Solo un tercio de las víctimas de violación de datos cambia sus contraseñas, según un nuevo estudio

La preocupación y el estrés constantes no son beneficiosos para el cuerpo, la mente y el alma. Dicho esto, algunas personas pueden estar demasiado relajadas sobre las cosas equivocadas. La seguridad de la contraseña es uno de ellos. Incluso cuando se violan las contraseñas, no todas las personas se apresuran a solucionar el problema. No hace falta decir que si las personas no cambian las contraseñas después de las violaciones de datos, su seguridad virtual puede verse comprometida y puede verse comprometida de muchas formas diferentes por diferentes partes malintencionadas. Para colmo de males, todavía hay muchas personas que reutilizan contraseñas en distintas plataformas, lo que las pone en un riesgo aún mayor. Con suerte, para cuando haya terminado de leer este informe, lo habremos convencido de que cada contraseña debe ser única y que cambiar las contraseñas después de una filtración de datos no es negociable.

No todas las víctimas de violaciones de datos cambian las contraseñas

Investigadores de la Universidad Carnegie Mellon y de la Universidad de Indiana en Bloomington han realizado un estudio en el que participaron 249 personas. Revisaron cuántos de estos participantes tenían cuentas en 9 sitios web diferentes (yahoo.com, mufitnesspal.com, chegg.com, disqus.com, cashcrate.com, flvs.net, ancestry.com, Imgur.com y deloitte.com ), todos los cuales experimentaron violaciones de datos que afectaron a las contraseñas entre 2017 y 2018.Se filtraron 150 millones de contraseñas durante la violación de datos de MyFitnessPal solo en 2018 , y Chegg se ha enfrentado a tres violaciones de datos en los últimos tres años. Si bien los servicios ofrecidos por estas plataformas son confiables y disfrutados por cientos de millones de personas en todo el mundo, incluso los proveedores de servicios acreditados no siempre pueden prevenir las violaciones de datos. Idealmente, las infracciones se descubren de inmediato y se advierte a las víctimas para que se puedan tomar las medidas de seguridad adecuadas. Desafortunadamente, en algunos casos, las infracciones tardan meses o incluso años en descubrirse. Y, a veces, los proveedores de servicios no informan las infracciones a tiempo a pesar de conocer los incidentes.

El estudio reveló que de los 63 participantes que tenían cuentas en los sitios web enumerados, solo 21 realizaron cambios. Eso significa que dos tercios de los participantes no cambiaron las contraseñas en absoluto. La violación de datos de Yahoo de 2017 es, con mucho, la más reportada de las nueve debido al historial de la compañía con importantes violaciones de datos , y se instó a las víctimas a cambiar las contraseñas individualmente. Sin embargo, mientras que 49 participantes tenían cuentas de Yahoo, solo 18 de ellos cambiaron sus contraseñas. Esto es impactante, pero ilustra perfectamente lo descuidadas que son las personas cuando se trata de la seguridad de las contraseñas. Claro, no todas las personas comprenden el concepto de lo que realmente es una contraseña. Después de todo, es solo una cadena arbitraria de caracteres aleatorios. Además, las personas a menudo asumen que no les pasará nada malo o que los ciberdelincuentes definitivamente no estarán interesados en sus cuentas. La negligencia, la pereza y la falta de conocimiento a menudo conducen a malos hábitos de contraseña.

Las personas no reemplazan las contraseñas violadas con combinaciones sólidas

Incluso cuando las personas cambian rápidamente las contraseñas después de las violaciones de datos, no siempre siguen las pautas para crear contraseñas seguras. Investigaciones de la Universidad Carnegie Mellon y la Universidad de Indiana en Bloomington comprobaron las contraseñas que habían cambiado 21 participantes. Solo 9 de ellos lograron crear combinaciones más fuertes, mientras que 12 mantuvieron sus contraseñas al mismo nivel de fuerza o incluso las debilitaron. 30 de sus contraseñas eran muy similares a las que fueron violadas y tuvieron que cambiarse. El estudio también reveló que la reutilización de contraseñas era rampante. En total, se habían observado 3041 cambios de contraseña durante el estudio, y el 70% de estos cambios no hicieron ninguna diferencia en la mejora de la contraseña o incluso debilitaron las contraseñas.

Hay varias razones hipotéticas por las que las personas no son más conscientes cuando se trata de realizar cambios. En primer lugar, es posible que no comprendan cuán deseables son las contraseñas entre los ciberdelincuentes, por lo que pueden elegir contraseñas de la misma fuerza o más débiles simplemente porque no creen que nadie esté interesado. En segundo lugar, es posible que tampoco comprendan lo fácil que es para los ciberdelincuentes violar, adivinar y usar la fuerza bruta contraseñas con la nueva tecnología. Finalmente, la fatiga de las contraseñas es algo real, y la gente a menudo no sabe cómo cambiarlas o qué combinaciones se consideran fuertes. Eso se debe a la falta de conocimientos básicos.

¿Qué es una contraseña segura?

Hemos respondido a esta pregunta con más detalle en informes anteriores, pero estos son los requisitos básicos de una contraseña segura:

  • La contraseña DEBE tener al menos 12-14 caracteres. Cuanto más larga sea la contraseña, más segura será, pero también debe cumplir con otros requisitos. Si un servicio permite usar solo un número limitado de caracteres (por ejemplo, seis), debe usar la longitud máxima.
  • La combinación NO DEBE incluir palabras, nombres, ubicaciones, fechas memorables o caracteres específicos que parezcan ocultar palabras que se pueden adivinar (por ejemplo, Pa $$ w0rd ).
  • La contraseña DEBE contener letras (tanto mayúsculas como minúsculas), números y caracteres especiales si es posible.
  • La contraseña NO DEBE repetirse ni reciclarse. Si bien puede ser fácil crear una contraseña segura para todas las cuentas, recuerde que si una cuenta es violada, todas las demás también serán accesibles con la misma contraseña. El uso de ligeras modificaciones de la misma contraseña (por ejemplo, Contraseña y Contraseña 123 ) tampoco es seguro.
  • NO use contraseñas predeterminadas. Si compra software o hardware nuevo, cambie siempre el valor predeterminado por una combinación sólida.

El problema con las contraseñas seguras es que pueden ser difíciles de recordar, especialmente si tiene diez, veinte o quizás incluso un centenar de contraseñas para todas sus cuentas bancarias, redes sociales, compras, trabajo, pago de facturas, correo electrónico y otras cuentas. . Si tienes un supercerebro que es capaz de recordar combinaciones complejas con facilidad, estás bien. Sin embargo, si eres un simple mortal como la mayoría de nosotros, es posible que necesites ayuda para administrar todas las contraseñas complejas que creas. Aquí es donde un administrador de contraseñas confiable es útil. Cyclonis Password Manager es muy fácil de usar, puede generar contraseñas para usted, puede ayudarlo a cambiar las contraseñas después de violaciones de datos, puede facilitar el inicio de sesión y también puede agregar una protección valiosa. Si este es el último paso hacia la seguridad total de la contraseña, no dude en probar la versión de prueba gratuita de 30 días .

September 1, 2020

Deja una respuesta