Etiqueta: password

Buffer añade verificación en dos pasos

Publicado el 26 noviembre, 2013

Cuando algunos hackers consiguen robar las contraseñas de un sitio web, sus usuarios tienen dos problemas:

– El acceso a ese sitio está en peligro, ya que se puede alterar la contraseña, o usarlo para algún objetivo oscuro.
– Los datos de acceso han sido robados, y puede que sean los mismos que usamos en nuestro email, twitter, facebook, etc.

Por otro lado tenemos aplicaciones que dan acceso a otras muchas. Es por eso que el acceso no permitido a Buffer fue extremadamente crítico, ya que es la puerta de entrada a nuestras redes sociales (desde buffer publicamos en google plus, twitter y facebook con un solo click).

Para evitar que ese problema ocurre de nuevo, han implantado ahora la identificación en dos pasos, tal y como comentan en su sitio web. Ahora podemos asociar nuestro teléfono móvil a nuestra cuenta y recibir un código cada vez que queramos identificarnos, al igual que hacen otras webs (como el propio Google, por ejemplo).

Al activar la verificación en dos pasos podemos usar Google authenticator o un simple SMS. En caso de usar el primer método, solo tenemos que tener abierto Google authenticator en nuestro móvil y esperar el código cuando lo soliciten desde bufferapp.com, siendo generalmente más rápido y seguro que un sms (que depende de la operadora responsable por el envío de los mensajes).

Una buena opción para tener nuestro buffer bien seguro.

F-Secure presenta un nuevo gestor de contraseñas para Windows, Mac y Android

Publicado el 26 noviembre, 2013

por Juan Diego Polo

Tener un buen sistema de gestión de contraseñas es importante por varios motivos, de los cuales destaco:

– Poder tener un password seguro, diferente para cada sitio web en el que nos registramos, password que se genera y se completa de forma automática en cada web.
– No tener que recordarlas, ya que solo es necesario guardar en nuestra memoria la contraseña master.
– Tener la seguridad de que estas contraseñas están en un lugar seguro, lejos de ojos curiosos.

Si uno de los reyes en esta categoría es Lastpass, y ya os hablamos de una lista de 7 gestores de contraseñas online, para PC, Mac y móviles, ahora es la compañía especializada en seguridad online F-Secure la que presenta su solución.

Se trata de F-Secure KEY, disponible para Mac, Windows y Android y con versión iOS en camino, tal y como comentan en TNW.

Además de crear, guardar y sincronizar contraseñas entre dispositivos, permite también guardar detalles de tarjetas de crédito, contraseñas de redes WiFi y detalles relacionados con sistemas de alarmas en casa, por lo que van más allá de un simple gestor de passwords web.

La solución es gratuita, disponible únicamente en inglés, y ya está disponible para que podamos instalarla en nuestro sistema. Por desgracia, no hay previsión de tener versión de F-Secure Key para Linux.

En su web podéis tener acceso a otras herramientas gratuitas de la compañía, como un sistema alerta de malware, otra que gestiona los permisos dados a aplicaciones, otra que identifica familiares en los smartphones, etc.

Un juego basado en el robo de las contraseñas de Adobe

Publicado el 17 noviembre, 2013

por Juan Diego Polo

Millones de contraseñas, con sus nombres de usuario correspondientes, fueron robadas de la base de datos de Adobe hace poco más de un mes, millones de clientes que han visto como sus datos de acceso estaban disponibles de forma pública, ya que la forma de ocultar la contraseña era bastante básica, cualquiera con un poco de conocimientos del tema podía descubrir lo que allí se ocultaba. También robaron información de las tarjetas de crédito y el código de algunos de los programas de Adobe, tal y como informaron en el blog de la compañía.

El problema no está en que se pueda entrar en la cuenta de Adobe de otras personas (Adobe ya se ha encargado de solicitar el cambio de contraseña de sus usuarios en el siguiente acceso, algo para lo que es necesario el email), el problema está en que muchos usuarios usan la misma combinación de usuario y contraseña en otros servicios, por lo que esa pareja de datos (login y password) puede estar siendo usada para acceder a emails, cuentas de paypal, servidores web y un largo etcétera.

Algunos servicios de hospedaje ya han enviado información a sus usuarios sobre el tema, para que cambien sus contraseñas de forma inmediata en caso de que coincida con la de Adobe, ya que en caso contrario podrían ser invadidos fácilmente millones de sitios web en todo el mundo.

El caso es que el asunto es serio, pero eso no impide que ya se haya publicado un juego sobre el tema. En zed0.co.uk/crossword/ hay un crucigrama en el que las contraseñas robadas (las más populares) son las protagonistas, tal y como anuncian en TNW.

juego

El juego muestra decenas de contraseñas extremadamente populares en todo el mundo, desde la famosa «123456» (la más usada con diferencia) a las «zxcvb» de toda la vida, por lo que es importante revisarlas para verificar que no coincide con ninguna de las nuestras.

Golpea con los nudillos en tu móvil para identificarte en tu ordenador

Publicado el 11 noviembre, 2013

por Juan Diego Polo

iphone

Seguramente una de las formas más originales que existen en el mundo para identificarse sin informar la contraseña: usar el iPhone (de momento no hay versión Android) como si fuera una puerta, en la que golpeamos dos veces con los nudillos y el ordenador se abre saltando el paso del password.

Así es, tan sorprendente como suena, tal y como podéis ver en este vídeo:

En su página principal, knocktounlock.com explican los detalles junto a dicho vídeo. En él podemos ver como, después de instalada la aplicación, solo tendremos que golpear dos veces el teléfono, aún estando dentro del bolsillo, para que la pantalla de login del Mac desaparezca, siendo compatible con los últimos modelos tanto de Mac como de iPhone (usa tecnología de Bluetooth de bajo consumo de energía), con versión para Windows en camino.

En caso de robo del móvil tendríamos que identificarnos en el ordenador con la contraseña habitual y eliminar la asociación realizada anteriormente.

Este proyecto, que ya ha sido presentado en varias ocasiones en modo laboratorio, ya está disponible en Mac y casi listo en su versión Windows, existiendo un campo de email en el enlace Download de su página principal para que podamos ser avisados cuando finalmente esté disponible de forma global para dicho sistema operativo.

PassDrop – Comparte archivos de Dropbox protegidos con contraseña

Publicado el 17 junio, 2013

por Juan Diego Polo

dropbox

Compartir archivos guardados en nuestra cuenta de Dropbox es extremadamente sencillo, solo tenemos que obtener el enlace deseado (disponible en el menú del botón derecho del ratón) y divulgarlo vía email o redes sociales.

Si el contenido es privado tenemos la opción de compartir la carpeta donde se encuentra con otro usuario, aunque aún así no hay forma, de momento, de proteger un archivo específico con contraseña.

Ahí es donde aparece passdropit.com, un proyecto que nos permite seleccionar un archivo de nuestro dropbox y especificar una contraseña para que pueda ser abierto. Solo tenemos que copiar la url generada (semejante a la mostrada en la captura superior) y copiar la contraseña, que divulgaremos al destino para que la use al abrir el material.

Por supuesto, es necesario darle acceso de lectura a nuestra cuenta, ya que abre una ventana emergente en la que debemos seleccionar el archivo en cuestión. La url generada y la contraseña que será utilizada pueden editarse para personalizar el resultado.

passdropit se encuentra disponible bajo invitación, aunque en mi caso tardaron menos de 2 horas en enviarla vía email.

Algunos recursos para gestión de contraseñas

Publicado el 1 abril, 2013

por Juan Diego Polo

Guardar y consultar contraseñas en Internet siempre ha sido un tema delicado, aunque al final resulta más seguro que compartir la misma clave en todas las aplicaciones o guardarlas en un papel al lado del monitor.

Tener la misma contraseña para el email, skype, paypal, banco y demás herramientas de nuestro día a día tiene un problema muy serio: si roban la combinación entre usuario, email y contraseña de alguno de los servicios, los ladrones podrán usar los datos en varias páginas web hasta que consigan entrar en una de ellas, independientemente de si las claves de la aplicación inicial han sido o no reiniciadas.

Si tenemos varias llaves en el llavero, una para cada puerta que usamos, tenemos que preocuparnos también en tener una contraseña para cada web, y hay trucos y herramientas que nos ayudan con el tema.

Seguramente la más famosa, gratuita y muy segura, es lastpass.com, una aplicación que detecta, en forma de extensión de navegador, cuando nos estamos registrando en una web, ofreciendo la posibilidad de crear contraseñas seguras que incluirá de forma automática en el futuro. Lastpass tiene mucha experiencia con este tema y es usada por miles de personas en todo el mundo.

Si tenéis miedo de guardar las contraseñas en un mismo lugar, podéis también seguir la vieja táctica de usar el nombre de la web para hacer única la contraseña utilizada. Por ejemplo, podéis usar la primera letra de la web, la última, los 4 últimos números del teléfono y un símbolo específico.

ej: paypal – pl6965$ | gmail – gl6965$ | foursquare – fe6965$ …

Otra posibilidad es usar el recientemente comentado legadodigital, que usa criptografía para aumentar la seguridad de la información almacenada, o mysocialcloud, aún en estado beta pero muy prometedor en su idea original.

Crear contraseñas no es difícil, hay cientos de opciones que ayudan a encontrar una combinación más segura que las usadas habitualmente (desde passcreator al propio wolfram alpha), aunque lo importante es tenerlas siempre a mano, ya sea en la cabeza o en una web especializada en el tema.

Cómo descubrir las contraseñas web ocultas por asteriscos

Publicado el 27 diciembre, 2012

por Juan Diego Polo

Si necesitáis urgentemente descubrir la contraseña guardada en cualquier aplicación web, pero los asteríscos os impiden la tarea, hay un truco que podéis usar para encontrar el texto rápidamente sin necesidad de instalar nada.

Solo tenéis que pulsar con el botón derecho sobre el campo de la contraseña y, usando Chrome, seleccionar la opción de Inspeccionar Elemento, tal y como muestra la figura inferior.

Al hacerlo, veréis el código HTML relacionado con dicho campo, donde se muestra que se trata de un tipo «password«.

Ese texto html puede alterarse para hacer pruebas locales (no afectan a la página web, por supuesto), con lo que si cambiamos «password» por «text«, podremos leer lo que había oculto tras los asteriscos.

Con Firefox también es posible realizar esta tarea, ya que también contiene la opción de visualizar el código html. En ese caso hay que pulsar en Markup Panel después de seleccionar Inspeccionar Elemento, para poder realizar la edición de «password» a «text«.

PasswordLive, generador online de contraseñas únicas a partir de una palabra clave

Publicado el 23 noviembre, 2012

por Miriam Schuager

Si el crear contraseñas seguras y recordarlas te resulta un problema, puedes tener en cuenta a PasswordLive. Es una aplicación online que promete una contraseña segura a partir de una palabra clave, y con el bonus de no tener que recordarla.

El funcionamiento es simple, tienes que escribir una palabra clave secreta, señalar para que servicio deseas utilizarla y especificar algunos detalles, como por ejemplo la cantidad de caracteres, qué tipo de combinaciones deseas, entre otros. Ello dará como resultado una clave única basado en la palabra que señalamos y el servicio a utilizar.

Podemos utilizar la misma palabra clave para generar contraseñas a todos los servicios web que utilizamos, ya que irá generando una combinación diferente. De esa manera, si hemos olvidado la contraseña, podemos recurrir a PasswordLive y con solo recordar la palabra secreta podremos tener acceso a todas las contraseñas creadas para los diferentes servicios

Según especifica el equipo de PasswordLive la aplicación se basa en el algoritmo de SHA-256, por lo que prometen generar contraseñas fuertes y seguras, aunque dependerá también de que cada usuario utilice una palabra clave difícil de adivinar.

Enlace: PasswordLive

ShouldIChangeMyPassword, cómo saber si nuestra cuenta de Yahoo! ha sido comprometida

Publicado el 12 julio, 2012

por Miriam Schuager

En un artículo anterior te comentamos el hackeo que ha sufrido Yahoo! Voice, que ha comprometido más de 400 mil cuentas.

Si deseas saber si eres uno de los afectados, una de las opciones que puedes tener en cuenta es ShouldIChangeMyPassword. Es un servicio web que nos permite saber con solo ingresar la dirección de correo electrónico, si nuestra cuenta ha sido hackeada.

Para brindarnos esa información, cuenta con una extensa base de datos que van actualizando,de su escaneo por la web. Ya sabes que los hackers suelen publicar cada vez que hacen sus “hazañas” y dejan saber las cuentas que han sido vulneradas.

ShouldIChangeMyPassword incorpora esos listados y actualmente cuentan con más 10 millones de direcciones de correo electrónico que se ha corroborado que han sido comprometidas a lo largo de los últimos años. Al ingresar nuestra dirección de correo electrónico en su buscador, específicamente nos informará si aparece nuestro correo electrónico en esos listados o no.

Desde su cuenta de Twitter han dejado saber que han incorporado ya a su base de datos, las direcciones de correo vulnerados recientemente en Yahoo!

Enlace: ShouldIChangeMyPassword Vía: VentureBeat

Actualización: Para el problema específico de Yahoo! podéis también verificar vuestro email en labs.sucuri.net/?yahooleak

Las contraseñas más comunes en el robo de datos de LinkedIn #infografía

Publicado el 9 junio, 2012

por Juan Diego Polo

No es la primera vez que vemos una lista de contraseñas robadas agrupadas, mostrando cómo la mayoría de la gente no tiene ningún cuidado a la hora de crear un password seguro en sus cuentas.

En este caso la información llega desde rapid7.com, responsables por la inforgafía que aquí podéis ver, donde muestran las contraseñas más comunes dentro de la lista que publicaron en el foro ruso durante esta semana.

Como podéis ver, las secuencias numéricas y palabras de 3 y 4 letras son extremadamente comunes, así como referencias a la religión y palabras malsonantes.

Aquí ya os hemos comentado un recurso, creado por Lastpass, para descubrir si vuestra contraseña está entre las robadas, aunque a estas alturas todas ellas han sido desactivadas por LinkedIn. Solo esperemos que la gente que ha cambiado sus contraseñas no haya alterado «1234» por «12345«.

Vía mashable