25 enero 2010

Identidades digitales inmanejables


Es impresionante la cantidad de sitios web que visitamos, y de empresas/organizaciones que ofrecen vía web los servicios que demandamos, ya sea como forma de vida, por trabajo, ocio, hobbies, interés particular, etc,...


Cada día nos suscribimos a nuevos foros, compramos billetes de avión, tren, reservamos hoteles, accedemos a nuestra banca online, facturas de telefonía, luz, gas,... participamos en redes sociales (como facebook, twitter, linkedin,...), gestionamos diferentes cuentas de correo (hotmail, gmail, yahoo,...), compramos y vendemos (ebay, paypal) foros varios dependiendo de si nos gustan los coches, los libros, el cine, la música,... entre otros.

Para cada sitio web, es necesario introducir unas credenciales: En algunos casos podremos elegir el nombre de usuario (siempre y cuando no exista, o tendremos que derivar uno diferente al que generalmente usamos) y una contraseña (que en algunos casos deberá seguir un formato dado por la organización para satisfacer ciertos requisitos de complejidad). A no ser que seamos felices viviendo en el campo, ajenos a una conexión a Internet, estamos obligados a tener un montón de identidades digitales o una única con un nombre de usuario lo suficientemente raro y una misma contraseña.

¿Problemas? Pues ambas posibilidades tienen sus ventajas e inconvenientes. Tener diferentes identidades (pares usuario/contraseña) permite ser uno diferente en cada sitio, de manera que no se pueda concluir mediante herramientas online o mediante análisis las costumbres (a veces contradictorias) de un mismo individuo. Así, si un sitio de los que somos usuarios se ve comprometido (o picamos ante un ataque de phising) y nuestras credenciales son expuestas, las que usamos para el resto de los servicios seguirán seguras. Mucha gente, incluso importante en el mundo de la seguridad, utilizan mecanismos de generación de credenciales basados en el nombre del sitio web o servicio que visitan. Una vez comprometido el algoritmo pensado, todas las credenciales de ese individuo, quedan expuestas.

Por lo mismo y dada la cantidad de servicios online que consumimos, lo más normal es que olvidemos aquellos que no utilizamos tan a menudo y haya que usar las opciones "Lost Password?".

En el caso de usar el mismo usuario/contraseña (siempre que se pueda) para todos los servicios, si alguien averigua nuestras credenciales (por sniffing, shoulder surfing, compromiso de uno de los websites, ingeniería social, phising, etc...) podrá probar en otros sitios que exista el mismo usuario o de otros en los que conozca nuestros hábitos.

Para evitar este tipo de disyuntivas, las empresas se gastan un dineral anualmente en lo que se llaman proyectos de gestión de identidades, single sign-on y provisioning. Para el usuario "de a pie", hay en el mercado variedad de productos, comerciales y libres (como por ejemplo KeepassX), que permiten mantener en un contenedor cifrado las diferentes identidades. Para aplicaciones web, incluso los navegadores proveen de servicios propios de auto-rellenado de usuario y contraseña.

En general, estos programas de protección de contraseñas, así como los de gestión de identidades, requieren una autenticación basada en una contraseña maestra. Lo cuál nos lleva a otro problema más, si esa contraseña maestra cae, todas las demás quedan expuestas.

Este problema se solucionaría utilizando algún tipo de autenticación fuerte como contraseña maestra, basada en al menos dos factores de estos tres: "algo que se tiene, algo que se sabe, algo que se es".

Si no es posible la autenticación fuerte, al menos:

  • Aseguraos de que cuando insertéis la contraseña maestra de vuestro gestor de credenciales no haya nadie nadie mirando. Si tapáis el PIN cuando metéis la tarjeta en el cajero automático, ¿por qué no tener ciertas precauciones en el teclado del PC?
  • Como extensión al punto anterior, que no nos miren ni desde fuera ni desde dentro del PC: mantenedlo libre de troyanos y keyloggers. Política de parches y antivirus actualizados, firewalls personales, instalar sólo aquello que estéis seguros que no contiene spyware/malware y cuidado con los rogue antivirus
  • Cerrad la sesión cuando terminéis la actividad para la que os hayáis tenido que autenticar (sobre todo para entornos de banca online, los datos son datos, pero la pasta/guita es la pasta/guita)
  • Cuidado con los enlaces sobre los que pincháis (los que veáis en foros, los que os lleguen por correo), puede llevaros a no dar vuestra contraseña, pero sí a ceder vuestra sesión por robo de cookies
  • Seguid las recomendaciones y buenas prácticas recomendadas por Laura respecto a la gestión y vida de las contraseñas
  • Cuidado con las "Preguntas secretas" para recuperar contraseñas. Extremad precauciones con respuestas demasiado triviales que puedan comprometer vuestra información de una forma trivial por quien os conoce
  • Y sobre todo y más importante, cuidado con los ataques basados en ingeniería social. Cuando hay que dar una contraseña a alguien, no fiarse siempre es la opción correcta!

5 comments :

inedit00 dijo...

Muy buen artículo. A seguir así.

Saludos!

Lorenzo Martínez dijo...

@inedit00 -> Me alegro que te haya gustado. Saludos :D

fires dijo...

Hoy en día que estamos pasando muchisimas aplicaciones en la NUBE, tenemos que educarnos más en la seguridad.
Está muy bueno esta educacion que estas realizando, asi combatimos más la inseguridad degital, que cada día crece más, como tambien el propio uso digital.
Esta excelente tu artículo. sigue aadelante.
saludos

Lorenzo Martínez dijo...

@Fires -> La verdad es que siendo los tiempos que corren, todas las precauciones son pocas. Tal como reza el título de Andrew S. Grove: "Only the Paranoid Survive" http://www.amazon.com/Only-Paranoid-Survive-Andrew-Grove/dp/0385482582

Muchas gracias por los ánimos. Saludos,

Santi Casas dijo...

Creo que no debemos olvidar los modelos de identidad federada o su delegación (como OpenID, Google Account, Facebook Connect ...), que es hacía donde parece que va a tender la cosa (sin ir más lejos este comentario ha quedado directamente identificado por mi cuenta de Google) ... En ese punto deberemos centrar los esfuerzos de seguridad.