[opensuse-es] [OT] Como los expertos de seguridad protegen sus cuentas
Saludos. aquí el enlace con los comentarios de alguns expertos en seguridad acerca de como protegen sus accesos. http://arstechnica.com/security/2013/07/how-elite-security-ninjas-choose-and... ¿Qué les parece? ¿cuál es mejor? Centrar todo en el ordenador y distribuirlo o usar medios más físicos (libro de notas) y ser algo paranóico. Esta nota es algo antigua, pero merece la pena que lo lea de nuevo, hay algunos sistemas que son multiplataforma. -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Jue 18 Jul 2013 12:04:58 Carlos Ayala escribió:
Saludos.
aquí el enlace con los comentarios de alguns expertos en seguridad acerca de como protegen sus accesos. http://arstechnica.com/security/2013/07/how-elite-security-ninjas-choose-and -safeguard-their-passwords/
¿Qué les parece? ¿cuál es mejor? Centrar todo en el ordenador y distribuirlo o usar medios más físicos (libro de notas) y ser algo paranóico.
Esta nota es algo antigua, pero merece la pena que lo lea de nuevo, hay algunos sistemas que son multiplataforma.
-- Carlos A.
Obvían el mejor consejo de todos: no conectarse a internet. Sé que en el mundo de hoy en día esa no es una alternativa realista, pero debería ser el enfoque de toda estrategia. Personalmente, a diferencia de los expertos citados, no entregaría mis contraseñas a un programa de gestión, es un error. Se entregan todas las contraseñas a un programa que no se sabe por qué existe (un recaudador de cuentas/contraseñas creadas por un supuesto tipo buena onda... financiado por... que en realidad es... etc). Mantener las contraseñas cifradas en un gestor del navegador es muy cómodo, pero qué certeza hay de que sea capturada la contraseña maestra cuando se ingresa en el navegador? (malware inyectado en el tráfico del navegador, u otras alternativas como aplicaciones de android o de la operadora que funcionen en segundo plano en el móvil, etc). La sincronización hace que nuestras contraseñas estén en más de alguna parte del mundo disponibles las 24 horas para ser atacadas. Y si ya sabemos que se ofrecen puertas traseras... Google al menos ya no es confiable. Mozilla dice que lucha por la libertad, pero como Sync suponemos que no colabora, los recursos se destinarán a escuchar las conexiones de Sync (entre navegador y servidor), ya sabemos que es posible (y no importaría que cambiáramos las contraseñas maestras cada hora, con un envío completo de los datos ya se tiene suficiente material para atacar y desencriptar pues lo que importa está dentro y normalmente no cambia muy rápido, por algo lo sincronizamos). Así que lo básico es no confiar en nada que esté en internet. Pero internet no está hecho para eso. Así que, sólo ingresar con nuestras claves desde nuestros equipos (abstenerse de lugares/conexiones públicas, ni siquiera del amigo si conocemos del descuido de sus hábitos), contraseñas largas y sin sentido (anotadas en un papel) que se cambien regularmente, ya son mis consejos. Muy útil es el comando openssl rand -base64 xxx (xxx es el largo de la contraseña) para generar contraseñas "seguras" (suponiendo que nuestro computadora/conexión no esté pinchada o que openssl no sea defectuoso o haya alguna otra "vulnerabilidad" en nuestro sistema; paranoicos abstenerse de leer sobre los parches de seguridad del kernel). Como anécdota, hace poco llegó a la oficina un disco externo toshiba, comenzamos a usarlo para copias de seguridad. Traía unos programas para instalar que entre otras funciones servía para automatizar las copias (esto fue en computadores con windows). A la semana decidimos desinstalar el programa y usar las copias de seguridad que trae el windows (el rendimiento de la aplicación era bastante regularcito). Desinstalamos y ¡plop! Avast antivirus (recién!) lo detectó como troyano. Y pensar que el programa ofrecía un giga gratis en la nube por un año. Pues ahí tenéis, ni pagando se consigue seguridad (ni que decir tranquilidad). (Por cierto, escribir sobre estos temas, incluso simplemente respondiendo un correo como este, nos hace subir unos peldaños en el nivel de "atención" para los robots automatizados sobre los que funcionan ciertas actividades de seguimiento en internet). -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Jue 18 Jul 2013 12:04:58 Carlos Ayala escribió:
Saludos.
aquí el enlace con los comentarios de alguns expertos en seguridad acerca de como protegen sus accesos. http://arstechnica.com/security/2013/07/how-elite-security-ninjas-choose-and -safeguard-their-passwords/
¿Qué les parece? ¿cuál es mejor? Centrar todo en el ordenador y distribuirlo o usar medios más físicos (libro de notas) y ser algo paranóico.
Esta nota es algo antigua, pero merece la pena que lo lea de nuevo, hay algunos sistemas que son multiplataforma.
-- Carlos A.
Obvían el mejor consejo de todos: no conectarse a internet. Sé que en el mundo de hoy en día esa no es una alternativa realista, pero debería ser el enfoque de toda estrategia. Personalmente, a diferencia de los expertos citados, no entregaría mis contraseñas a un programa de gestión, es un error. Se entregan todas las contraseñas a un programa que no se sabe por qué existe (un recaudador de cuentas/contraseñas creadas por un supuesto tipo buena onda... financiado por... que en realidad es... etc). Mantener las contraseñas cifradas en un gestor del navegador es muy cómodo, pero qué certeza hay de que sea capturada la contraseña maestra cuando se ingresa en el navegador? (malware inyectado en el tráfico del navegador, u otras alternativas como aplicaciones de android o de la operadora que funcionen en segundo plano en el móvil, etc). La sincronización hace que nuestras contraseñas estén en más de alguna parte del mundo disponibles las 24 horas para ser atacadas. Y si ya sabemos que se ofrecen puertas traseras... Google al menos ya no es confiable. Mozilla dice que lucha por la libertad, pero como Sync suponemos que no colabora, los recursos se destinarán a escuchar las conexiones de Sync (entre navegador y servidor), ya sabemos que es posible (y no importaría que cambiáramos las contraseñas maestras cada hora, con un envío completo de los datos ya se tiene suficiente material para atacar y desencriptar pues lo que importa está dentro y normalmente no cambia muy rápido, por algo lo sincronizamos). Así que lo básico es no confiar en nada que esté en internet. Pero internet no está hecho para eso. Así que, sólo ingresar con nuestras claves desde nuestros equipos (abstenerse de lugares/conexiones públicas, ni siquiera del amigo si conocemos del descuido de sus hábitos), contraseñas largas y sin sentido (anotadas en un papel) que se cambien regularmente, ya son mis consejos. Muy útil es el comando openssl rand -base64 xxx (xxx es el largo de la contraseña) para generar contraseñas "seguras" (suponiendo que nuestro computadora/conexión no esté pinchada o que openssl no sea defectuoso o haya alguna otra "vulnerabilidad" en nuestro sistema; paranoicos abstenerse de leer sobre los parches de seguridad del kernel). Como anécdota, hace poco llegó a la oficina un disco externo toshiba, comenzamos a usarlo para copias de seguridad. Traía unos programas para instalar que entre otras funciones servía para automatizar las copias (esto fue en computadores con windows). A la semana decidimos desinstalar el programa y usar las copias de seguridad que trae el windows (el rendimiento de la aplicación era bastante regularcito). Desinstalamos y ¡plop! Avast antivirus (recién!) lo detectó como troyano. Y pensar que el programa ofrecía un giga gratis en la nube por un año. Pues ahí tenéis, ni pagando se consigue seguridad (ni que decir tranquilidad). (Por cierto, escribir sobre estos temas, incluso simplemente respondiendo un correo como este, nos hace subir unos peldaños en el nivel de "atención" para los robots automatizados sobre los que funcionan ciertas actividades de seguimiento en internet). -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (2)
-
Carlos Ayala -
recados.akka@gmail.com