Por @Alvy — 25 de Septiembre de 2024

Password (CC0) Alvy / Microsiervos

En una nota de Lukasz Olejnik se menciona un reciente cambio que ha publicado el NIST (Instituto Nacional de Estándares y Tecnología, del Departamento de Comercio de Estados Unidos) en forma de documento técnico, titulado Recomendaciones sobre Identidad Digital, publicación especial SP 800-63.

Incluye muchas de las consideraciones de seguridad habituales para la gente corriente, aplicaciones y sitios web, y viene a decir que a partir de ahora lo de mezclar estilos (mayúsculas, minúsculas, símbolos…) y lo de cambiar la contraseña periódicamente ya no es algo que se considere «seguro», entre otras cuestiones.

El documento es muy detallado, técnico y fuera del ámbito de interés de los usuarios normales, a quienes quizá sólo interese saber un poco por encima cuáles son estas nuevas consideraciones.

En general parece que el NIST ha usado el sentido común y recogido tanto las peticiones de los expertos como el saber de las multitudes y los usos corrientes. Respecto a las contraseñas y sistemas de autenticación de usuarios, en concreto, las aplicaciones y sitios web…

Deberían:

  • Deberían requerir contraseñas de al menos 8 caracteres (15 a ser posible).
  • Deberían admitir contraseñas de hasta 64 caracteres.
  • Deberían admitirse espacios, caracteres ASCII y Unicode.

Y cambio NO deberían:

  • No deberían imponer otras reglas de composición («combinación de estilos», como mayúculas/minúsculas/números).
  • No deberían imponer cambiar contraseñas periódicamente, a menos que estén comprometidas o haya habido algún problema de seguridad concreto.
  • No deberían mostrar «pistas» si no se está autenticado.
  • No deberían sugerir contraseñas o pistas para cambiar la contraseña del tipo «el nombre de tu perro».

Así que si eres un simple usuario no tienes mucho más que hacer. Pero si desarrollas un app, gestionas un sitio web o estás planeando diseñar o gestionar uno, ya estás tardando en modernizarte y considerar estas reglas como las más adecuadas y convenientes.

Compartir en Flipboard Publicar / Tuitear
PUBLICIDAD


Por @Alvy — 26 de Junio de 2024

Web-Check permite entender de un vistazo cómo está la seguridad de cualquier sitio web

Web-Check es una especie de llave inglesa de la seguridad web, de esas para guardar y mirar de vez en cuando. Su finalidad es resumir en un pantallazo todo sobre la seguridad de un sitio web en particular. Es una especie de «lo que los hackers verían desde fuera» con buena presentación y bastantes datos.

Todo lo que hay que hacer es teclear la URL principal del sitio web y a los pocos segundos aparece el resumen, en colores oscuros y verde fosforito muy Matrix (¡la ambientación cuenta!) Entre otras cosas proporciona información sobre la ubicación del servidor, los registros DNS (whois) y DNSSEC, del dominio, los certificados SSL y el cifrado TLS y si hay algunos potenciales problemas con los protocolos y estándares más modernos (como por ejemplo el security.txt).

También incluye algo de información sobre enlaces sociales, el icono del sitio web / página, los puertos que tiene abiertos, si está bloqueado o no en los CDN (servidores de distribución de contenidos, como CloudFlare) y algunas cosillas más, como la presencia en listas de Phising o Malware. Es bastante completo y se puede añadir a la checklist de revisión de sitios web, porque estos detallitos son los que hacen de una web algo artesanalmente completo.

Además de todo lo anterior en el pie de página hay enlaces a decenas de otros sitios interesantes para profundizar en ciertas pruebas, desde Virus Total a Built With, que están bastante actualizados y siempre vienen bien. Esta herramienta está además disponible en Github; es obra de la gente de Terminal Trove.

Relacionado:

Compartir en Flipboard Publicar / Tuitear
PUBLICIDAD


Por @Alvy — 3 de Mayo de 2024

Los 20 trabajos académicos más importantes sobre criptografía recopilados en una página web

En esta página de Evervault se recopilan lo que consideran Los 20 trabajos académicos más importantes sobre criptografía, apuntando a los PDF originales para que cualquiera pueda leerlos a gusto. Me recordó a la lista aquella sobre los 100 trabajos acerca de ingeniería de software.

Nombres como los de Blaze, Diffie, Schneier, Shimomura, Chaum, Merkle, Shor están junto a otros como Diffie, Hellman, Shannon, Rivest, Shamir y Adleman. Y también hay un anónimo: Satoshi Nakamoto.

Entre estas publicaciones (lo que en inglés se conoce generalmente como papers) están algunos de los fundamentos de la criptografía moderna: A Mathematical Theory of Cryptography de Shannon, New Directions in Cryptography de Diffie y Hellman y A Method for Obtaining Digital Signatures and Public Key Cryptosystems de Rivest, Shamir y Adleman. Añádase Bitcoin: A Peer-to-Peer Electronic Cash System de Satoshi Nakamoto como aplicación práctica relevante, a gusto del consumidor.

Relacionado:

Compartir en Flipboard Publicar / Tuitear
PUBLICIDAD


Por @Alvy — 1 de Mayo de 2024

El nuevo estándar europeo de seguridad para la Internet de las Cosas (IoT) prohibe las «contraseñas sencillas»

En el Reino Unido ya han implementado por ley una normativa que prohíbe expresamente las «contraseñas sencillas» con que se venden la mayoría de los dispositivos de la IoT (Internet de las Cosas). Así que adiós al 0000, 1234, admin / password y similares. Esta iniciativa está dentro del marco de la llamada Cyber: ciberseguridad para la Internet de las Cosas en productos de consumo (ETSI EN 303 645).

Según esta normal los dispositivos deben venir por defecto con contraseñas aleatorias o permitir que los elija el usuario. No pueden ir numeradas (password1, password2…) ni derivarse de los números como el Wi-Fi, las direcciones MAC o similares. La norma también incluye un número máximo de «intentos fallidos» antes de que el dispositivo obligue a cambiar la contraseñas, básicamente para evitar ataques por fuerza bruta.

Si todo esto se implementa, muchos ataques tradicionales por ensayo y error, pura lógica o fuerza bruta se podrían evitar. La novedad que ha introducido el Reino Unido es que si no se implementa… ¡multa! Quizá el mejor remedio para la enfermedad de la seguridad débil que puede poner en jaque no solo a uno mismo sino a muchos dispositivos más de la red.

(Vía TechSpot.)

Relacionado:

Compartir en Flipboard Publicar / Tuitear
PUBLICIDAD