Llegamos a ustedes gracias a:



Columnas de opinión

Ha evitado el error Heartbleed Bug, ¿y ahora qué?

Por: Christopher Pogue, director de Trustwave

[25/04/2014] Cuando la noticia del fallo Heartbleed Bug se dio a conocer la semana pasada, las empresas se quedaron luchando para solucionar el problema lo antes posible. Sin embargo, una vez que se parcha la vulnerabilidad, hay un "segundo paso" fundamental que algunos usuarios deben iniciar ahora -cambiar sus contraseñas.
El error Heartbleed ha estado infectando versiones de OpenSSL liberadas desde el 14 de marzo del 2012; es decir, los delincuentes han tenido más de dos años para explotarla y robar sus contraseñas. Por eso ahora, después de aplicar los parches, los usuarios deben cambiar sus contraseñas. Pero, en vez de volver a caer en los viejos hábitos de usar contraseñas simples como "Password1234", ¿por qué no empezar de cero y aplicar una contraseña compleja fuerte?
En el Informe de Seguridad Global de Trustwave 2013 (2013 Trustwave Global Security Report), se encontró que Password1" fue la contraseña más utilizada por las empresas globales en el 2012. De los tres millones de contraseñas analizadas, 50% fueron utilizadas con requisitos mínimos de complejidad. Así, las contraseñas débiles continúan siendo un problema. Cuando nuestros investigadores forenses son llamados para investigar la causa de una fuga de datos, la mayoría de las veces el primer punto de entrada está ligado a una contraseña débil.
Es tiempo para un cambio, y el error Heartbleed nos brinda la oportunidad adecuada para hacerlo ahora. Aquí están algunos tips útiles para ayudar a crear contraseñas complejas:
* Diez caracteres como mínimo: Su password deberá tener al menos 10 caracteres de longitud.
* Combinación de letras, números y símbolos: Esta debería contener caracteres de al menos tres de las siguientes cinco categorías: Caracteres en minúscula (a-z), Caracteres en mayúscula (A-Z), Números (0-9), Caracteres no alfanuméricos especiales (!, @,$, # o %), Caracteres Unicode (©,±, ÷)
* Mantenga su nombre de usuario fuera de esto: Las contraseñas no deben contener tres o más caracteres del nombre de usuario de su cuenta.
* Las frases de paso son fáciles de recordar: Si alguien tiene problemas para recordar sus contraseñas, es posible que desee considerar el uso de una frase de paso como es "myD0g1sl0vable". Frases de paso largas ejercen una fuerza bruta sólida contra los embates de un atacante.
* Cuenta Diferente = contraseñas diferentes: No utilice la misma contraseña para varias cuentas. De esta forma si un delincuente compromete una cuenta, no puede utilizar la misma contraseña para comprometer todas sus otras cuentas.
Una vez que se piensa que las contraseñas son suficientemente complejas como para hacer improbable su rompimiento, es cuando son capaces de ser violadas en horas o días. Esto requiere, entonces, que los usuarios y administradores deban repensar cómo crean contraseñas y cómo educar a los usuarios acerca de la seguridad mediante la contraseña.
CIO, Perú