Los que usamos sistemas de gestión de contraseñas como lastpass, 1Password, Dashlane o passwordbox nos hemos acostumbrado a olvidarnos de tener que generar contraseñas únicas y complejas para nuestro sitio web, y mucho menos de tener que recordarlas. Son plataformas extremadamente seguras que ayudan a crear contraseñas, a evitar que usemos la misma en dos sitios diferentes, a completar formularios de forma automática, a tener acceso a las mismas en los dispositivos móviles.. .todo bajo una contraseña maestra que, esa sí, no puede olvidarse.
Ahora Intel ha comprado una de ellas, passwordbox, empresa canadiense, fundada en 2012, que formará parte del departamento de seguridad de Intel, según comentan en reuters, aunque no has especificado lo que ocurrirá con los usuarios actuales ni las integraciones con las plataformas intel hoy existentes.
El precio de la compra tampoco ha sido informado, aunque dudo que sea una cantidad extremadamente alta, ya que passwordbox no es la más popular en su categoría, precisamente.
Una nueva configuración del troyano Citadel que el año pasado afectó a cientos de máquinas y que en el más reciente septiembre se presentaba de nuevo con una variante enfocada exclusivamente a atacar a ciertas compañías petroquímicas norteamericanas, ha sido encontrado una vez más pero ahora trabajando contra la protección de gestores de contraseñas open source, en particular, KeePass y Password Safe. También se ha visto afectado el servicio de autenticación y protección para transacciones financieras, neXus Personal Security Client.
Así lo informan en ArsTechnica y ZDNet quienes dan aviso de la detección por parte de investigadores de IBM Trusteer que enseñan el modus operandi de esta versión del malware Citadel: Al abrir los gestores de contraseñas ya mencionados se activa un keylogger, esto es, otro software malicioso que registra las pulsaciones en el teclado permitiendo al atacante conocer por completo qué escribe el usuario al pararse en el campo de ingreso de su contraseña maestra; Ya con la contraseña, todas las cuentas de servicios conectadas al gestor resultan vulnerables.
Un equipo de IBM y protegido con Trusteer ha sido víctima de la variante, sin embargo, no se ha podido esclarecer su fuente y la forma en la que ha podido infiltrarse. Eso sí, aclaran que probablemente se trata de un ataque de prueba para revisar las facilidades que brindaría este tipo de servicios, junto al de NeXus, así que por ahora no tendría mayores implicaciones a nivel global. Sin embargo, los investigadores sugieren el mantener siempre alertas con protecciones de este tipo pero también con software antimalware que minimice el riesgo, pequeño pero existente, de poner la información personal a la orden de terceros.
En fin, es curioso el nuevo objetivo tomado por Citadel: Gestores de contraseñas open source. Habrá que estar atentos a nuevas noticias y seguir en alerta.
Muchos usuarios aún no son lo suficientemente conscientes de los riesgos que supone utilizar una misma contraseña para distintos sitios web, de manera que si este dato cae en manos de atacantes, estos podrán causar perjuicios en los perfiles de dichos usuarios. Y una manera que disponen los atacantes para acceder a este dato es a través de las listas filtradas y publicadas en plataformas online de publicación de textos, como Pastebin, entre otros, lo que aumenta aún más los riesgos.
Facebook, consciente de esta situación, ha anunciado que va a hacer un seguimiento de las listas de nombres o direcciones de correo y contraseñas publicadas en dichas plataformas para comprobar si las distintas combinaciones dirección de correo/contraseña permiten el acceso a las cuentas de los usuarios de su plataforma. Se trata de un proceso automatizado que, en caso de que las combinaciones sí permitan los accesos, instarán a los usuarios afectados a seguir unos pasos para restablecer sus contraseñas. Los detalles técnicos del funcionamiento de este sistema lo detallan en el mismo anuncio.
Facebook señala que este sistema les ha funcionado muy bien en el pasado, reconociendo además que la prevención en el robo de las credenciales también es importante. Apunta a que la reutilización de las mismas contraseñas en varios sitios web es endémica y está muy bien documentado, dejando claro los riesgos que esto supone, de modo que un atacante tan sólo tiene que obtener una contraseña para poder acceder a las cuentas de un mismo usuario afectado.
Facebook apostilla indicando dos consejos adicionales para que los usuarios puedan protegerse en línea: el uso de inicios de sesión aprobados o soluciones de dos factores de autenticación y el uso del inicio de sesión de Facebook en distintos sitios web, evitando así la necesidad de crear o recordar nombres de usuarios y contraseñas.
Hace años era extraordinario tener una cuenta registrada en un servicio de correo electrónico. Hoy en día nos rodean centenares de servicios en los que estamos registrados, en los que estamos suscritos … y de los que no recordamos la contraseña.
Sí, una solución a esto podría ser utilizar la misma contraseña para todos los servicios, pero obviamente esto es cien por cien desaconsejable. Por ello nacen aplicaciones y herramientas como Passible, una app de gestión de contraseñas para iOS que nos guarda todos los datos de nuestros logins de forma segura y nos permite realizar el registro con solo un click.
El servicio incluye gestión y administración de datos para logins y tarjetas de crédito, y hasta un analizador de contraseñas que nos indica si la seguridad de nuestros passwords es la correcta, dándonos consejos sobre cómo mejorarla.
Después de haber realizado los registros con la app, Passible nos rellenará automáticamente los campos de nombre y contraseña en los sitios web que visitemos, de forma privada, encriptada con AES-256 y con sistema antirrobo incorporado – algo muy importante teniendo en cuenta que tratamos con un tema de seguridad online.
Podéis descargaros la aplicación para iOS en este enlace a iTunes.
Soluciones como 1Password o LastPass ayudan, mucho, a mantener nuestras cuentas seguras. Por un lado ofrecen la posibilidad de generar contraseñas diferentes para cada sitio web, claves mucho más complejas que las que podríamos obtener con nuestra imaginación, y por otro lado permiten que no tengamos que recordarlas, ya que únicamente es necesario conocer la «Clave master» para tener acceso a las mismas.
Con las extensiones permitiremos que estas soluciones incluyan los nombres de usuario y contraseñas de forma automática, por lo que el tema de «olvidé mi password» comienza a ser parte del pasado.
Por supuesto hay que tener dos cuidados fundamentales: recordar la clave maestra, y no permitir que nadie la descubra.
Ahora 1Password lanza una nueva versión para android, versión que necesitaba con urgencia, tanto desde el punto de vista estético como en lo que a funcionalidades se refiere.
Ahora podemos hacer algo más que leer nuestras contraseñas, podemos activarlo en los sitios web que visitamos desde el móvil o tableta para que se incluyan de forma automática los datos de acceso, algo que LastPass hace desde hace bastante tiempo.
No es la única opción de gestión de contraseñas para android, pero sí es una bastante popular que, por fin, tiene lo que los usuarios buscaban: un a interfaz completamente rediseñada para un android que no tiene nada que ver con el de hace unos años.
Seguimos en el mundo del «cambia tu contraseña constantemente», y ahora le toca el turno a eBay.
Lo comunican en ebayinc.com, donde informan que han conseguido invadir las cuentas de algunos empleados de eBay, dando acceso a los hackers a la red interna, desde donde robaron una base de datos con nombres de usuarios, teléfonos, direcciones y contraseñas encriptadas.
Aseguran que ni los datos financieros (tarjetas de crédito), ni los datos de paypal han sido invadidos, pero recomiendan cambiar las contraseñas para evitar posibles futuros problemas.
La base de datos fue invadida entre finales de febrero y principios de marzo, aunque el problema solo se detectó por primera vez hace unas dos semanas. Ahora están trabajando para que no se repita la invasión en el futuro, detectando los agujeros que dieron acceso a las cuentas de los empleados afectados.
Un día después de la celebración del día mundial de las contraseñas, Twitter anuncia a través de su blog el lanzamiento de un par de mejoras relacionadas con la protección y acceso seguro de las cuentas de usuario, estando por un lado el rediseño del proceso del restablecimiento de las contraseñas, y por el otro, la protección de las cuentas ante intentos de acceso sospechosos.
Respecto al rediseño del proceso del restablecimiento de las contraseñas, Twitter persigue el objetivo de que aquellos usuarios que han perdido o se les han olvidados sus propias contraseñas, lo tengan más fácil para volver a sus cuentas. Dicho proceso les permitirá elegir la dirección de correo electrónico o número de teléfono asociado a sus cuentas para que se les envíen la información del restablecimiento. En este sentido, señalan además que será más fácil el restablecimiento de las contraseñas a través sus aplicaciones móviles para Android e iOS.
Y respecto los intentos de acceso sospechosos, Twitter indica que cuenta con un nuevo sistema que analiza los intentos de inicio de sesión en las cuentas de usuario, teniendo en cuenta informaciones como las ubicaciones, los dispositivos y los historiales de acceso. De este modo, si el sistema identifica un intento de inicio de sesión como sospechoso, realizará una pregunta sencilla acerca de la propia cuenta a la que se intenta acceder, y que sólo tendrá que saber el propietario de dicha cuenta, verificando así que es el usuario legítimo para posteriormente concederle el acceso. Twitter además enviará un mensaje de correo electrónico informando de una actividad inusual, dando opción a cambiar la contraseña en caso de que el usuario afectado lo considere necesario.
En su anuncio además apuntan a una publicación propia con consejos sobre seguridad para las contraseñas desarrollada a través de cuatro puntos, que los usuarios podrán seguir para fortalecer la seguridad de sus cuentas, tanto en Twitter como en otras aplicaciones y servicios.
LastPass, uno de los administradores de contraseñas multiplataforma más seguros, utilizados y conocidos hasta la fecha, estrena su versión 3.2, con la que nos trae entrada de contraseña automática para aplicaciones y sitios visitados vía Google Chrome en android. La actualización viene en forma de respuesta a las peticiones de miles de usuarios que pedían la implementación de esta función desde que PasswordBox, la competencia, permitía desde el mes pasado insertar login y contraseña automáticos en apps nativas.
LastPass utiliza la API Accessibility Services en Android para realizar este proceso de introducción automática de datos, y así la aplicación pueda realizar un mapeado entre nuestros datos y los campos de texto en los que tienen que introducirse. La nueva característica tiene sus pros y contras y quizá necesite pulirse, ya que por ejemplo en algunos dispositivos Samsung bloquea el poder pegar información en los campos de introducción de contraseña. Otros usuarios han comentado también que en Google Chrome la página web se congela, apareciendo código en Java en la barra de navegación. Pese a todo, es casi seguro que estos bugs se resuelvan en los próximos parches.
Podéis descargar la aplicación de forma gratuita en Google Play, y dispondréis de una prueba gratuita de 14 días – en caso de que queráis adquirir la versión premium, tendréis que abonar 12 dólares al año (1 dólar por mes).
Una buena manera de olvidarse de los nombres de usuarios y contraseñas es usar la verificación vía lectura de códigos que ofrece Clef (getclef.com), creado para sistemas Wordpress.
Se trata de una aplicación que, instalándose en modo plugin dentro de nuestro sitio web, y como aplicación en android o iPhone, solicita realizar la captura del código que aparecerá en pantalla para poder identificarse con éxito, lo que significa que nadie podrá entrar en la web si no tiene la aplicación con el PIN adecuado instalado en el terminal.
En su web explican el proceso y ponen un ejemplo para realizar la identificación, incluyendo los enlaces a iOS y android para poder instalar la herramienta. Desde la sección de administración de Wordpress es posible desactivarlo en caso de robo o pérdida del móvil, ayudando así a aumentar aún más la seguridad.
Clef es una de las soluciones recomendadas en pepemontoro.es para dejar de ser esclavos de contraseñas, aunque de momento solo funciona para Wordpress, por lo que su alcance es aún bastante limitado.
Cada vez es más frecuente que accedamos a sitios web a través de nuestros dispositivos móviles, sobre todo, si éstos disponen de generosas pantallas que nos permita acceder cómodamente a los contenidos. Además, también accederemos a nuestras cuentas de usuario en múltiples servicios, por lo que deberemos introducir nuestros nombres de usuario y contraseña para iniciar sesión. Lo malo será cuando sean varios los sitios donde queremos entrar con nuestras cuentas y queramos acordarnos de todos los datos de accesos que necesitamos, que habitualmente podemos recurrir a las habituales aplicaciones de gestión de contraseñas y de autocompletado, aunque LoginBox es una aplicación que nos ofrece una solución diferente.
Y es que no en todos los sitios web donde debemos iniciar sesión funcionan de la misma manera ni ofrecen las mismas características, de manera que aquellos sitios que ofrecen un sistema de inicio de sesión diferente a lo estándar, las actuales soluciones pueden no funcionar, aunque en el caso de LoginBox (loginbox-app.com) sí, ya que lo que hace previamente es grabar nuestras acciones a través de su mini-browser a la hora de iniciar sesión en los diferentes sitios, acciones que luego la aplicación las usará para iniciar sesión en posteriores ocasiones por nosotros.
De esta manera, LoginBox se adapta a cada sistema de inicio de sesión de cada sitio, simplemente replicando nuestras acciones en ocasiones sucesivas, aunque hay que tener en cuenta que las contraseñas son almacenadas en el propio dispositivo, y que además usan cifrado AES acelerado por hardware, tal y como indica TechCrunch, donde además, los datos no serán enviados a los servidores de la compañía. También dispone de un PIN de autoprotección por si los dispositivos cae en manos indeseadas, y además, dispone de soporte para iCloud de Apple.
Conocido en su fase de pruebas como TapIN, LoginBox se ofrece de manera gratuita para hasta tres sitios web, teniendo que realizarse pagos para un número mayor de sitios web. Además, existe una versión Pro por 6,99 dólares para ilimitados inicios de sesión y sincronización.
Actualmente cuenta con aplicación móvil para dispositivos iOS (iPhone e iPad)
