Tutoriales

Si la seguridad de tus datos te importa, nunca jamás utilices la misma contraseña en varios servicios web.
Es cierto que es incómodo tener una contraseña diferente para cada sitio, pero no queda más remedio. Una vez más, la comodidad es el peor enemigo de la seguridad.
Basta con detenerse a pensar un poco en lo mucho que cedemos a un desconocido cadavez que nos registramos en un sitio, y en lo que puede hacer con ello un webmaster (o blogger) deshonesto.



Para ilustrar el asunto, nada mejor que un ejemplo...

Imagina que sucumbes a los atractivos de abcdfgah punto com, un sitio que te desvelará los arcanos secretos del hackeo de cuentas XMail (sustitúyase "X" por Hotmail, Gmail, etc...) con una sola condición, que te registres, con un nick y un e-mail, para poder acceder a sus maravillosos contenidos.

En la gran mayoría de los casos, es completamente cierto que el webmaster de abcdfgah punto com sabe perfectamente cómo accedera tu cuenta de XMail... sólo que no se necesita ninguna "magia" para ello, sino que eres tú mismo quién le cuenta cómo hacerlo.

No hay ninguna duda de que un gran porcentaje de los usuarios que se registren en abcdfgah punto com lo hará suministrando su propiadirección de Xmail, y un porcentaje nada desdeñable de ellos utilizarála misma contraseña con la que acceden a su correo web.

El deshonesto responsable de abcdfgah punto com ya tiene las llaves del reino.
Le basta probar a entrar con esas mismas contraseñas en las cuentas de correo asociadas. En un buen número de casos lo logrará sin problemas.
Así que si un buen día recibes un correo diciendo que tu cuenta ha sido secuestrada y debes pagar un rescate para recuperarla, además de denunciarlo, debes hacer un examen deconciencia.

Es cierto que los sistemas habituales de publicación de contenidos no guardan las contraseñas, sino sus hashes (resúmenes en caracteres hexadecimales de longitud fija), pero eso no representa mucho problema para un webmaster deshonesto con acceso directo a esos datos.
De hecho,si su propósito es esencialmente malicioso, puedes dar por seguro que ni siquiera se molestará en "hashearlas" antes de guardarlas, sino que las atrapará en texto claro.

Pero aunque el webmaster del sitio donde nos registramos sea la persona más honesta del mundo, seguimos estando en peligro si reutilizamos contraseñas.

El problema ocurre cuando un intruso se apodera de nuestros datos de registro, por un fallo en la aplicación o en el servidor, o por una mala gestión de la seguridad. En este caso puede que la obtención de las contraseñas en claro requiera algo más de esfuerzo (ataque de diccionario, fuerza bruta o rainbow tables), pero de cualquier manera no tardarán demasiado en caer las contraseñas más débiles.

Si el atacante dispone también de las correspondientes direcciones de correo (como suele ser habitual), y si no nos hemos tomado la molestia de utilizar para el registro una contraseña diferente de la que usamos para acceder a nuestra cuenta de correo, mal asunto.

Y aqui, unos consejos bien sencillos.

Webmaster honestos: utilizad sistemas de gestión de contenidos que no guarden las contraseñas en claro, sino pasadas antes por una función dehash (MD5 o SHA), preferiblemente con un salt añadido y si es posible que ese salt incluya un identificador secreto específico del sitio.
Y otro consejo: si no pensás spamear a los usuarios, quizás nisiquiera necesites pedir ni almacenar sus direcciones de correo. Menos preocupaciones para uds y menos riesgos para sus usuarios .

Usuarios: una contraseña para cada sitio. Cada vez que te registres y no lo haces así, estaras regalando a un extraño las llaves "secretas"de vuestro existencia virtual.
Si el atacante entra en tu correoweb, también puede intentarlo con tu cuenta Paypal, eBay, etc,etc., donde seguro que también habras repetido contraseña.

Aún más: apartir de la lectura de tus correos, puede obtener muchas más pistas sobre otros servicios donde también podría intentar suplantaros.