Tecnologías de la Información y más...

Ayer fue oficialmente mi primer día de vacaciones, en la empresa donde laboro es ya tradición que las últimas 2 semanas de cada año se den de vacaciones. Este fin de semana comencé a explorar alternativas y a leer un poco en internet. Una de mis "tareas" por así decirlo, era la manera de manejar mejor todas mis cuentas en internet. Buscando un poco encontre algunas soluciones interesantes, y entre todas la que mas me convenció fue LastPass. Este servicio basicamente funciona como una boveda para todas tus cuentas, vas almacenando cada una de ellas mientras te vas firmando en cada sitio y cuando regresas a cada sitio el plugin automaticamente llena la información por ti. Hace pocos años esto hubiera sido quizás una solución "exagerada" por ponerlo de alguna manera, pero cada vez mas nos suscribimos a diferentes sitios y servicios y es casi imposible poder recordar las contraseñas que tenemos en cada uno de ellos. Ya alguna vez había tratado de usar una solución de Symantec, pero el hecho que estuviera amarrada unicamente a mi computadora hacía que el servicio NO fuera interesante. Al ser una opción SaaS, practicamente lo hace disponible en cualquier lugar. (El producto Plus "con costo", tiene soporte para casi todas las plataformas, blackberry,iphone,android,windows mobile,ipad).

Pero curiosamente no fue por ninguna de estas características (que esta de sobra mencionar que son muy buenas), que me decidí por este producto, si no porque ofrece una opción adicional para autenticarte. "Two Factor Authentication", lo cual es simplemente utilizar un componente adiciona al ya tradicional (usuario/clave) que ya todos conocemos. Un ejemplo muy claro son los famosos "tokens" o tarjetitas con muchos numeros que nos dan en el banco, los cuales sirven para corroborar que no nos hayan "pirateado" nuestra contraseña. La razón pues es obvia, si aqui voy a tener todo el repositorio de mis contraseñas, es importantisimo que la seguridad sea mas alta que lo normal. Pero aun mejor es que el esquema que utiliza es el de OTP (One Time Password), lo que significa que cada vez que me firmo ademas de mi usuario y clave, genero una clave unica e irrepetible, lo que hace practicamente IMPOSIBLE que alguien pueda entrar a mi cuenta. Esto es posible gracias a un gadget muy interesado llamado Yubikey, el cual es el encargado de generar la clave antes mencionada, con solo presionar un botón.

La verdad es que es super cómodo el utilizar el servicio y no tener que estar recordando cada vez que entro a un sitio las contraseñas, pero el motivo que me llevó a escribir este post fue lo siguiente: El día de hoy Gawker (la empresa detrás de sitios como Gizmodo, Kotaku y Lifehacker, sacó a la luz pública que fueron comprometidas miles de cuentas de sus subscriptores, lo que rapidamente hizo que sitios como twitter y gmail resetearan passwords de sus propios servicios, ya que la base de datos de las cuentas fue publicada, y obviamente muchos de estos usuarios utilizaban el mismo par de usuarios y contraseñas en otros sitios.

A donde voy es que siempre pensamos que eso nunca nos puede pasar a nosotros, que nuestra clave es imposible de adivinar, o somos lo suficientemente ingenuos que todos los sitios en internet, hacen hash de nuestras claves o por lo menos las encriptan, lo cual obviamente no es el caso. En mi caso, estamos hablando de banca electrónica, y servicios de diferente índole (blockbuster,netflix,hulu,pandora,zune,safaribooks,por mencionar algunos), y que sería extremadamente doloroso económicamente ademas de lo latoso de volver a recuperar mis cuentas. La noticia de Gawker fue un baldazo de agua fría para que recordemos que no debemos tomar a la ligera nuestra seguridad en línea.

Me gustaría cerrar este post con recomendaciones para evitar al máximo el robo de identidad, obviamente estas aplican de manera diferente a cada quién dependiendo de lo que esta en juego:

• Nunca utilices la misma combinación de usuario y contraseña en sitios diferentes, esto te protegerá en caso que uno de ellos haya sido comprometido.
• Trata de utilizar contraseñas complejas, más de 7 caracteres, con combinaciones de letras, numeros y caracteres no alfanumericos.
• Cuando exista la opción, utiliza métodos de autentificación adicionales al usuario y contraseña.
• Utiliza servicios como Lastpass para llevar el control de todos tus servicios.
• Nunca confiar que los servicios "la mayoria gratuitos" que utilizamos, tendrán el cuidado necesario con nuestra información.
• Genera una sola contraseña compleja que te sepas de memoria y que sea tu clave maestra.

Esto evento desencadeno que entrando el año, comencemos a realizar pruebas internas de "two factor authentication" para nuestros clientes. En un futuro post les platicaré que tal resultaron.

Me encantaría recibir sus comentarios y opiniones al respecto.

Todas las tecnologías para el desarrollo de aplicaciones web, son inherenemente inseguras. Ya sea por errores de implementación, por errores en el código de la tecnología, etc.. Y es por eso que usualmente se acostumbra no dar muchos detalles al público en general acerca de lo que se utilizó para su creación.

Por supuesto existen los casos donde lo que se quiere es dar a promocionar la tecnología, pero incluso en esta modalidad se cuida mucho el hablar de versiones y/o datos en específico.

También es relativamente fácil (por la misma naturaleza del web), el poder darse una idea de la tecnología utilizada en una aplicación. Ya sea por las extensiones de los recursos, revisando los headers, incluso viendo el html generado por la misma aplicación. Sin embargo como lo mencionaba con un compañero de trabajo, haciendo una analogía que es lo mismo cuando dejas a tu vehiculo muy bien protegido y esto no te garantiza que esté 100% seguro, pero quizas que el maleante la piense dos veces y mejor busque una víctima mas fácil.  Es un hecho que si alguien quiere hacerte daño lo va a hacer, y va a buscar diferentes mecanismos para poder encontrar tu información (hackeo, espionaje social, etc...), sin embargo eso no quita que como buena práctica no expongas tu información a campo abierto.

Hoy navegando me encontré con un portal que exhibe la siguiente información:

 Tecnología utilizada  

Servidor : Este sitio corre bajo Internet Information Server 6.0
Sistema Operativo : Windows 2003 Server SP2
Base de Datos : SQL Server
Lenguajes de programación : Este sitio fue desarrollado bajo tecnología .NET, utilizando C#, VB y JavaScript.

Como lo mencioné anteriormente quizas la mayoría si no es que toda la información podría deducirse sin necesidad que lo pongan o no, sin embargo el simple hecho de saber que corren con un service pack en específico y están sobre una versión  de IIS.

¿Consideran una buena practica el no publicar este tipo de información?

Como la mayoría de los empleados dentro de corporativos, estoy bajo la política de cambiar mi contraseña cada cierto tiempo y de no poder reutilizar ninguna de las tres anteriores. El hecho de estar creando nuevas contraseñas (y sobre todo recordarlas) personalmente es muy latoso. Hace aproximadamente 3 meses comencé a usar passphrases (frases como contraseñas), las cuales son bastante largas (la que uso actualmente es de 33 caracteres, sin embargo es super sencilla de utilizar. Lo mas interesante es que la combinación de estos 33 caracteres (aún cuando todas las palabras existen en el diccionario) sería muy difícil de adivinar con ataques de fuerza bruta.

Si a esto le aunas el uso de errores de ortografía intencionales, el cambio de alguna letra por otra, el uso de mayúsculas y minúsculas, se hace aún mas complejo el poder detectarlas. Les recomiendo que intenten el uso de frases, les garantizo que no van a necesitar anotarlas en un post it, u olvidandolas a cada rato.

¿Has implementado algún tipo de seguridad adicional a contraseñas en tu empresa? Como tarjetas de acceso, passphrases, etc...