Los desafíos de almacenar contraseñas de forma correcta y segura

store passwords correctly safely

El proceso de recuperar el acceso a una cuenta en línea podría ser bastante complicado. A veces, debe ponerse en contacto con un agente de soporte que le hará todo tipo de preguntas antes de finalmente darle un enlace con el que puede crear y asignar una nueva contraseña para su cuenta.

Sin embargo, con algunos servicios (no demasiados), recuperar una contraseña es agradable y fácil. Hace clic en el botón Olvidé mi contraseña, y una computadora o una persona le envía un correo electrónico con la contraseña que ha olvidado. Puede que te sientas feliz con lo conveniente que es un sistema que funciona así. Y conveniente es de hecho. Sin embargo, es posible que no se dé cuenta de que dicho sistema maneja su contraseña de una manera extremadamente insegura.

En primer lugar, el correo electrónico no es la forma más segura de comunicación. Hay excepciones, pero la mayoría de los principales proveedores de correo electrónico no encriptan la información en los mensajes, lo que significa que puede ser robada en tránsito. Ese no es el único problema.

El hecho de que la contraseña se le envíe en texto sin formato significa que probablemente también esté almacenada en texto sin formato. Y esto significa que si los piratas informáticos lo consiguen, no habrá nada que les impida hacerse cargo de su cuenta. Su contraseña también puede almacenarse en forma cifrada, pero tampoco es una buena práctica. Si está encriptado, puede desencriptarse con claves que podrían quedar expuestas . Y nunca se sabe cuándo un empleado descontento decidirá que usted es la razón de su infelicidad.

Por lo tanto, los proveedores de servicios no deberían almacenar sus contraseñas en texto plano, y no deberían encriptarlas. ¿Cuál es, entonces, la forma correcta de mantenerlos a salvo?

¿Cómo almacenan sus contraseñas los proveedores de servicios responsables?

La operación matemática que los propietarios de sitios web deben usar se llama hashing. Una función hash convierte su contraseña en una cadena de caracteres ilegible (llamada valor hash o, simplemente, un hash) que no tiene ningún parecido visual con la contraseña real. Por ejemplo, si usa el algoritmo de hash SHA1 (es un algoritmo antiguo que no es terriblemente seguro, pero lo estamos usando con fines ilustrativos), el valor de hash de "contraseña" es "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8". El hash luego se almacena en una base de datos y se compara con un hash de la contraseña que ingresa cuando inicia sesión.

El cifrado también convierte su contraseña en una cadena de caracteres ilegible, pero, siempre que las claves de descifrado estén presentes, la contraseña cifrada se puede convertir fácilmente en texto sin formato. Se supone que el hash es una acción unidireccional, lo que significa que si el algoritmo de hashing es lo suficientemente bueno, incluso las herramientas automatizadas que se ejecutan en un hardware potente necesitarán mucho tiempo para descifrar el hash y recuperar la contraseña. Como resultado, ni los empleados infelices ni los piratas informáticos podrán ver su contraseña .

El problema es que la misma contraseña produce el mismo hash bajo el mismo algoritmo, y debido a que muchas personas usan "123456" para proteger sus cuentas , se puede adivinar una contraseña en función del hash. Es por eso que los proveedores de servicios también deben saltear su contraseña. Salar efectivamente significa que están agregando una cadena de caracteres (por ejemplo, "QxLUF1bgIAdeQX") al final de su contraseña antes de cifrarla.. Cada usuario debe tener su propia sal, lo que significa que incluso si su contraseña es la misma que, por ejemplo, la de su vecino, los hash serán completamente diferentes. Esto no significa que el uso de contraseñas comunes o simples esté bien, pero el hash y la salazón adecuados dificultan el trabajo de los piratas informáticos.

Por supuesto, hay mucho más que eso, pero con suerte lo que acaba de leer le ha dado una comprensión básica de los pasos que los propietarios de sitios web y los proveedores de servicios deben tomar cuando configuran sus sistemas de autenticación. Lamentablemente, el hecho de que las cuentas en línea se vean comprometidas día tras día significa que no todas se han apegado a estos principios básicos de seguridad. Y desafortunadamente, no hay nada que puedas hacer al respecto.

Una vez que le da su contraseña a un sitio web, deposita su confianza en las personas que lo respaldan para mantener sus datos seguros. No tienes control sobre lo que sucede después. Sin embargo, lo que puede controlar es cómo almacena sus propias contraseñas.

¿Cómo debes guardar tus contraseñas?

Obviamente, guardarlos en un documento de Microsoft Office no es una opción. Es demasiado arriesgado, y lo mismo ocurre al escribir sus contraseñas en trozos de papel amarillos y pegarlas en su monitor. Hashing también está fuera de discusión. Incluso si tiene las herramientas y el conocimiento para hacerlo, debe poder usar sus contraseñas.

El cifrado, entonces, es su mejor apuesta. Los datos no están disponibles en forma simple y, sin embargo, siempre que los necesite, puede usarlos.

Cyclonis Password Manager le brinda una forma conveniente de hacerlo. Primero, cifra sus datos con AES-256, un algoritmo de cifrado utilizado por organizaciones financieras y militares de todo el mundo. El descifrado solo es posible con su contraseña maestra, y dado que solo usted debería poder ver sus datos, Cyclonis Password Manager no almacenará ni transmitirá su contraseña maestra de ninguna manera.

Es un escenario para comer tu pastel y comértelo. Sus contraseñas se mantienen lejos de miradas indiscretas y, sin embargo, cuando las necesita, puede usarlas. Además de todo, Cyclonis Password Manager es completamente gratuito.

October 4, 2019

Deja una respuesta