Ahora más que nunca: mantén una buena política de contraseñas

Publicado por el May 8, 2020 en Noticias

En esta época de pandemia y confinamiento en la que nos hemos visto abocados a salir de la oficina y a trabajar desde casa, estamos gestionando más contraseñas que nunca. Necesitamos la contraseña del correo, del programa de gestión de la empresa, del disco duro virtual, del sistema de comunicación…

Hace unos días se anunció una brecha de seguridad en GoDaddy, uno de los mayores proveedores de internet, hace unas semanas en htcmanía. Continuamente salen intrusiones en servicios en los que podemos tener cuenta y eso supone que la contraseña que tuvieramos en ese servicio ha sido vulnerada. Si utilizamos la misma contraseña en otro servicio (cosa que solemos hacer muy a menudo), eso implica que podrían acceder al mismo.

Ayer 7 de mayo fue el día mundial de las contraseñas y creemos que es un buen momento para sugerir una serie de precauciones que tienes que tomar a la hora de generar y gestionar tus contraseñas. Vamos a ello:

Utiliza contraseñas únicas (y no habituales)

Existen diccionarios con miles de contraseñas habituales que son lo primero que prueba un cracker (diferente a un hacker) cuando quiere atacar una cuenta.. Palabras como: contraseña, 123456, qwerty, 09876 siguen siendo, sorprendentemente, las más usadas hoy en día y, por tanto, las primeras probadas.

Lo ideal es que cada servicio que utilices tenga una contraseña única y distinta. Si alguien averiguara una de las contraseñas, no podría entrar en ningún otro servicio. Sólo uno quedaría expuesto.

Y me dirás, pues ¿como me apaño para recordar tantas contraseñas? Paciencia, que ya te digo

Utiliza un gestor de contraseñas

Existen muchos y muy buenos gestores de contraseñas en el mercado. El funcionamiento de los mismos es sencillo. Defines una «caja fuerte» donde guardar todas las contraseñas y la proteges con una contraseña única, fuerte, compleja. A partir de ahí, cada vez que generas una contraseña para un servicio, el sistema la guarda en la caja fuerte y la recuerda por ti. Puede ser todo lo compleja que quieras. Te da igual porque no la tendrás que recordar ni escribir. Tu gestor de contraseñas lo hará por ti.

Te podemos recomendar LastPass, 1Password o KeePass (este último es open source). Todos ellos los puedes utilizar gratuitamente y tienen tarifas para funcionalidades más avanzadas. Tienen extensiones para el navegador para que cada web en la que tengas usuario tenga su propia contraseña. No hay excusas.

Y, ¿cómo debe ser una buena contraseña?

Photo by John Salvino on Unsplash

Todos estos gestores de contraseñas tienen la opción de generar ellos mismos una contraseña segura, con lo que lo tienes fácil, pero te decimos las normas.

  • Debe incluir números, letras mayúsculas, letras minúsculas y caracteres extraños
  • Debe ser larga. De al menos 12 caracteres o mejor más.
  • Puede (y a lo mejor debe) incluir espacios. En ese sentido las frases largas son ideales. ¿Has probado versos, frases de películas o refranes? «Luke, yo soy tu padre» o «A Dios rogando y con el mazo dando» son contraseñas muy fuertes
  • Debes cambiarla cada cierto tiempo. El modo paranoico sugiere cada 3 meses pero, bueno, cada año está bien. De hecho, muchos gestores tienen la opción de cambio automático de contraseñas.

¿Y como deben ser los usuarios?

Si utilizas WordPress o algún otro gestor similar para tu negocio, es muy habitual que el usuario administrador sea Admin. Eso es un error.

Para un cracker que quiera entrar en tu servicio online, es necesario conocer el usuario y la contraseña. Cada uno es un 50% de la seguridad. Si usas el típico admin, ya les has dado el primer 50% pero si utilizas tu nombre y apellido, por ejemplo, o tu mote, ya supone una traba básica.

Nosotros, en Introarte, cuando desarrollamos un WordPress para nuestros clientes, no solo no utilizamos el usuario admin, sino que establecemos un protocolo de seguridad en el que si alguien intenta entrar con ese usuario, su ip queda baneada (bloqueada), con lo que no puede volver a intentarlo. Probadlo 🙂

Comprueba tus contraseñas

Te animo a que compruebes la fortaleza de tus contraseñas habituales para que veas lo en peligro que puedes estar.

How secure is my password comprueba la contraseña y te dice cuanto tardaría un ordenador en romperla. Muy útil para ver lo sensibles que son contraseñas inseguras.

Estate al tanto de los posibles problemas de seguridad

Existe una web llamada Have i been Pwned en la que introduces tu dirección de correo electrónico (la que utilizas para loquearte en un servicio web) y te dice si esta aparece en alguna de las filtraciones de seguridad recientes.

Si es así, se trataría de comprobar si la contraseña que tenías en dicho servicio no la utilizas en ninguna más (si has seguido las instrucciones de este artículo eso no pasará 🙂 ) y si la usabas, ya sabes que tienes que cambiarla.

También tiene un servicio en el que les das el correo y te avisan si dicho correo surge en una nueva lista. Muy útil.

Habilita la verificación de dos pasos si el sistema te lo permite

La verificación de dos pasos implica que, además de la contraseña, cuando entras a un servicio con un equipo nuevo, te pide una confirmación de un código, normalmente facilitado por el teléfono móvil. Estos sistemas añaden una capa de seguridad interesante pues sólo el que sepa la contraseña y además tenga el móvil, podrá entrar en el servicio.

Si el servicio que utilizáis lo tiene, no dudéis en activarlo.

Conclusión

Una buena política de contraseñas te ahorrará disgustos en el futuro pues una intrusión en tu correo electrónico, en tu web o en tu disco duro virtual puede suponer la desaparición de tu negocio. Ponte a ello.

Llama ahora