[off-topic] Seguridad en nuestras cuentas digitales

Publicado por Dani Morte en

Hola a tod@s

Casualmente ayer hackearon la cuenta de instagram de mi hija mayor, y publicaron cosas no permitidas. Pudimos recuperar el acceso, pero, ¿qué hubiera pasado si perdemos el acceso a nuestra cuenta de Instagram ?!!!

En estos negocios de hoy en día, todo tan virtualizado, todo tan digital tenemos cientos de cuentas online por todas partes, en cada servicio .. google, outlook, facebook, instagram, pinterest, BBVA, tiktok, nuestra APP de Young Living Challenge, lo que sea ..

dani-hacker

El lunes pasado un compañero de trabajo del departamento IT le entraron en su correo (en concreto gmail) y ¿que le pasó? intentaron resetear las contraseñas de varios de sus servicios, amazon, cuentas de criptomonedas, paypal, etc .. e intentaron hacer compras. No lo consiguieron porque tenía doble factor de seguridad. El compañero cambió todas sus contraseñas. Habló con policia local, con mossos (sin éxito) y avisó al banco para cambiar claves y autorizaciones.

En este post quisiera proponeros una serie de TIPS de seguridad que os ayuden a organizar este caos y a estar más tranquilas.

Utilizar un GESTOR DE CONTRASEÑAS

Un gestor de contraseñas es una aplicación que puede estar en local (en tu ordenador) o en el cloud (como un servicio).

Un ejemplo de aplicación en local (se instala en un ordenador) es «keepass» y va super bien pero es poco práctico en entornos actuales donde hay mucha mobilidad, teléfonos, y quieres acceder desde cualquier parte.

Ejemplos de aplicación en cloud y que tienen APP para tu teléfono, Plugin integrado en Chrome/Firefox/Edge, tienes Web para gestionar tus datos, etc.. son por ejemplo: https://1password.com/, https://passwork.me/, https://www.dashlane.com/, https://www.lastpass.com/

Los he probado casi todos y algunos durante años, y hemos pagando por ellos pero te recomiendo que no le des más vueltas, utiliza: BITWARDEN. Es open Source, gratuito, sencillo y funciona genial (y para los más frikis, puedes instalarte un «servidor BitWarden» en una máquina tuya en tu hosting favorito). Accedes aquí , te das de alta e instalas sus aplicaciones.

https://bitwarden.com/

Tu password del correo principal

El secreto de todo esto es que la contraseña que tengas en tu cuenta principal de correo debe ser única. Nadie puede tener acceso a tu correo, porque si acceden a tu correo pueden cambiar las contraseñas de otros servicios.

Si en un servicio o web pones la misma contraseña que tienes en tu correo, un robo en esa web puede comprometerte todas tus cuentas.

La mejor contraseña suele ser una frase que digas habitualmente y que recuerdes, no hace falta que sea supercompleja y que la puedas cambiar cada año.

Recordar contraseñas

Solo tienes que recordar 2 contraseñas, el resto de contraseñas no las necesitas saber y deben ser tan complicadas como puedas.

Debes recordar:

  1. Tu contraseña del correo principal
  2. Tu contraseña maestra de BitWarden

El resto, le dices a BitWarden que genere contraseña super complicadas y cuando necesites acceder a ellas, utilizas el plugin de chrome o la APP del teléfono y él detecta en qué web estás y te pondrá automáticamente las claves por ti. Lo mejor es que sean diferentes en cada servicio/web para que no puedan acceder de uno al otro.

Doble Factor (2FA)

Gracias a este concepto, a mi amigo no puedieron extraer nada. En la mayoría de servicios que tiene que ver con compras o dinero (criptomonedas o monedas clásicas), tenía activado el Two Factor y sin una autorización expresa secundaria no pudieron operar.

La autentificación por doble factor básicamente es que al acceder a una web/servicio con tu usuario/contraseña, además te piden otra validación externa (que no al email) para asegurarse que eres tu, normalmente envían un código en un SMS, o usando aplicaciones como Google Authenticator que genera un número cada 20 segundos o FreeOTP

De las cientos de opciones te recomiendo: https://authy.com/

¿ ya has activado el Doble Factor en tu cuenta de Instagram ?

En Resumen

Estos TIPS espero que te ayuden un montón.

  1. Solo hay que acordarse de 2 contraseñas únicas (la del correo principal y la del gestor de contraseñas)
  2. Utilizar BitWarden como gestor de contraseñas
  3. Activar Two-Factor si es posible usando Authy

Cualquier duda enviáis un email a olga@lacasalila.com o a socendani@gmail.com o dejad un comentario aquí abajo.

xoxo

Categorías: Tips

6 comentarios

Yolanda · 10 agosto, 2020 a las 9:09 am

En algún sitio leí que las contraseñas deben de ser como la ropa interior, es decir, personal, no compartible y se ha de cambiar de manera frecuente.
Hay otra forma, desde mi modesto punto de vista, de generar contraseñas seguras sin recurrir a servicios externos.
-usa reglas memotécnicas. En la carrera nos sabíamos la regla de la termodinámica gracias a un cuadrado y la frase “follar tíos guapos puede hacer satisfactorio un viernes” , aplicado a password sería ftgphsuv
-Hacer cambios tipo: a=4, e=3, i=1, o=0, s=5…
-incluso si eres de “duro” de ideas, y no quieres ir con ciento cincuenta mil contraseñas, tener una cadena común y añadir el nombre de la red tipo ftgphsuv1nst4gr4m (el ejemplo de Antes para instagram). Si quieres añadir más fuerza bastaría con separar la cadena común/base del nombre de la red con un guion (ftqphsuv-1nst4gr4m). Un besazo!!!!

    Dani Morte · 10 agosto, 2020 a las 9:32 am

    jajajaj.. que grande!!!.. «ftgphsuv» ..ajajajja (que veo tiene una relación directa y proporcional a la ley de la termodinámica del viernes noche).. jajaja.. que bueno!!
    La idea es muy buena, pero cuando tienes 400 contraseñas y no quieres repetirlas en varios servicios, creo que necesitas un gestor encriptado (para no apuntarlas en un excel visible por todos) sea local (en tu ordenador, keepass) o online (los que he comentado) .. pero si si las claves nemotécnicas son TOP !.. esta me la apunto .. gracias Yolanda!

      Yolanda · 10 agosto, 2020 a las 10:15 am

      No es tan complicado ni aunque tengas 400 servicios. Te creas tu “regla” , cadena común, haces el cambio por números (siempre los mismos) y añades separado por el guion el servicio (también con el mismo cambio de números) y tienes contraseñas diferentes para cada servicio
      ftgphsuv-tw1tter
      ftgphsuv-bl0g
      ftgphsuv-1nst4gr4m
      ftgphsuv-f4ceb00k
      ftgphsuv-t1kt0k
      ftgphsuv-h4c1end4
      ftgphsuv-r00ter
      ftgphsuv-w1reless
      ftqphsuv-y0utube
      ftgphsuv-1sp
      ftgphsuv-4dm1n
      ftqphsuv-c4s4l1l4
      ftgphsuv-tr4b4j0

      🙂

Oscar · 10 agosto, 2020 a las 10:22 am

Jo faig servir keeper security, tb va bé.

    Dani Morte · 10 agosto, 2020 a las 10:35 am

    eiiiii Oscar!,
    Prova BitWarden aviam com ho veus.. la gràcia per mi.. és open Source i te’l pots instal·lar en un linux si vols control·lar l’aplicació tu mateix.. .te les avantatges de lastpass/keeper (online/plugins/apps)… etc.. però al teu server.. és ideal per a una empresa pyme. .. és com ownCloud per a dropbix 😉

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *