Por @Alvy — 25 de Abril de 2017

Password Box (CC) Microsiervos @ Flickr

El NIST ha publicado un borrador relativo a la seguridad en el terreno de la identidad digital, incluyendo toda una serie de definiciones y recomendaciones para crear contraseñas más seguras y gestionarlas a lo largo del tiempo. Se puede leer aquí en inglés: Digital Identity Guidelines.

Lo más interesante es que rompe con algunas normas y consejos que quizá pudieron tener sentido en el pasado pero hace tiempo han dejado de tenerlo. Esto es debido a la evolución de las tecnologías que actualmente se utilizan para atacar a los sistemas de identificación/autenticación, a la seguridad criptográfica de las contraseñas y a otros detalles. Por ejemplo:

  • Cambios periódicos de contraseña: innecesarios. Antiguamente se recomendaba «cambiar la contraseña de vez en cuando» pero se ha demostrado que esto da problemas a todos los niveles, tanto del propio usuario como para los responsables de informática, y que no compensa la supuesta mejora en seguridad que proporciona – incluso la empeora.
  • Las contraseñas «creativas» no son más seguras. Las famosas combinaciones de mayúsculas, minúsculas y signos especiales para crear contraseñas más «complejas» dan una falsa sensación de seguridad – pero de hecho ya no se consideran necesarias. Son mejores otros sistemas, como la autenticación de dos factores o la utilización de software para crear contraseñas fuertes desde el principio.
  • Limitaciones a la hora de usar contraseñas triviales o comprometidas. Esta es una recomendación para quienes gestionen un servicio de cuentas de cualquier tipo: evitar en el momento de su creación contraseñas del tipo 1234, 1111, admin, qwerty, el nombre del usuario, del servicio, etcétera. Incluyendo cualquier contraseña que se haya visto comprometida en el pasado.

Todo esto da una pista de que en cuestiones de seguridad informática el problema siguen siendo las personas, tanto por lo trivial e inseguro de sus decisiones como por los nuevos métodos que se utilizan para atacar las contraseñas que se usan cada día.

(Vía VentureBeat.)

Relacionado:

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 20 de Abril de 2017

Eta tarjeta de crédito de MasterCard llamada Biometric Card dispone de un sensor de huella dactilar para identificar a su titular, de forma parecida a los sensores que incorporan cada vez más teléfonos móviles para desbloquearlos e identificarse en algunos aplicaciones.

Según Engadget la tarjeta ya se está probando en Sudáfrica y MasterCard espera extender su uso al resto del mundo a finales de este mismo año. Si la entidad bancaria la ofrece será necesario desplazarse a la sucursal para que tomen dos huellas de dos dedos diferentes como máximo por tarjeta. Eso sí, las dos huellas tienen que ser del titular de la tarjeta.

La tarjeta Biometric Card es compatible con los terminales actuales que aceptan tarjetas con chip pero no con aquellos que únicamente pueden leer la banda magnética.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 12 de Abril de 2017

I m priscilla 216790

En Popular Science, A neural network helped researchers crack smartphone PINs using built-in motion sensors,

Maryam Mehrnezhad, investigadora de la Escuela de Ciencias de la Computación en la Universidad de Newcastle y autora principal de un nuevo estudio publicado en la International Journal of Information Security, asegura que el sensor de movimiento del móvil puede crear patrones distintivos a partir de la actividad cotidiana como coger el teléfono, caminar o correr. Y que eso tiene implicaciones relacionadas con la intimidad de los usuarios: “no querrías, por ejemplo, que una compañía de seguros supiese si eres una persona de acción o un perezoso.”
Al analizar los datos captados por los sensores de movimiento de los móviles cuando un grupo de muestra tecleaba su clave de acceso al móviles los investigadores fueron capaces de inferir cuál era el PIN o clave de cuatro dígitos con una “alta exactitud”. Para conseguirlo usaron los datos captados por el sensor de movimiento de móvil mientras los voluntarios tecleaban su PIN con el fin de entrenar a una red neuronal.

A partir de ahí la red neuronal “aprendió” qué huella deja en el sensor de movimiento del móvil la pulsación de cada número hecha por distintas personas. Y a partir de ahí el algoritmo fue capaz de descubrir las claves de usuarios que no habían participado en la captura inicial datos. El porcentaje de aciertos logrados con un único intento fue del 70 por ciento.

El método se puede explotar a través de una pagina web maliciosa abierta en el navegador web y desde la que puede captar esa información del sensor de movimientos cuando se desbloquea el teléfono. Mehrnezhad detectó el problema el año pasado y lo reportó a Apple y a Firefox que corrigieron el error, mientras que Google “está al tanto y trabajando” para resolver el problema en el navegador web Chrome.

Más, How criminals can steal your PIN by tracking the motion of your phone.

Fotografía: Unsplash / I'm Priscilla

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 22 de Marzo de 2017

{Voz de abuelo cebolleta} Hubo un tiempo no demasiado remoto (bueno, en realidad en términos informáticos) en los que los ordenadores de tipo PC pensados para los «negocios» incluían en su parte frontal o trasera una llave física para que solo pudiera utilizarlos su legítimo propietario. Esto fue relativamente común entre mediados de los 80 y mediados de los 90 y es algo que desapareció con el tiempo – pero que puede incluso usarse para datar esos dinosaurios. En Lazy Games Reviews han dedicado un miniepisodio a explicar su origen.

El asunto como puede imaginarse tiene que ver con la seguridad –o más bien sensación de seguridad– de unos ordenadores que por aquel entonces no estaban nunca protegidos con contraseñas. Windows apenas existía y conceptos como las «cuentas de usuario» eran todavía poco comunes en los PC, por no decir inexistentes. Cualquiera que pudiera encender el ordenador podría usarlo, de ahí que la mejor opción fuera usar una llave física para protegerlos.

¿Qué hacían exactamente estas llaves? Tal y como se puede ver en el vídeo la mayor parte bloqueaban algún componente: o bien el interruptor de encendido o bien el disco duro, o el teclado. Algunas se usaban para que no se pudiera abrir el ordenador físicamente; algunas variantes incluso actuaban mecánicamente para bloquear el famoso «gran botón rojo» de encendido.

La seguridad, pese a la llave, no era gran cosa: las llaves podían copiarse fácilmente (algunos modelos incluso en las ferreterías) o abrir las cerraduras por otros métodos sin gran problema. Muchas llaves eran demasiado comunes y funcionaban en varios ordenadores. Cuando no, también se podía abrir la tapa del PC (quitando cuatro tornillos) y hacer los puentes necesarios. Por eso la llave no daba seguridad sino que aumentaba la sensación de seguridad. Y los problemas si perdías la llave eran un dolor.

Con el tiempo las BIOS empezaron a incluir una opción para proteger el PC con un PIN; también había software específico. Luego se popularizaron los sistemas operativos que incluían cuentas y contraseñas para distintos usuarios.

Hoy en día los ordenadores y otros dispositivos están protegidos porque todos funcionan con cuentas de acceso; cuentas que son difíciles –cuando no imposible– de vulnerar y cuyos contenidos (en los discos duros o memorias) se pueden cifrar fácilmente, o «autodestruir» a distancia llegado el caso – hasta el punto de que ni un gobierno con grandes medios pueda recuperarlos. De hecho para muchas personas es peor perder tu contraseña de Google que perder el portátil que lleva en la mochila.

La única reminiscencia que todavía queda de aquello es el sempiterno agujero para cables que permite proteger un portátil atándolo a la mesa con una cuerda metálica (Kensington-lock o K-lock, típico en tiendas, salas públicas, aulas, etcétera; aunque a veces un simple cable con candado es suficiente).

Compartir en Flipboard  Compartir en Facebook  Tuitear