Mi trabajo como Director Técnico en TPNet hace que tenga que ocupar buena parte de mi tiempo en intentar que todo funcione como debe en nuestros servidores, y que todos nuestros sitios web sean estables, rápidos, y, atención, seguros. Leo mucho, investigo, pruebo exploits y monitorizo nuestros servidores tanto para comprobar su carga como para saber si hay algo sospechoso, y lo hago con frecuencia, sobre todo teniendo en cuenta que la actualización tanto de WordPress -CMS que usamos masivamente- como sus plugins (y de los componentes que monto en los servidores, todos con Linux) es crucial para estar lo más tranquilos posible.
Pero no estoy tranquilo casi nunca, y ya hemos vivido unas cuantas situaciones bastante agobiantes con ataques que afortunadamente logramos atajar para seguir camino. Nadie está exento de que le toquen las narices esos usuarios que por un motivo o por otro (normalmente dinero, pero en ocasiones simple diversión) atacan todo tipo de sitios web y servidores. Los backups que se hacen a diario permiten salir del paso en caso de un incidente grave, pero aún así ese peligro está presente, y molesta e inquieta. Y a quien como yo esté en el pellejo de un sysadmin, más.
Uno de los problemas esenciales no solo de un sysadmin sino de cualquier usuario es la gestión de contraseñas, en la que hay que ser especialmente cuidadoso. Confieso que yo cometo el error de usar la misma contraseña para algunos servicios, pero solo aquellos que son irrelevantes y que uso de forma ocasional o que pruebo temporalmente. Para servicios importantes tengo varias y por ejemplo en mi cuenta de Google activé hace tiempo la verificación en dos pasos, que hasta no hace mucho me daba mucha tranquilidad. Cosas como esta preocupan porque ponen en tela de juicio un sistema de seguridad de este tipo (si te hackean así ya es porque te tienen muchas ganas) , pero lo malo es que el sistema de verificación en dos pasos de Google solo lo tiene Google. Nadie más lo implementa, aunque hay formas de que uno mismo lo implemente en sus servicios (hay empresas como DuoSecurity que mandan SMS con verificación, aunque cada mensaje cuesta pasta). Así pues, hay que tener mucho cuidado con las contraseñas.
Hay todo tipo de documentos en Internet que recomiendan diversas formas de guardar las contraseñas. Que si usar frases largas (20 o más caracteres), que si usar todos los símbolos posibles que se te ocurran, etc. Chicos, me temo que todo eso es muy bonito, pero da igual, porque en muchos casos la seguridad no sólo depende de la elección de la contraseña que hayáis hecho: también depende del sistema que tenga la empresa donde os registráis para guardar esa contraseña. Por poneros un ejemplo, la reciente ruptura de 6,4 millones de contraseñas en LinkedIn fue escandalosa, pero lo fue más el descubrimiento de que ellos protegían sus contraseñas (convirtiéndolas en hashes) con la función criptográfica SHA-1. Error, porque esa función no estaba diseñada para ser segura, sino rápida. Eso permitió que un experto en seguridad obtuviera el 90% de las claves de esas cuentas en, atención, 6 días, y con un equipo potente (con cuatro tarjetas AMD Radeon HD6990) pero que cualquiera podría montarse por poco dinero.
Lo cuentan todo en un brillante pero inquietante artículo en Ars Technica que me he leído de cabo a rabo con mucho interés porque es de lo mejorcito que he encontrado en los últimos tiempos. Un reportaje ejemplar: profundo, con bastantes detalles técnicos y con muchos enlaces más que interesantes, como el del servicio CloudCracker, que en 20 minutos (y por la módica cantidad de 17 dólares) te mandará la contraseña de una red WiFi WPA/WPA2 una vez les mandes el ficherito del handshake que puedes obtener en dos patadas. Terrible.
La conclusión de Ars Technica es la que os adelantaba yo: podéis elegir la contraseña más chunga del mundo, pero si al otro lado alguien genera el hash con una función criptográfica débil y alguien logra el fichero de hashes, estáis apañaos. ¿La solución? Bueno, en Ars recomiendan el uso de herramientas cada vez más populares como 1Password o PasswordSafe que autogeneran contraseñas aleatorias, largas y complejas para cada servicio que usamos, y las guardan en un fichero cifrado de forma muy segura (no con el SHA-1 de marras) que únicamente se desbloquea con una contraseña maestra (que sí debéis recordar, y que conviene que sea lo más larga y segura que podáis). A lo cual yo añado eso en lo que insistí hace poco.
Haced putos backups. Y hacedlos ya.
Utilizo KeePass Password Safe > http://keepass.info/ y me funciona perfectamente, tiene versiones Standar y Pro para Windows, distintas compilaciones para Linux y varios dispositivos móviles.
Otra opción muy reconmendable.
Steam también usa un sistema de seguridad, la primera vez que se inicia sesión con nuestra cuenta en algún servicio (con nuestra usuario y contraseña) se nos envía al correo electrónico un código que nos pedirá para seguir usando la aplicación, si no lo tenemos no podemos hacer nada. Igualmente con unos cuantos clicks podemos deshacer todos los permisos para que se tengan que volver a identificar los ordenadores que están conectados, a mi me parece muy práctico.
Lastpass tiene implementado el sistema de verificación de dos pasos de Google
Una opción también puede ser este plugin para WordPress:
WordPress Security Tip: Add Google Authenticator 2-step Verification
http://www.wpbeginner.com/plugins/improve-wordpress-security-with-google-authenticator/
Este no lo conocía, parece muy interesante, gracias Pablo!!
La UNICA forma de proteccion es el CAMBIO de las contraseñas cada poco tiempo. Si alguien consigue la hash, no importara q la utilicen y averiguen la contraseña siempre q nosotros la hayamos cambiado cuando quieran utilizarla. Asi de sencillo, y a la vez asi de incomodo. 🙂
Pingback: ¿La solución a las contraseñas? Nada de contraseñas | Incognitosis