioritario en el departamento de TI y les obligará a reflexionar sobre los procedimientos de la empresa. Además, los empleados se mantienen al corriente de las últimas amenazas y estafas electrónicas. Asegúrese de que los artículos se refieren tanto a seguridad personal como a seguridad de la empresa.

Etapa 2: Permita que el departamento de TI responda online a las preguntas de los empleados. Una vez más, conseguirá mantener al personal informático familiarizado con el asunto y contribuirá a la educación electrónica de los empleados.

Etapa 3: Adquiera software sobre gestión de contraseñas y permita que los empleados lo utilicen para sus cuentas personales. Hay muchas opciones disponibles, pero la más efectiva en términos de coste suele ser algún tipo de solución para la gestión de contraseñas en la empresa.

Etapa 4: Organice un almuerzo informal cada trimestre o semestre para discutir los temas más novedosos sobre seguridad, refiriéndose tanto a la seguridad de la empresa como a la seguridad personal de los empleados (muchos de ellos ni siquiera saben todavía lo que es el “phishing”)

Etapa 5: Circule un memo sobre buenas prácticas en materia de contraseñas e inclúyalo entre la documentación destinada a los nuevos empleados. Un ejemplo de memo es el siguiente:

Estimado empleado:

La seguridad electrónica es un problema de creciente importancia para muchas empresas y personas individuales. Probablemente, haya oído hablar del aumento de los “robos de identidad” y delitos similares. (Nombre de la empresa) está muy interesada en proteger nuestra información y secretos comerciales, pero también deseamos ayudar a nuestros empleados a hacer un uso responsable de sus servicios personales de Internet

En los próximos meses, circularemos noticias sobre fallos de seguridad electrónica, así como consejos y pistas sobre cómo proteger su identidad electrónica. Como primer paso en esa dirección, este memo proporciona un conjunto de reglas simples para ayudarle a crear contraseñas más seguras:

  • En primer lugar, asegúrese de recordar las siguientes cuatro reglas:
  • No utilice contraseñas obvias y fáciles de adivinar.
  • No escriba su contraseña en un lugar poco seguro ni la guarde en un archivo no protegido del ordenador.
  • No comparta su contraseña con otros empleados.
  • No utilice la misma contraseña para diferentes cuentas.

En segundo lugar, para crear una contraseña segura, utilice alguno de los cuatro métodos siguientes:

Elija una palabra o frase que pueda recordar, pero sustituya las letras por símbolos o números (por ejemplo @ por a, 8 por B, $ por S, etc). Con este método, “sambuca” podría convertirse en “$@m8uC@”.

Si se trata de una frase larga, utilice la primera letra de cada palabra, alternando mayúsculas y minúsculas y realice las sustituciones descritas anteriormente. Así “One ring to rule them all, one ring to find them” podría convertirse en “0RTrt@OrtFT”. Al principio, puede parecer difícil, pero enseguida la memoria empieza a funcionar y se verá tecleando la contraseña con facilidad.

Realice sustituciones del tipo “encima a la izquierda” o “debajo a la derecha”. Esto consiste en sustituir una tecla por la de al lado. Así tendríamos que “Finnegan” podría convertirse en “E8hh3rqh” sustituyendo cada letra por la que se sitúa en el teclado en la fila de encima a la izquierda de ésta.

Finalmente, es una buena idea cambiar la contraseña al menos una vez al mes.

Le animamos a recordar y seguir estas sugerencias, no sólo para las contraseñas que utilice en su empresa, sino también para las que utilice en sus asuntos personales.

Fuente: http://www.eweekeurope.es/knowledge/como-incentivar-a-los-empleados-para-que-refuercen-la-seguridad-de-sus-contrasenas-422

Anuncios

Google Chrome 1.0, considerado el navegador que peor protege las contraseñas

diciembre 16, 2008 § Deja un comentario

Cuando el flamante navegador de Google se convirtió en un fiasco plagado de bugs (cuyo uso el propio gobierno alemán llegó a desaconsejar) la excusa perfecta fue que se trataba sólo de una versión beta.

Ahora, en un movimiento sorprendente, Google ha anunciado la disponibilidad -sólo para Windows- de Chrome 1.0. Es decir, ha decretado el final del período beta y ha publicado la primera versión final.

Pues bien; a las pocas horas, Chrome 1.0 ya ha logrado el dudoso honor de ser considerado el navegador que peor protege las contraseñas de sus usuarios. De hecho presenta tres problemas que colaboran en la primera versión oficial de Chrome para explotar un fallo que fue publicado hace dos años, y que posibilita que un atacante robe las contraseñas almacenadas en Chrome sin que el usuario siquiera se entere. Al parecer los tres problemas fueron señalados por Chapin en la beta de Chrome y ni uno solo de ellos ha sido corregido en la versión final. Pero el asunto no queda ahí, porque Chapin Information Services asegura haber detectado nada menos que otros 17 fallos en el gestor de contraseñas de Chrome.

Safari no le anda a la zaga, mientras Opera 9.62 parece ser el navegador que mejor protege las contraseñas de los probados por Chapin, que ha publicado los resultados y descripción detallada de todos los tests a los que ha sometido tanto a Chrome y Safari como a Opera, Firefox y Explorer, además de un web de demostración para que los propios usuarios puedan comprobar la seguridad de sus navegadores.

Fuente: http://www.kriptopolis.org/google-chrome-considerado-el-peor-protector-de-passwords

La protección PDF con contraseña en Acrobat 9 es más débil

diciembre 6, 2008 § Deja un comentario

Cambios en el algoritmo usado para proteger con contraseña documentos PDF en Acrobat 9 hace mucho más sencilla la recuperación/crackeo de una contraseña corta pese a la implementación de cifrado 256bits AES.

Elcomsoft, firma rusa especializada en software de recuperación de contraseñas, ha afirmado que el cambio realizado por Adobe en el algoritmo de cifrado de documento PDF al pasar de estándar 128bits AES a 256bits AES hace más vulnerable los documentos con contraseñas cortas.

Como ejemplo el analista de seguridad de Elcomsoft, Dmitry Sklyarov, ha afirmado que el cifrado de la versión anterior de Acrobat con 128 bits podía llevar años descifrarlo, sin embargo debido al algoritmo usado en Acrobat 9 es más sencillo crackear una contraseña débil, es decir, una corta con sólo letras mayúsculas o minúsculas. Sería hasta 100 veces más rápido que en Acrobat 8. Pese a usar un cifrado de 256 bits el cambio de algoritmo es lo que mina la seguridad. Según Sklyarov “no hay razón racional por la que hacer lo que han hecho“.

Para mantener los documentos seguros hay que introducir una contraseña con combinación de mayúsculas y minúsculas de no menos de 8 caracteres y también incluir algún caracter especial. Si sólo se usan letras la contraseña debería ser como mínimo entre 10 y 12 caracteres de larga.

Fuente:
http://www.infoworld.com/article/08/12/05/Adobe_admits_new_PDF_password_protection_is_weaker_1.html
http://www.theinquirer.es/2008/12/05/la-proteccion-pdf-con-contrasena-en-acorbat-9-es-mas-debil.html

Contraseñas: Secretos del buen candado

diciembre 3, 2008 § Deja un comentario

Bruce Schneier (*). ESPECIAL PARA CLARIN

A menudo leo que las contraseñas ya no son seguras. La realidad, sin embargo, es más compleja. Las contraseñas son seguras, pero hay que elegirlas bien, y eso es difícil. La mejor manera de explicar cómo elegir una buena contraseña es describir cómo se las viola. El ataque más serio se llama adivinación de contraseña offline. Hay programas comerciales que lo hacen, y se venden sobre todo a los departamentos de policía. También hay herramientas de hacker que adivinan claves.

A medida que las computadoras se volvieron más rápidas, los softs adivinadores mejoraron, y en ocasiones pueden probar centenares de miles de contraseñas por segundo. Y pueden funcionar durante meses en muchas máquinas al mismo tiempo, sin que sus dueños lo sepan. Prueban toda combinación posible de ocho letras, lo que supone 200 mil millones de contraseñas, la mayor parte de las cuales son muy improbables.

Seguir leyendo

Configuraciones por defecto: La misma historia de siempre

noviembre 19, 2008 § Deja un comentario

Luego de regresar del trabajo, me di una vuelta por Internet como para no perder la costumbre y entre página y página, me encontré con una página que posee una vulnerabilidad muy habitual de encontrar: las configuraciones por defecto.

La cuestión es que, de casualidad, me topé con una interfaz de usuario para acceder a un calendario, creado con una aplicación llamada WebCalendar.


Por curiosidad, coloque una “x” en cada campo para ver el resultado. Un error, pero sin más dato. Inmediatamente después y casi por inercia, coloqué “admin” en cada campo y… adivinen qué?

Pero eso no es todo, como es de esperar, al entrar con la cuenta de administración, se tiene acceso a la configuración total de la aplicación y, lo más interesante, es que podemos obtener información de los usuarios que forman parte del calendario y hasta un historial de los eventos creados.

Lamentablemente las configuraciones por defecto responden a una cuestión recurrente que tiene relación directa con la falta de capacitación y concientización en cuanto a las cuestiones de seguridad.

Muchas herramientas de ataque asumen que los objetivos se encuentran con las configuraciones por defecto, como podemos observar en este caso. Además, existen muchos sitios que llevan una base de datos con los usuarios y contraseñas por defecto de dispositivos y aplicaciones.

Fuente:
http://mipistus.blogspot.com/2008/11/configuraciones-por-defecto-la-misma.html
http://www.segu-info.com.ar/foro/?q=defecto

Utilidad gratuita utiliza tarjetas gráficas para reventar "hashes" MD5

octubre 13, 2008 § Deja un comentario

En la misma línea de lo que publicamos aquí hace sólo unos días, la firma rusa Elcomsoft insiste en demostrar el poder de las GPU de las tarjetas gráficas Nvidia para revelar contraseñas, en esta ocasión a partir de sus “hash” MD5.

A tal fin han publicado Lightning Hash Cracker, una utilidad de descarga gratuita que afirma ser la herramienta más potente disponible para recuperar contraseñas a partir de listados de sus “hash” MD5, una de las formas más habituales de protección de las mismas a la hora de su almacenamiento.

La misma empresa asegura también obtener resultados formidables frente a las contraseñas WPA y WPA2 para redes inalámbricas, consideradas hasta ahora sumamente seguras.

Fuente: http://www.kriptopolis.org/nvidia-contra-md5-y-wpa

Nuevo sistema, apoyado en tarjetas gráficas, "tritura" contraseñas a velocidades de vértigo

octubre 5, 2008 § Deja un comentario

Hace menos de un año, Fernando Acero comentaba en Kriptópolis cómo no tardaríamos en asistir al uso de las GPU de las tarjetas gráficas para acelerar ciertos cálculos colaborando con la CPU.

Hoy mismo, Elcomsoft anuncia una nueva versión de su programa para recuperación de contraseñas de forma distribuida con una peculiaridad interesante: la contribución a la CPU de las GPU de múltiples tarjetas gráficas Nvidia (como la GeForce GTX 280) trabajando en paralelo.

El resultado parece impresionante, ya que el sistema es capaz de explorar hasta 1.000 millones de contraseñas por segundo. Sin llegar a tanto, y sólo para hacernos una idea, mientras un Core2Duo es capaz de probar 200 contraseñas por segundo, la adición al sistema de una simple GeForce GTX260 logra elevar la cifra hasta las 5.000 contraseñas por segundo…

Están soportadas todas las GeForce 8 y GeForce 9, pero ni siquiera es preciso que todas las tarjetas sean idénticas.

Entre las principales víctimas de esta bestia con esteroides, las contraseñas de acceso (LM y NTLM) de Windows (NT, 2000, XP, 2003 y Vista), los “hash” MD5 y las contraseñas de documentos de Office 2007.

Fuente: http://www.kriptopolis.org/gpu-rompe-passwords
http://www.ddj.com/hpc-high-performance-computing/210605281
http://www.elcomsoft.com/edpr.html

¿Dónde estoy?

Actualmente estás explorando la categoría claves en Seguridad Informática.