Cómo elegir una buena contraseña

Hace ya un tiempo puse un artículo en este blog, recomendando unas reglas para mejorar la contraseña de nuestras cuentas. Y es que cada vez es más importante tener una password robusta a fuerza de ataques.

Podría pensarse que no existe la contraseña perfecta, pero desde luego cuanto más fuerte y complicada sea la nuestra, más difícil será de romper y antes desistirá un posible atacante.

Y hoy he visto esta infografía que recopila algunos de los consejos que nos ayudarán a tener una buena contraseña en aplicaciones. Un consejo extra, a ser posible, usa distintas contraseñas para distintas aplicaciones o servicios.

Consejos para tener una buena contraseña

Consejos para tener una buena contraseña

 

Trucos para tener contraseñas seguras y fáciles de recordar

Una de las cosas que mas me preguntan en los cursos es como administrar tanta contraseña para todos los servicios que ultimamente usamos. La respuesta no es sencilla… pero tampoco tiene que ser muy complicada.

Para empezar, descarto usar la misma contraseña para todo. A ser posible hay que usar una distinta para cada cosa, pero claro eso es difícil de memorizar…. o tal vez no. Pongamos un ejemplo.

Supongamos que quiero tener contraseñas distintas (y seguras) para éstos 5 sitios:

  • Gmail
  • Yahoo
  • Twitter
  • Facebook
  • Tumblr

Cojamos las 4 primeras letras de todas ellas

  • gmai
  • yaho
  • twit
  • face
  • tumb

ahora pongamos la primera y última letra en mayúsculas, y el resto en minúsculas

  • GmaI
  • YahO
  • TwiT
  • FacE
  • TumB

y ahora le añadimos el guión , el símbolo de % y por ejemplo un año que recordemos fácilmente

  • GmaI-%1990
  • YahO-%1990
  • TwiT-%1990
  • FacE-%1990
  • TumB-%1990

Tenemos ya, cinco contraseñas distintas, fácil de recordar (solo hay que recordar la regla), y que sirve para cualquier otro servicio que nos queramos añadir

  • WorD-%1990 (sería la de WordPress)

Otra posibilidad es usar «passphrases» en lugar de password.

MCMLRACD (Esas iniciales no dicen nada, pero si «Mi Carro Me Lo Robaron Anoche Cuando Dormía«), si a eso le añadimos una coletilla con algún número, y/o símbolo tenemos una contraseña robusta.

Por último, una técnica que uso a veces.

Cuando me doy de alta en un nuevo servicio, uso siempre una misma contraseña, fácil de recordar. Si el servicio me está gustando y empiezo a guardar información sensible, paso a un segundo nivel, con una contraseña mas segura, pero que también es común con otros servicios parecidos. Solamente cuando ese servicio (web) es ya realmente necesario y lo uso constantemente, me planteo una regla similar a la que he puesto de ejemplo al principio. Así, no suelo tener problemas (toco madera) con las contraseñas.

Por supuesto son solo ejemplos, y cada uno tenemos nuestras técnicas, Y tú, ¿que técnica usas?

PD: Cualquier parecido de esas reglas con las que yo uso, es mera coincidencia.. son solo ejemplo 😉

Herramientas para social media

Herramientas para Facebook

  • Faceboostic: interesante herramienta que te permitirá realizar un análisis de tus aplicaciones en Facebook. Una forma más sencilla de entender los resultados estadísticos de tus aplicaciones, valores como viralidad, seguimiento, …
  • Facebook Lexicon: te ofrece resultados por palabras clave en conversaciones en Facebook.
  • Pagemodo: un sencillo camino para crear tu página Facebook para promover productos y servicios.
  • TabSite: una utilidad muy interesante para añadir una pestaña con tu sitio web en tu página Facebook. Gran solución para añadir tu propia página de promoción en tu cuenta Facebook.
  • Face.com: Un moderno sistema para reconocer caras a través de una aplicación de Facebook. Quizás ahora no tenga sentido porque Facebook ha incluido el soporte para caras directamente.
  • Static520: ya no tienes que ser un genio del FBML y puedes añadir contenidos en tus páginas Facebook de forma sencilla con esta avanzada herramienta.

Herramientas para Facebook, LinkedIN y Twitter (y alguna que otra herramienta social)

  • TweetDeckSeesmic: Completas aplicaciones para la gestión de cuentas Facebook y Twitter. También permite actualizar páginas de productos de Facebook.
  • HootSuite: De las mejores herramientas para gestionar tu cuenta Facebook, Twitter, LinkedIN, …
  • Cotweet: otra completa herramienta para la gestión de tu cuenta Twitter y otras redes sociales.
  • Tinker: un sencilla forma de seguir conversaciones en Twitter y Facebook.

Herramientas para Twitter

  • Twitter Search: buscador en tiempo real para la búsqueda de conservaciones sociales.
  • Twitstat : te informa de las palabras clave más utilizadas en tus últimos 500 tweets.
  • TweetScan: búsqueda de palabras clave, empresas o servicios en Twitter.
  • Twit(url)y : cotillea lo que la gente habla en la red Twitter.
  • Hashtags : sistema para realizar un seguimiento de hashtags en Twitter.
  • TweetBeep :  estate al día de quien te cita en tiempo real en Twitter, con opción de avisos por email.
  • Twitterholic: quien es líder dentro de un mercado, ciudad o país en Twitter. Basado en el número de seguidores que tienen los usuarios.
  • Twittermeme: busca las memes más importantes y utilizadas en Twitter.
  • Twitrratr: rastreador de búsquedas en Twitter y que además informa de si se valoraron como neutrales, positivas o negativas.
  • Twitterfeed: herramienta para programar el envío de tweet con entradas de nuestras blogs o de otros blogs que nos interesen. Permite programar también por palabras clave o categorías.
  • Twitter Grader: Muestra tu rango en la red Twitter y te da a conocer posibles nuevos contactos.
  • TweetStats: estadísticas de twitter con gráficos.
  • Twitter Friends: estadísticas de tus conversaciones.
  • Twinfluence: una forma de medir la influencia social de una cuenta twitter.
  • Tweetwasters: muestra el tiempo que te has pasado escribiendo en twitter para que sepas si estás realmente viciado.
  • Tweet-Rank: descubre quien te sigue y quien deja de hacerlo a partir de un texto.
  • Mr. Milestone: te enviará un mensaje por cada 100 seguidores nuevos para que puedas saber si está funcionando tu estrategia social.
  • Retweetrank: muestra la cantidad de re-tweets que haces y de tus seguidores.
  • Twitterverse: informes de las palabras clave más utilizadas en Twitter.
  • Retweetist: como conocer los enlaces que más re-tweeteados son.
  • Monitter: monitorización de las palabras clave deseadas.

Herramientas para Blogs

  • Blogpulse : seguimiento de quien habla de ti en la blogosfera con datos completos e informes por Nielsen.
  • Google Blog Search: Google nos ayuda a encontrar todo lo que se dicen en blogs con su buscador en Blogs.
  • IceRocket: completa herramienta para buscar en entradas con gráficos.
  • Busqueda en Technorati : búsqueda basada en las entradas de Technorati que también permite búsquedas avanzadas por etiquetas.

Herramientas para Conversaciones

  • Samepoint: siguiente conservaciones por temas o tópicos.
  • BoardReader:  buscando conversaciones en foros.
  • Commentful: busca conversaciones en foros, Digg, Flickr, entre otras redes.
  • BoardTracker: buscando palabras claves en foros.
  • Omgili: información de las conversaciones de los consumidores en cualquier entorno social.
  • Google Groups: búsquedas en las grupos de Google.
  • Yahoo Groups: búsqueda en grupos de Yahoo.

Herramientas para Buzz y Brand (Marcas)

  • Serph: seguimiento del buzz en tiempo real.
  • Google Trends: muestras la cantidad de búsquedas y noticias relacionadas en Google. Muy interesante.
  • Trendpedia: genera gráficos relacionados con búsquedas
  • SocialMention: excelente buscador especializado en Social Media. Dispone de un widget para ayudarte a saber que esta de moda en cada momento.
  • SocialMeter: realiza un seguimiento de los medios sociales y te informa de la importancia de tu sitio web.
  • HowSociable: midiendo la visibilidad de tu marca mediante 22 métricas.
  • Addict-o-mattic: crea un html con los buzz que hablan de tu marca o producto.
  • Omgili Charts: evaluación del buzz de tu marca con cualquier término.
  • Whostalking: búsquedas en todos los medios sociales sobre lo que se dice de tu marca o producto.
  • Google Alerts: alertas en tiempo real por email sobre las palabras clave seleccionadas.

Herramientas para reportes de Tráfico

  • Compete: informes de tráfico web para sitios con mucho tráfico, creo que son datos más de EEUU que mundiales.
  • Quantcast: otro sitio web de informes de tráfico web también muy basado en tráfico de Estados Unidos.
  • Alexa: un clásico de los informes de tráfico mundial con detalles de ranking por países. Es realmente interesante su información aunque no siempre es exacta.
  • Blogflux Page Rank: otra forma de conocer tu pagerank y compararlo con el de tu competencia.
  • Page Rank Alert: La herramienta que más me gusta para monitorizar la evolución del pagerank de mis páginas webs, me informa por email con los cambios.

Herramientas para Multimedia

  • Flickr: de las redes sociales de imágenes más completas donde puedes buscar por tu marca o palabras clave. Mi cuenta en Flickr.
  • Youtube: buscador de vídeos y canales de vídeo donde puedes localizar cosas relacionadas con tu marca.
  • Truveo: otro buscador más de vídeos que busca en Youtube, MySpace, … entre otros lugares de vídeo.
  • Viral Video Chart: reporte de los 20 vídeos mas vistos.
  • WikiAlarm: recibe alarmas cuando alguien edite la parte que selecciones de la Wikipedia.
  • Metacafe: otro buscador de vídeos donde poder localizar cosas relacionadas con tu marca.
  • Google Advanced Video: el gran hermano también tiene su buscador de vídeos y funciona muy bien, para algo son los dueños de Youtube.
  • Guardian Video Chart: te informa mediante alertas de lo que te interesa en vídeo según tus intereses.

Herramientas para marcadores Sociales

  • Digg: el agregador social más popular del mundo, ideal para noticias, imágenes y vídeos.
  • Stumbleupon: agregador social que está cada vez mejor posicionado, muy interesante.
  • Deliciuos: ya mítico agregador social de marcadores de enlaces, yo mismo lo uso, lo podéis ver en David Carrero.
  • Menéame: popular agregador social hecho en España.

Herramientas para nombres de usuario y seguridad

  • Username Check: Comprueba si tu nombre de usuario está disponible en un amplio número de redes sociales de forma rápida y controla que nadie te robe tu nombre habitual.
  • Contraseñas seguras: genera un password seguro para evitar acceso no autorizados a tu cuenta.

Visto aquí

Cómo comprobar la fortaleza de una contraseña

comprobar contraseña

Me he encontrado este comprobador de fortaleza de contraseñas.

Introduciendo una contraseña, con unos requisitos mínimos, nos dá un informe de la fortaleza.

Actualmente  todos usamos un montón de servicios protegidos con contraseñas, no está de mas, por lo tanto, optimizarlas.

Asimismo, en la misma web, podemos encontrar un creador de contraseñas seguras.

Cuidado con Twittter.tk

Leo en Wwhat´s new un intento de phising usando Twitter como reclamo. Ellos lo cuentan asi:

Hace unas horas recibí un mensaje directo en una de mis cuentas de twitter que me invitaba a ver unas fotos en twittter.tk.

Al acceder a twittter.tk (con 3 “t”) me encuentro con una página exactamente igual a twitter. Viendo su código fuente se puede comprobar que en realidad muestra la siguiente página: http://imdaad.ae/twitter.html, colgada en el site de una compañía de Dubai.

Una vez más es tan fácil como ver su código fuente para comprobar que cada vez que alguien intenta identificarse en esta cuenta de twitter se envían los datos a la dirección 208.98.14.4, donde seguramente guardan las contraseñas.

Mucho cuidado con los lugares en los que os identificáis…

Es que ya no respetan nada

Las «mejores» contraseñas

El título está en modo irónico. Lo que en realidad quiero decir es que las 500 contraseñas que aparecen en este informe que encuentro via Mangas Verdes, son las que mas se usan (o mejor dicho usaban en 2005), y por lo tanto las mas seguras para sus dueños.

Como se puede comprobar no tienen apenas una longitud, ni una fortaleza media que permita presentarlas como contraseñas seguras, pero es que muchas veces hacemos eso pensando que es lo mejor. Reconozco que en algún caso, para pruebas, o en determinados entornos he usado contraseñas asi, pero en los tiempos que estamos en los que usamos muchos servicios web, en los que almacenamos información crítica, me suelo complicar un poco mas la password.

Son datos de 2005, pero es casi seguro que serán muy similares a las actuales.

Como obtener la clave de una red wifi WLAN_XX – How to get wifi key on WLAN_XX (Telefonica Spain)

En este artículo explican como conseguir una clave WEP Wifi.

Naturalmente se explica para casos en los que nos hayamos olvidado de nuestra propia clave, o similares.

Si lo usas para otros fines, como acceder a la red de otro usuario, debes saber que es un delito.

Que el sistema de cifrado WEP, tiene fallos que permiten obtener la clave gracias a los vectores de inicialización, no es ningun secreto, asi como tampoco lo es, que las redes WLAN_XX (siendo XX un byte en hexadecimal) del proveedor de ADSL Telefónica tienen por defecto la clave WEP configurada como una letra identificativa por marca de router seguida de la mac del adaptador WAN.

Es este último caso es en el que vamos a profundizar.

El por que se obtienen tan facilmente estas claves, es gracias a que en las direcciones MAC, los 3 primeros bytes identifican al fabricante, y por lo tanto entre diferentes adaptadores de red de un mismo fabricante los 3 primeros bytes de sus MAC, van a ser identicos. por ejemplo poniendo el caso del fabricante Zyxel, cuyos 3 primeros bytes son 00:13:49 tendriamos un ejemplo similar a esto:

ADSL – WAN MAC => 00:13:49:11:22:33
WIFI – LAN MAC => 00:13:49:44:55:66
ESSID => WLAN_33

Donde la clave por defecto sería una letra que haría referencia a la marca seguida de 001349112233.

Escaneando mediante un adaptador wifi que pueda ponerse en modo monitor, deberiamos de capturar vectores de inicializacion, ademas de visualizar el BSSID que es la MAC del adaptador wireless del router. En el caso del ejemplo seria 00 13 49 44 55 66. Gracias a esto ya tendriamos gran parte de la clave:

La letra que comienza la clave, ya que por cada marca Telefónica les asigno una determinada letra, los 3 primeros bytes, ya que van a ser los mismos para el WAN que para el BSSID y el último byte, ya que en WLAN_33 ese 33 es el último byte del adaptador WAN. Así que solo deberíamos sacar por fuerza brutal 256^2 (2 bytes) lo que atacando a un vector de inicialización es bastante sencillo y rápido.

Lo que debemos hacer es capturar al menos 1 iv (vector de inicializacion) para esto hay numerosos procesos a poder seguir, no obstante yo os recomiendo que useis una distribución livecd de Linux que ha sido pensada para realizar auditorias de seguridad, se llama BackTrack. Una vez arranque seguiremos unos pasos:

1º Identificar la tarjeta wifi
2º Ponerla en modo monitor
3º Escanear hasta tener al menos 1 iv de la red WLAN_XX que deseemos (os recomiendo que al menos sean 4 o 5 iv)
4º Copiarlos a un pendrive u otro dispositivo para poder acceder a ellos

Aquí os dejo un video que he grabado realizando estas acciones para que no os quede ninguna duda de como se realizan estas acciones.

Tendremos 2 archivos, uno con extensión txt y otro cap, dentro del txt tendremos los datos referentes a la red wifi, mientras que en el cap tendremos los datos capturados.

Para continuar deberemos bajarnos el WlanRipper. Es una utilidad para Win32 que nos automatiza la tarea de probar las 256^2 posibles claves.

Copiamos el archivo .cap a la carpeta donde tengamos el WlanRipper y lo lanzamos de este modo: WLAN_RIPPER.bat 00:01:38:70:93:06 WLAN_21 file-01.cap

Total valid packets read: 5
Total packets read: 19135

Statistical cracking started! Please hit enter to get statistics from John.
Weplab statistics will be printed each 5 seconds

It seems that the first control data packet verifies the key! Let's test it with
 others....
Right KEY found!!
Passphrase was --> X000138712321
Key: 58:30:30:30:31:33:38:37:31:32:33:32:31

This was the end of the dictionnary attack.

Gracias por usar el WLAN_Ripper 1.1!!!

Y ya tendremos la clave WEP.

Password suggest, generador de contraseñas

Cada vez es mas importante tener una contraseña robusta, para casi todo.

En esta web que descubro a través de WWWhat´s new, se encargan de darte sugerencias a partir de una palabra clave.

Me siguen gustando mas las contraseñas que tienen alguna lógica, aunque sean complicadas, o las passphrases que me recomendaba Antonio, pero ante un momento de poca lucidez, puede servir.