Asegurando su vida digital, el final: desacreditando prácticas de «seguridad» sin valor

La seguridad y la privacidad de la información sufren el mismo fenómeno que vemos en la lucha contra el COVID-19: el síndrome de «he hecho mi propia investigación». Muchas prácticas de seguridad y privacidad son cosas aprendidas de segunda o tercera mano, basadas en tomos antiguos o cosas que hemos visto en la televisión, o son el resultado de aprender lecciones equivocadas de una experiencia personal.

Llamo a estas cosas «medicina popular cibernética». Y en los últimos años, me he encontrado tratando de deshacer estos hábitos en amigos, familiares y miembros aleatorios del público. Algunas costumbres cibernéticas son inofensivas o incluso pueden proporcionar una pequeña cantidad de protección incidental. Otros le dan una falsa sensación de protección mientras debilitan activamente su privacidad y seguridad. Sin embargo, algunas de estas creencias se han generalizado tanto que en realidad se han convertido en políticas de la empresa.

Le hice esta pregunta a algunos amigos en InfoSec Twitter: «¿Cuál es el consejo de seguridad más tonto que has escuchado??» Muchas de las respuestas ya estaban en mi lista sustancial de contramedidas mitológicas, pero había otras que había olvidado o ni siquiera considerado. Y aparentemente, algunas personas (o empresas… ¡o incluso proveedores!) han decidido estas malas ideas. son canon.

Si me estoy repitiendo de artículos anteriores, es solo porque sigo escuchando estos malos consejos. Lamentablemente, este artículo no erradicará estas prácticas: están tan arraigadas en la cultura que seguirán transmitiéndose y practicándose religiosamente hasta que las debilidades tecnológicas que les permiten existir se hayan desvanecido en la antigüedad. Pero juntos podemos al menos tratar de poner fin a la locura de aquellos en nuestros círculos de influencia.

Mito: Cambiarás tu contraseña cada 30 días

Las contraseñas han sido parte de la seguridad informática desde 1960, cuando Fernando Corbató agregó contraseñas para archivos personales al Sistema de Tiempo Compartido Compatible (CTSS) del MIT. Y casi de inmediato, se convirtieron, como reconoció el propio Corbató, en «una pesadilla». Desde entonces, se han difundido todo tipo de malos consejos (y malas políticas corporativas) sobre cómo usar, administrar y cambiar contraseñas.

En el pasado, los límites tecnológicos han sido lo principal que dicta la política de contraseñas: límites en la cantidad y el tipo de caracteres, por ejemplo. La baja seguridad de las contraseñas cortas condujo a políticas que requerían que las contraseñas se cambiaran con frecuencia. Pero los sistemas operativos modernos y los sistemas de seguridad han hecho obsoleto todo el baile de contraseña corta versus cambio de contraseña frecuente, ¿verdad?

Aparentemente no. Estas formas populares no solo se han seguido utilizando para iniciar sesión en computadoras personales en el trabajo, sino que se han integrado en los servicios de consumo en la web: algunos sitios bancarios y de comercio electrónico tienen tamaños máximos estrictos para las contraseñas. Y, probablemente debido al diseño deficiente del software y al miedo a los scripts entre sitios o a los ataques de inyección SQL, algunos servicios también limitan los tipos de caracteres que se pueden usar en las contraseñas. Supongo que es solo en caso de que alguien quiera usar la contraseña «contraseña’); DROP TABLE users;–» o algo así.

Independientemente de si estamos hablando de una contraseña o un PIN, las políticas que limitan la longitud o los caracteres debilitan la complejidad y la seguridad. Las contraseñas largas con caracteres como espacios y signos de puntuación son más memorables que los números arbitrarios o las morfologías de las palabras. La definición de Microsoft de un PIN es, esencialmente, una contraseña específica de hardware que controla el acceso al dispositivo y las credenciales de inicio de sesión basadas en la magia negra del Módulo de plataforma confiable; un PIN de cuatro dígitos para acceder al dispositivo no es más seguro que uno basado en letras y números si alguien ha robado su computadora y la está golpeando en su tiempo libre.

Elija una contraseña lo suficientemente larga y compleja para una computadora personal o de trabajo, y solo tendrá que cambiarla si otra persona la ha compartido o la ha robado. Cambiar las contraseñas cada 30 días solo hace que las contraseñas sean más difíciles de recordar y puede hacer que las personas desarrollen soluciones incorrectas para crear contraseñas que resulten en contraseñas más débiles, por ejemplo, al incrementar los números al final de ellas:

• Pa55w0rd1
• Pa55w0rd2
• Pa55w0rd3
• …puedes ver a dónde lleva esta locura

Así que elija una contraseña compleja pero memorable para el inicio de sesión de su computadora o su teléfono, como sugiere XKCD (aunque no use la del cómic, ¡tal vez genere una con Diceware!). No lo reutilices en ningún otro lugar. Y no lo cambies a menos que tengas que hacerlo.

Mito: ¡No lo escribas!

Muchos de nosotros hemos visto el peor de los casos en la gestión de contraseñas: contraseñas en notas Post-it pegadas a monitores en cubículos, a la espera de ser abusadas. Este hábito ha llevado a muchos aspirantes a mentores de seguridad a gritar: «¡No escriba sus contraseñas!»

Excepto que probablemente debería anótelos, pero no en un Post-it en su cubículo. Muchos servicios de autenticación de dos factores en realidad promueven la impresión y el almacenamiento de códigos de recuperación en caso de que pierda el acceso a su aplicación o dispositivo de segundo factor, por ejemplo. Y no puede guardar las contraseñas de los dispositivos en un administrador de contraseñas, ¿verdad?

Algunas personas insisten en escribir las contraseñas en un cuaderno (¡Hola, mamá!). Nunca le digas a esta gente que está equivocada, pero hacer animarlos a hacer esto solamente para contraseñas que no se pueden almacenar en un administrador de contraseñas o que pueden ser necesarias para recuperar copias de seguridad y servicios si un dispositivo se daña o se pierde, por ejemplo, si tiene una ID de Apple. Desea que estas contraseñas de alto valor sean complejas y memorables, pero se usan con poca frecuencia, por lo que es posible que se olviden más fácilmente. Adelante, escríbelos. Y luego coloque las contraseñas escritas (¡y sus códigos de recuperación 2FA!) en un lugar seguro y no público al que pueda acceder cuando las cosas salgan mal.

Ahí es Sin embargo, algo que no debe hacer con las contraseñas es mantenerlas en un archivo de texto u otro formato no cifrado. En un reciente incidente de intrusión que estaba revisando, una de las primeras cosas que lograron hacer los delincuentes fue encontrar un archivo llamado Password List.xlsx. Puedes imaginar cómo fueron las cosas a partir de ahí. Y aparentemente esto sucede regularmente en algunas empresas:

Ahora, si estos archivos fueran documentos de Office protegidos con contraseña, al menos habría alguna esperanza, ya que Office usa el cifrado AES y realiza una seria mezcla de contraseñas SHA-1 para generar las claves en versiones más recientes. En los casos en que no puede guardar contraseñas en un administrador de contraseñas pero necesita realizar un seguimiento de ellas, este es un nivel aceptable de seguridad en la mayoría de los casos.

Mito: 2FA me da 2 miedo 4

Soy un gran defensor de la autenticación de dos factores («2FA») como una forma de proteger las credenciales de inicio de sesión; me ha salvado varias veces de tener cuentas pirateadas después de que las infracciones del proveedor revelaran mis contraseñas. (También hubo una vez en la que perdí el acceso a una cuenta de correo electrónico porque un proveedor de nombre de dominio decidió no renovar automáticamente mi dominio personal y, en cambio, se lo vendió a un operador de blog fraudulento. Te dejo que adivines cuál registrador me ensució de esa manera). Pero con frecuencia veo personas que deciden no usar 2FA porque vieron en algún lugar que 2FA a través de mensajes de texto es menos seguro, pero no vieron la otra parte sobre el uso de una aplicación de autenticación u otro método en su lugar si posible. Y luego llegaron a la conclusión errónea de que la 2FA anterior es más segura que la 2FA con SMS.

Déjame ser claro: ningún 2FA es mejor que no 2FA. Y con los tipos habituales de intentos de fuerza bruta que realizan los atacantes contra los servicios comunes en la nube, ningún 2FA hará que aproximadamente el 90 por ciento de estos intentos sean totalmente fallidos (y el otro 10 por ciento de las veces solo resultará en una denegación de servicio potencialmente recuperable). definitivamente quieres alguno forma de 2FA en una cuenta de Amazon o cualquier cosa que tenga algún vínculo con su información de compra, sin importar qué tipo de 2FA sea.

Pero solo tener 2FA no es una garantía de que alguien no tendrá éxito en obtener lo que quiere. Algunos ataques de phishing ahora logran eludir la autenticación de dos factores mediante el uso de ataques de «paso a través» 2FA:

Si recibe un correo electrónico con un enlace que lo lleva a un sitio web que solicita sus credenciales y luego recibe una alerta 2FA para su inicio de sesión, eso no significa necesariamente que el enlace sea legítimo y que debe proporcionar el código o tocar el » botón aprobar». Esto podría ser un intento de que simplemente ayudes al atacante. Fíjate bien en ese enlace. Entonces llame a su equipo de seguridad, tal vez. (El equipo de seguridad de mi empleador actual intenta phishing de 2FA dos o tres veces al mes en estos días).

Así que usa 2FA. Pero tenga en cuenta sus solicitudes de inicio de sesión y no apruebe las extrañas.