En una de las listas de correo que monitorizo por RSS sobre seguridad web se montó un buen debate recientemente a raíz de la tira XKCD que ironizaba sobre lo fácil que es conquistar el mundo a partir de la incapacidad de los usuarios de recordar passwords nuevas o passwords distintas.
La idea es que muchos usuarios, especialmente los menos avezados técnicamente, en muchos servicios, especialmente en aquellos en los que se solicita un correo electrónico como usuario, introducen contraseñas que son:
a) Predecibles: Como el famoso fuck.facebook, fuck.twitter, fuck.gmail del no menos famoso Dan Kaminsky.
b) Reutilizadas: Que ya se ha usado en otro servicio o en otra cuenta. Es un single sign-on creado por el propio usuario.
c) La del correo: Algunos usuarios, especialmente en los servicios que usan la dirección de correo como usuario, al solicitar la página de creación de cuenta el correo electronico y la contraseña, asumen que la contraseña que deben poner es la de su correo y la ponen.
La tira xkcd explicaba como ser el amo del mundo a base de estos fallos. La idea es tan tonta como crear algún servicio molón en el que se pida usuario y contraseña. Símplemente, probando estas contraseñas en los servicios más populares podrías conseguir acceder a un montón de identidades. Un robo, sencillo pero eficaz.
A evitar este problema no ayudan, para nada, todas esas herramientas 2.0 que conectan tu twitter con tu facebook con tu linkedin con tu granja de animales con tu club de fans en el periodico de tu barrido, donde "realmente" se pide tu contraseña.
La alternativa que se ofrece a esto es el uso de sistemas Single-sign on con sistemas centralizados de autenticación. Y a mí esto me acojona también un poco ya que, basta con perder la contraseña de tu cuenta de Google y cae todo lo asociado a ella pero no lo de Windows Live. Pero si usamos una password que autentique en Google, Windows Live, correo corporativo, etc... Alguien te la roba... y adiós identidad en Internet. Además,... ¿estamos seguros de que los sistemas de autenticación descentralizados en Internet ofrecen suficientes garantías a la privacidad de mis cuentas o cuando alguien se enfade en las altas esferas perderé mi "avatar"?
Al final, a día de hoy, en la gestión de la identidad, y con la proliferación de servicios en Internet que tenemos, estamos jodidos....
Saludos Malignos!
La idea es que muchos usuarios, especialmente los menos avezados técnicamente, en muchos servicios, especialmente en aquellos en los que se solicita un correo electrónico como usuario, introducen contraseñas que son:
a) Predecibles: Como el famoso fuck.facebook, fuck.twitter, fuck.gmail del no menos famoso Dan Kaminsky.
b) Reutilizadas: Que ya se ha usado en otro servicio o en otra cuenta. Es un single sign-on creado por el propio usuario.
c) La del correo: Algunos usuarios, especialmente en los servicios que usan la dirección de correo como usuario, al solicitar la página de creación de cuenta el correo electronico y la contraseña, asumen que la contraseña que deben poner es la de su correo y la ponen.
La tira xkcd explicaba como ser el amo del mundo a base de estos fallos. La idea es tan tonta como crear algún servicio molón en el que se pida usuario y contraseña. Símplemente, probando estas contraseñas en los servicios más populares podrías conseguir acceder a un montón de identidades. Un robo, sencillo pero eficaz.
A evitar este problema no ayudan, para nada, todas esas herramientas 2.0 que conectan tu twitter con tu facebook con tu linkedin con tu granja de animales con tu club de fans en el periodico de tu barrido, donde "realmente" se pide tu contraseña.
La alternativa que se ofrece a esto es el uso de sistemas Single-sign on con sistemas centralizados de autenticación. Y a mí esto me acojona también un poco ya que, basta con perder la contraseña de tu cuenta de Google y cae todo lo asociado a ella pero no lo de Windows Live. Pero si usamos una password que autentique en Google, Windows Live, correo corporativo, etc... Alguien te la roba... y adiós identidad en Internet. Además,... ¿estamos seguros de que los sistemas de autenticación descentralizados en Internet ofrecen suficientes garantías a la privacidad de mis cuentas o cuando alguien se enfade en las altas esferas perderé mi "avatar"?
Al final, a día de hoy, en la gestión de la identidad, y con la proliferación de servicios en Internet que tenemos, estamos jodidos....
Saludos Malignos!
Publicado en Un informático en el lado del Mal.
Suscríbete al canal RSS a través de Feedburner.
Más información de seguridad en otros blogs:
Seguridad Apple - Seguros con Forefront - Windows Técnico
Suscríbete al canal RSS a través de Feedburner.
Más información de seguridad en otros blogs:
Seguridad Apple - Seguros con Forefront - Windows Técnico
No hay comentarios:
Publicar un comentario