jueves, 28 de agosto de 2008

Seguridad en password


Probablemente hayas olvidado las claves de tus cuentas más de una vez, al menos con esos servicios a los que te registras y piensas que nunca volverás a usar y después de 3 meses vuelves habiéndote olvidado no sólo la clave sino también el nombre de usuario.

Cuando pasa esto la solución es muy simple, vamos a “Forgot your password?”, ponemos el nombre de nuestra mascota, el primer número de teléfono que tuvimos o la escuela donde fuimos en la infancia y recuperamos esa ansiada clave. Pero tienes que tener algo muy importante en cuenta, un hacker, cracker o como quieras llamarlo, también puede hacer eso. ¿Cómo? A través de tu Facebook, MySpace y cualquier sitio donde hayas introducido información personal que cualquiera pueda leer.

Como experimento, Herbert Thompson, jefe del departamento de seguridad informática de la empresa People Security, le pidió permiso a algunos amigos para hackear sus cuentas de banco usando sólo la información que recopilaría de este tipo de sitios.

Lo que hizo fue muy simple. Buscando su nombre y empresa donde trabajan encontró su blog y curriculum. Desde ese momento ya tenía una idea de la información de su vida, tanto laboral como personal.

Después de haber recolectado toda la información que necesitaba, lo que hizho Thompson fue pedir que la reseteen la clave de su cuenta bancaria a través de la web de la empresa. Lo único que faltaba era ingresar al mail del amigo en cuestión. ¿Cómo lo hizo? Tuvo que usar la dirección de la casa, el código postal y la fecha de nacimiento y, finalmente, lo que -supuestamente- nadie sabía era el segundo nombre del padre y el de su mascota.

Entró a la cuenta de e-mail que había hackeado y ahí se encontró con el mail para resetear la cuenta del banco.

Thompson explicó que hizo esto con unos cuantos amigos, pero aseguró que si alguien lo llegara a hacer a gran escala, estaríamos en problemas.

Ya ven, van a tener que pensar un poco más a la hora de poner las respuestas para la recuperación de passwords.

Enlace: ‘FORGOT YOUR PASSWORD?’ MAY BE WEAKEST LINK

No hay comentarios: