¿Desanimado por las consecuencias de Heartbleed? No estás solo. El pequeño error en la biblioteca SSL más popular del mundo provocó enormes agujeros en la seguridad que envolvía nuestra comunicaciones con todo tipo de sitios web, aplicaciones y servicios basados en la nube, y los agujeros ni siquiera son todos parcheado todavía.
El error Heartbleed permitió a los atacantes quitar el revestimiento resistente a espionaje de OpenSSL y echar un vistazo a las comunicaciones entre el cliente y el servidor. Esto les dio a los piratas informáticos un vistazo a cosas como contraseñas y cookies de sesión, que son pequeños fragmentos de datos que el El servidor le envía después de iniciar sesión y su navegador le envía de vuelta cada vez que hace algo para demostrar que es tú. Y si el error afectó a un sitio financiero, es posible que se haya visto otra información confidencial que usted estaba pasando a través de la red, como tarjeta de crédito o información fiscal.
Vídeos recomendados
¿Cómo puede Internet protegerse mejor contra errores catastróficos como este? Tenemos algunas ideas.
Sí, necesitas contraseñas más seguras: aquí te explicamos cómo crearlas
Bien, mejores contraseñas no evitarían el próximo Heartbleed, pero pueden salvarte de ser pirateado algún día. Muchas personas son simplemente terribles creando contraseñas seguras.
Ya lo has oído todo antes: no utilices “contraseña1”, “contraseña2”, etc. La mayoría de las contraseñas no tienen suficiente cantidad de lo que se llama entropía; definitivamente son no al azar y ellos voluntad Se puede adivinar si un atacante alguna vez tiene la oportunidad de hacer muchas conjeturas, ya sea atacando el servicio o (más probablemente) robar los hashes de contraseñas: derivaciones matemáticas de las contraseñas que se pueden verificar pero no revertir al original contraseña.
Hagas lo que hagas, no uses la misma contraseña en más de un lugar.
El software o los servicios de administración de contraseñas que utilizan cifrado de extremo a extremo también pueden ayudar. KeePass es un buen ejemplo de lo primero; Ultimo pase del último. Proteja bien su correo electrónico, ya que puede usarse para restablecer la mayoría de sus contraseñas. Y hagas lo que hagas, no utilices la misma contraseña en más de un lugar; sólo estás buscando problemas.
Los sitios web deben implementar contraseñas de un solo uso
OTP significa "contraseña de un solo uso" y es posible que ya la use si tiene un sitio web/servicio configurado que requiere su uso. Autenticador de Google. La mayoría de estos autenticadores (incluido el de Google) utilizan un estándar de Internet llamado TOTP, o Contraseña de un solo uso basada en el tiempo. que se describe aquí.
¿Qué es el TOTP? En pocas palabras, el sitio web en el que se encuentra genera un número secreto, que se pasa una vez a su programa de autenticación, generalmente a través de un Código QR. En la variación basada en el tiempo, se genera un nuevo número de seis dígitos a partir de ese número secreto cada 30 segundos. El sitio web y el cliente (su computadora) no necesitan comunicarse nuevamente; Los números simplemente se muestran en su autenticador y usted los proporciona al sitio web según lo solicitado junto con su contraseña, y ya está. También hay una variación que funciona enviándote los mismos códigos a través de un mensaje de texto.
Ventajas del TOTP: Incluso si Heartbleed o un error similar resultara en la divulgación tanto de su contraseña como del número de su autenticador, el sitio web al que está accediendo. Es casi seguro que la persona con la que interactúa ya ha marcado ese número como usado y no se puede volver a usar; de todos modos, dejará de ser válido dentro de 30 segundos. Si un sitio web aún no ofrece este servicio, probablemente pueda hacerlo con relativa facilidad y, si tiene prácticamente cualquier teléfono inteligente, puede ejecutar un autenticador. Es un poco incómodo consultar su teléfono para iniciar sesión, por supuesto, pero el beneficio de seguridad para cualquier servicio que le interese hace que valga la pena.
Riesgos del TOTP: Irrumpir en un servidor diferente de esta manera podría resultar en la revelación del número secreto, permitiendo al atacante crear su propio autenticador. Pero si utiliza TOTP junto con una contraseña que el sitio web no almacena, la mayoría de los buenos proveedores almacenan una hash que es fuertemente resistente a la ingeniería inversa, entonces entre los dos, su riesgo es grande bajado.
El poder de los certificados de cliente (y qué son)
Probablemente nunca haya oído hablar de los certificados de cliente, pero en realidad existen desde hace mucho tiempo (en los años de Internet, por supuesto). La razón por la que probablemente no hayas oído hablar de ellos es que es una tarea difícil conseguirlos. Es mucho más fácil conseguir que los usuarios elijan una contraseña, por lo que sólo los sitios de alta seguridad tienden a utilizar certificados.
¿Qué es un certificado de cliente? Los certificados de cliente demuestran que usted es la persona que dice ser. Todo lo que tiene que hacer es instalarlo (y uno funciona en muchos sitios) en su navegador, luego elegir usarlo cuando un sitio quiera que se autentique. Estos certificados son primos cercanos de los certificados SSL que los sitios web utilizan para identificarse en su computadora.
La forma más efectiva en que un sitio web puede proteger sus datos es, en primer lugar, nunca tenerlos en posesión.
Ventajas de los certificados de cliente: No importa en cuántos sitios inicie sesión con un certificado de cliente, el poder de las matemáticas está de su lado; nadie podrá utilizar ese mismo certificado para hacerse pasar por usted, aunque observe su sesión.
Riesgos de los certificados de cliente: El principal riesgo de un certificado de cliente es que alguien pueda entrar su computadora y robarla, pero existen mitigaciones para ese riesgo. Otro problema potencial es que los certificados de cliente típicos contienen cierta información de identidad que quizás no desee revelar en cada sitio que utilice. Aunque los certificados de cliente han existido desde siempre y existe soporte funcional en el servidor web software, todavía queda mucho trabajo por hacer tanto por parte de los proveedores de servicios como de los navegadores para hacer ellos trabajan Bueno. Debido a que se utilizan tan raramente, reciben poca atención en el desarrollo.
Lo más importante: cifrado de extremo a extremo
La forma más efectiva en que un sitio web puede proteger sus datos es, en primer lugar, nunca tenerlos en posesión, al menos no una versión que pueda leer. Si un sitio web puede leer sus datos, un atacante con suficiente acceso puede leer sus datos. Por eso nos gusta el cifrado de extremo a extremo (E2EE).
¿Qué es el cifrado de extremo a extremo? Esto significa que tu cifrar los datos de su parte, y corsé encriptado hasta que llega a la persona a la que está destinado o regresa a usted.
Ventajas de E2EE: El cifrado de extremo a extremo ya está implementado en algunos servicios, como los servicios de respaldo en línea. También hay versiones más débiles en algunos servicios de mensajería, especialmente aquellos que surgieron después de las revelaciones de Snowden. Sin embargo, a los sitios web les resulta difícil realizar cifrado de extremo a extremo por dos razones: es posible que necesiten ver sus datos para brindar su servicio y los navegadores web son terribles a la hora de realizar E2EE. Pero en la era de las aplicaciones para teléfonos inteligentes, el cifrado de extremo a extremo es algo que puede y debe hacerse con más frecuencia. La mayoría de las aplicaciones no utilizan E2EE hoy en día, pero esperamos ver más en el futuro. Si sus aplicaciones no utilizan E2EE para sus datos confidenciales, debería quejarse.
Riesgos de E2EE: Para que el cifrado de extremo a extremo funcione, debe realizarse en todos los ámbitos; si una aplicación o un sitio web lo hace a medias, todo el castillo de naipes puede colapsar. A veces se puede utilizar un fragmento de datos no cifrados para obtener acceso al resto. La seguridad es un juego del eslabón más débil; sólo un eslabón de la cadena debe fallar para romperla.
¿Y ahora que?
Obviamente, no hay muchas cosas que usted, como usuario, pueda controlar. Tendrás suerte de encontrar un servicio que utilice contraseñas de un solo uso con un autenticador. Pero definitivamente deberías hablar con los sitios web y las aplicaciones que utilizas y hacerles saber que detectas errores. suceden en el software y cree que deberían tomarse la seguridad más en serio y no simplemente confiar en contraseñas.
Si una mayor parte de la Red utiliza estos métodos de seguridad avanzados, tal vez la próxima vez se produzca una catástrofe de software a escala de Heartbleed, y habrá voluntad eventualmente lo será, no tendremos que entrar tanto en pánico.
[Imagen cortesía de guadaña5/Shutterstock]
