Pages Menu
TwitterRssFacebook
Categories Menu

Posted on Aug 8, 2014 in Security Update

The guide to password security (and why you should care)

The guide to password security (and why you should care)

Source: Cnet

Find out how your password security can be compromised, and how to create and manage secure passwords.

Reports of a massive security breach circulated this week. There are a lot of questions about the extent of this alleged breach, but if you’re concerned that your password and credentials have been taken, we recommend updating your passwords. Here’s our advice for creating a strong password you can actually remember.

How are passwords exposed?

Before we dive into the how-tos of creating secure passwords, it’s important to understand why you need a supersecure password to begin with. After all, you might be thinking, “Who would want to hack little old me?”

There are a few ways your account passwords can be compromised.

  1. Someone’s out to get you. Enemies you’ve created, exes from your past, a nosy mother, an intrusive spouse — there are many people who might want to take a peek into your personal life. If these people know you well, they might be able to guess your e-mail password and use password recovery options to access your other accounts. (Can you tell I’m speaking from experience?)
  2. You become the victim of a brute-force attack. Whether a hacker attempts to access a group of user accounts or just yours, brute-force attacks are the go-to strategy for cracking passwords. These attacks work by systematically checking all possible passphrases until the correct one is found. If the hacker already has an idea of the guidelines used to create the password, this process becomes easier to execute.
  3. There’s a data breach. Every few months it seems another huge company reports a hacking resulting in millions of people’s account information being compromised. And with the recentHeartbleed bug, many popular websites were affected directly.

What makes a good password?

Although data breaches are out of your control, it’s still imperative to create passwords that can withstand brute-force attacks and relentless frenemies. Avoiding both types of attacks is dependent on the complexity of your password.

Ideally, each of your passwords would be at least 16 characters, and contain a combination of numbers, symbols, uppercase letters, lowercase letters, and spaces. The password would be free of repetition, dictionary words, usernames, pronouns, IDs, and any other predefined number or letter sequences.

The geeky and security-savvy community evaluates password strength in terms of “bits,” where the higher the bits, the stronger the password. An 80-bit password is more secure than a 30-bit password, and has a complex combination of the aforementioned characters. As a result, an 80-bit password would take years longer to crack than a 30-bit password.

Ideal passwords, however, are a huge inconvenience. How can we be expected to remember 80-bit (12-character) passwords for each of our various Web accounts?

Creating secure passwords

In his guide to mastering the art of passwords , Dennis O’Reilly suggests creating a system that both allows you to create complex passwords and remember them.

For example, create a phrase like “I hope the Giants will win the World Series in 2013!” Then, take the initials of each word and all numbers and symbols to create your password. So, that phrase would result in this: IhtGwwtWSi2013!

The next option is to use a password generator, which come in the form of offline programs and Web sites. The best choice here would be to use an offline generator, like the appropriately named Random Password Generator, so that your created passwords can’t be intercepted.

While you experiment with different passwords, use a tool like How Secure is my Password? to find out if it can withstand any cracking attempts. This particular Web site rates your password’s strength based on how long it would take to crack. If it’s too easy, the meter will let you know what elements you can add (or remove) to strengthen it.

how-1.png
Check the strength of your passwords at the How Secure Is My Password site, which indicates how difficult your password is to crack, and whether it’s on the site’s common-password list.Screenshot by Eric Franklin/CNET

Microsoft offers its own online strength checker, and promises that the form is completely secure. Macusers can use the built-in Password Assistant to check their passwords’ security.

Enable two-step-verification
Any time a service like Facebook or Gmail offers “two-step verification,” use it. When enabled, signing in will require you to also enter in a code that’s sent as a text message to your phone. Meaning, a hacker who isn’t in posession of your phone won’t be able to sign in, even if they know your password.

You only have to do this once for “recognized” computers and devices. Here’s how to set up two-step verification for many popular websites.

Keeping track of secure passwords

If you follow one of the most important commandments of passwords, you know that you absolutelymust have a unique password for every service you use. The logic is simple: if you recycle the same password (or a variation of it), and a hacker cracks one account, he or she will be able to access the rest of your accounts.

Obviously, you can’t be expected to memorize dozens of crazy, 16-character-long passwords.

This guide thoroughly explores the different options for managing your passwords, including things like storing them on a USB drive, and even writing them down. Although it’s ultimately up to you, he presents a strong argument for using the ol’ sticky note method.

Using a password manager
Password managers store all of your passwords for you and fill out your log-in forms so that you don’t have to do any memorizing. One of the most secure and intuitive password managers is LastPass.

lastpass-vault.png
The LastPass password vault in Chrome.LastPass Inc.

LastPass is unique in that it is made of two parts, coupling an offline program with a browser plug-in. All encryption and decryption happens on your computer so that your data doesn’t travel over the Internet and is not stored on any servers.

As you create new accounts or change your passwords, LastPass will ask you if you’d like to create them using its password generator, which is designed to generate hard-to-crack passwords.

If you choose those routes, you’ll still have to remember at least one thing: your master LastPass password. Do be sure to make it extra-secure and composed of at least 12 characters to ensure that it’s not vulnerable to any brute-force attacks.

It’s worth noting, however, that just like any software, LastPass is vulnerable to security breaches. In 2011, LastPass experienced a security breach , but users with strong master passwords were not affected.

Read More

Posted on Aug 7, 2014 in Noticias / News, Security Update

‘Hackers’ rusos roban miles de millones de cuentas

‘Hackers’ rusos roban miles de millones de cuentas

Source: Cnet

Una banda de ‘hackers’ rusos se hizo de más de 420,000 sitios web y FTPs, amasando millones de combinaciones de nombres de usuario y contraseñas.

¿Pensabas que el robo de datos de 110 millones de personas durante el hackeo de la minorista Target fue espantoso? Hold Security dice haber descubierto una brecha de seguridad hasta 10 veces más grande.

Durante los últimos siete meses, la empresa de seguridad ha estado trabajando para descubrir lo que dice ser posiblemente la mayor violación de datos conocida en la historia. Hold Security ha identificado un cybergang ruso que cree que robó 1,200 millones de combinaciones de nombre de usuario y contraseña y más de 500 millones de direcciones de correo electrónico.

“Ya seas un experto en tecnología o un tecnófobo, siempre y cuando tus datos están en algún lugar de la World Wide Web, puedes haber sido afectado por esta brecha,” Hold Security advirtió en un blog publicado el martes. “Tus datos no necesariamente han sido robado a ti directamente. Podrían haber sido robados a proveedores de servicios o bienes a quienes confías tu información personal, la de tus empleadores o incluso las de tus amigos y familiares.”

Los hackers no discriminaron en cuanto a qué tipos de sitios web fueron víctimas de esta infracción; aparentemente se fueron tras las empresas más conocidas, pero también contra sitios web de empresas pequeñas, según Hold Security. En total, se robaron información de más de 420,000 sitios web y FTPs.

La empresa aún no ha dado a conocer los nombres de estas empresas, porque dicen que dichos sitios pueden quedar vulnerables. “Ellos no sólo se dirigen a las grandes empresas, sino que se dirigen a cada sitio que visitaron sus víctimas,” Hold Security escribió en su blog.

“Con cientos de miles de sitios afectados, la lista incluye a muchos líderes en prácticamente todas las industrias en todo el mundo, así como una multitud de sitios web de pequeñas empresas o incluso personales.” Hold Security es conocido por revelar violaciones de datos masivos. Esta firma identificó, por ejemplo, un hackeo de octubre de 2013 en Adobe Systems que resultó en millones de IDs de clientes expuesto.

Pero esos hackeos son de poca monta si se comparan con las noticias más recientes. El cybergang ruso detrás de la violación no tiene un nombre, pero la firma de seguridad lo apodó “CyberVor.” Vor significa “ladrón” en ruso.

Inicialmente, CyberVor acumuló más de 4,500 millones de registros, pero muchos de éstos eran duplicados, por lo que la firma de seguridad redujo el número estimado a 1,200 millones de credenciales robadas.

Con la población mundial estimada en 7,000 millones de personas, una violación de 1,200 millones de cuentas significa que casi todos los adultos con email se vieron afectados por este último hackeo. Sin embargo, Hold Secutiry le está pidiendo a la gente a no entrar en pánico y, en cambio, les pide que pongan en marcha un plan para protegerse. Entre otras cosas, recomienda que los usuarios se registren a un servicio de monitoreo de identidad o a uno de protección de identidad. Y, obviamente, Hold Security está promoviendo en suyo propio que tiene un costo de US$120 por mes.

Read More

Posted on Jan 10, 2014 in Noticias / News, Security Update, Tips & Tutorials

Los 10 tipos de portales más peligrosos en Internet

Los 10 tipos de portales más peligrosos en Internet

El Vocero

Lo ideal es que visite sitios que ya sean conocidos y seguros, o aquellos que personas de confianza le recomienden

Recientemente se llevó a cabo un estudio para conocer los tipos de páginas web más utilizadas por los delincuentes en la red.

Dicho estudio se basó en el análisis de más de 600 mil sitios maliciosos. Con los resultados elaboró un ‘ranking’ con los 10 tipos de portales más utilizados por aquellas personas denominadas “cibercriminales”.

Por otro lado, Norton Safe Web elaboró una lista de los sitios que considera más peligrosos, entre los que se encuentran 17ebook.com, clicnews.com, gncr.org y mactep.org, entre otros…

Definitivamente, la erradicación de este tipo de delitos se encuentra en manos, tanto de los propietarios de dichas páginas de Internet como de los usuarios que las visitan, y es que se debe garantizar la seguridad dentro de los sitios web y adoptar prácticas y mecanismos, pero a su vez, también se deben tomar precauciones.

Así que si es una de las personas que busca siempre la seguridad en sus transacciones web, le invitamos a que conozcas los 10 contenidos más peligrosos en Internet.

Lo ideal es que visite sitios que ya sean conocidos y seguros, o aquellos que personas de confianza le recomienden.

Juegos: Aquellos portales en donde se ofrecen diversos juegos de manera gratuita representan el 3.2% de riesgo.

Educación: Con 3.5%, estos portales pueden convertirse en blanco fácil de los delincuentes.

Entretenimiento: Existen sitios en donde se ofrecen películas en línea, series y demás contenido multimedia de manera dudosa y gratuita; estos cuentan con el 3.9% de riesgo.

Viajes: Con 4.1%, no todos los portales con esta temática son seguros para los usuarios.

Salud: Con 4.6% de riesgo.

Blog: Con 5.7% de ciberdelitos.

Compras: Con 8.9% de fraudes y delitos.

Negocios: Con 11.5%.

Pornografía: Con un 13.4% y es que esta es la industria que genera grandes ingresos de manera legal e ilegal.

Tecnología y telecomunicaciones: Con un 15.8 %, pues los cibercriminales se aprovechan de los lanzamientos y la popularidad que tienen hoy los teléfonos inteligentes, las tabletas, las consolas y algunos otros ‘gadgets’ para llamar la atención de los usuarios.

Fuente: De10

Read More

Posted on Nov 26, 2013 in Gadgets, Noticias / News, Security Update, Tips & Tutorials

Guía práctica para proteger tu teléfono en caso de robo

Guía práctica para proteger tu teléfono en caso de robo

Fuente: por Kent German  @KentGerman de Cnet

Los robos de ‘smartphones’ están a la orden del día. Aquí te decimos qué hacer para asegurar tus dispositivos y evitar que caigan en manos de los amantes de lo ajeno.

magínate que vas en el metro, y estás tan feliz navegando la web, revisando tu Facebook o jugando Angry Birds en tu teléfono móvil cuando, de pronto, ¡paf! se abren las puertas de salida; alguien te arrebata tu teléfono de las manos y sale disparado. Pues desafortunadamente, eso ocurre más seguido de lo que imaginas.

De acuerdo con el Departamento de Policía de la ciudad de San Francisco (SFPD), más del 50 por ciento de los robos que ocurrieron en esa ciudad en 2012 tuvieron que ver con un smartphone, y eso que el SFPD solo lleva un récord de los crímenes que fueron reportados. Un ladrón puede hacer varias cosas con tu teléfono: puede quedárselo, tratar de venderlo a algún amigo o conocido o incluso venderlo en sitios como eBay. Otros incluso los contrabandean a otros países, donde los smartphones se venden como pan caliente.

Por eso es necesario que tomes todas las precauciones posibles para resguardar ya no tanto el teléfono, sino los datos que ahí guardas y puedas manejarlo una vez que te lo hayan robado. Antes de empezar, hay unas cuantas cosas que debes saber.

En este artículo dividí cada sistema operativo en dos partes: las funciones básicas de seguridad que vienen con los dispositivos para evitar el robo de datos, y otros servicios más sofisticados que sirven para rastrear y borrar los datos de un dispositivo. OJO: a propósito no incluí ninguna aplicación de terceros, que si bien sí existen, quiero enfocarme a las soluciones que ya existen en tu dispositivo o que sean endosadas por un proveedor del sistema operativo. En este artículo nos enfocaremos en dispositivos iOS, Android y Windows Phone.

Ten en cuenta que ninguna función de seguridad de 100 por ciento confiable. Un ladrón sofisticado con el equipo adecuado se las ingeniará para darle la vuelta a cualquier medida de seguridad y también es muy probable que lo use para venderlo por partes con ninguna intención de volverlo a usar. En cualquier caso, una contraseña no evitará que lo haga pedacitos.

iOS

Prevenir robo de datos y ‘hacking’ casual

Código de bloqueo. Puedes usar un número de 4 dígitos (una contraseña simple) o uno más complejo usando letras, números, mayúsculas, minúsculas, espacios y caracteres. Y, si lo prefieres, puedes activar una función en la que si metes mal una contraseña 10 veces, el teléfono será borrado. El iPhone 5S tiene las mismas funciones, pero además le agrega la seguridad de un lector de huellas dactilares.

Funciones de bloqueo de pantalla. iOS te puede dar acceso a ciertas funciones sin tener que escribir tu contraseña de desbloqueo. Aun cuando no tendrás acceso a información muy sensible, puedes usar funciones como Siri, hacer una llamada o mandar un SMS. Aunque esos atajos son muy convenientes, estarás más seguro si desactivas esa función.

Rastrear y borrar tu teléfono

Find My iPhone. Esta función te permite seguir, controlar y asegurar tu iPhone una vez que se ha perdido. Para usarla necesitas primero tener una cuenta en iCloud aunque no es necesario sincronizar todos tus datos como emails o contactos a la nube. Después de abrir tu cuenta en iCloud ve a la sección de configuraciones y haz clic para activar la función Find My iPhone.

iCloud Computadora
Una vez que hayas abierto una cuenta en iCloud, haz clic sobre la función Find My PhoneCrédito: Kent German/CNET

 Una vez que tu teléfono ha sido robado, lo primero es ir a iCloud.com o usar el app gratuita de Find My iPhone en otro dispositivo iOS. Ahí, podrás localizar tu teléfono en un mapa de Apple, pero solo si está conectado a una red celular o Wi-Fi pública. Si el teléfono está conectado a una red Wi-Fi escondida (una que no aparezca en la lista de redes disponibles en el dispositivo) podrías no encontrarlo.

Después de localizar tu teléfono y hacer clic en el icono, puedes hacer varias cosas. Puedes hacer que el teléfono toque un sonido a todo volumen durante dos minutos (no importa si está en modo “silencioso”). Si bien esto es muy útil cuando crees que perdiste tu teléfono en los cojines de la sala de tu casa, no te recomiendo usarlo si crees que lo robaron, pues eso solo va a poner furioso al malhechor. Puedes también borrar tu teléfono completamente, aunque esto es todavía prematuro. Primero trata de activar el modo Perdido (Lost Mode) tan pronto puedas. Esto te da más opciones para controlarlo y le da un nivel de seguridad más estricto.

FInd_my_iPhone_610x310.jpg

Esta es la interfaz online de Find My PhoneCrédito: Kent German/CNET

  Modo perdido

El Modo perdido (Lost Mode) te da más opciones para controlar tu dispositivo. Si no has asegurado tu teléfono con una contraseña, podrás seleccionar una simple de cuatro dígitos y bloquear la pantalla de manera remota. Otra cosa que puedes hacer es enviar un mensaje especial a la pantalla de tu teléfono que no puede ser borrado. Puedes poner lo que quieras, desde tu nombre y número telefónico, hasta un texto pequeño pidiendo que por favor te lo regresen.

Algunas aclaraciones

Recuerda que la función Find My iPhone solo funciona si tu dispositivo está en línea en alguna de las redes de tu proveedor de telefonía o en una red Wi-Fi. Si un ladrón lo apaga y/o logra activar el modo avión, no vas a poder encontrarlo. Puedes mandar comandos para borrar el dispositivo, bloquearlo y añadir un mensaje, pero esos comandos no funcionarán hasta que el teléfono vuelva a estar conectado.

Android

 

Prevenir robo de datos y ‘hacking’ casual

Puedes asegurar tu teléfono con un PIN numérico de cuatro a 17 dígitos, una contraseña sensible a las mayúsculas, números y caracteres (pero no espacios) o un “patrón”. Si usas un patrón, acuérdate de que un ladrón podrá determinar tu patrón de desbloqueo siguiendo las manchas de tus dedos en la pantalla. Limpia seguido tu pantalla. Los teléfonos Android que corren con el sistema Jelly Bean y más avanzado también tienen una función de desbloqueo con la cara. Esa función es divertida, pero puede ser menos segura. Además de un código de bloqueo, el nuevo HTC One Max tiene un lector de huellas digitales.

Bloqueo de pantalla. Al igual que iOS, Android te deja usar ciertas funcions desde la pantalla de bloqueo. La lista aquí es más pequeña: solo llamadas perdidas y una vista previa de textos perdidos. Pero debes desactivar el acceso en la página de seguridad del menú de configuraciones.

Rastrear y borrar tu teléfono

El Administrador de Dispositivo Android (Android Device Manager) funciona de manera similar a Find My iPhone y te deja controlar el dispositivo si te lo han robado. Activa esa función yendo al menú de Configuraciones de Google y elige Administración de Dispositivo Android.  Ahí, pon una palomita en las cajas para ubicar el dispositivo de forma remota y permitir bloqueo remoto y restablecer configuración de fábrica.

Android Robo.jpg

Crédito: Juan Garzón/CNET

    Para ubicar un dispositivo perdido, necesitas apuntarse al sitio Administrador de Dispositivo Android usando tu identificación de Google (nombre de usuario y contraseña). Luego ahí verás una lista de dispositivos conectados con esa cuenta. Si haces clic sobre cada cuenta, verás su ubicación en un mapa de Google. Por supuesto que el dispositivo debe estar conectado a una red celular o Wi-Fi público; si no, no vas a poder encontrarlo.

El siguiente juego de opciones incluye la habilidad de bloquear tu teléfono con un nuevo código, hacer que suene durante cinco minutos a todo volumen (incluso si está en modo silencioso) y borrar sus datos completamente. Aunque el Administrador de Dispositivo Android no tiene un modo perdido (Lost Mode) oficial como iOS, puedes tomar varias medidas de seguridad, aunque no podrás añadir un mensaje como lo permite iOS. Android tampoco tiene una función de Bloqueo de Activación (Activation Lock) pero sí está disponible a través de apps de terceros.

Bloqueo Facial
Estableciendo la función “Face Unlock” de AndroidCrédito: Kent German/CNET

 

 

Algunas Aclaraciones.

Al igual que con iOS, no vas a poder monitorear tu dispositivo si está apagado o fuera de línea. Si mandas cualquier comando al teléfono durante ese período solo se activarán cuando el teléfono vuelva a estar conectado. No vas a poder seguirle el rastro a tu teléfono después de que hayas borrado sus datos, pero sí podrás localizarlo si el ladrón cambia la tarjeta SIM. Otra cosa importante: no puedes borrar tarjetas microSD de manera remota, solo la memoria interna del teléfono. Así que ten mucho cuidado con lo que guardes en una tarjeta de memoria.

Windows Phone

Prevenir robo de datos y ‘hacking’ casual

Código de bloqueo. Aunque puedes bloquear tu teléfono con un PIN de cuatro a 16 dígitos, los usuarios de Exchange pueden añadir un código aparte para tener acceso a su email. Windows Phone no hace que las funciones sean accesibles desde una pantalla bloqueada.

Rastrear y borrar tu teléfono

Find My Phone. Como esta función está activa desde el momento en que empiezas a usar tu teléfono, no hay un proceso aparte para fijarla. Sin embargo, puedes elegir guardar la ubicación de tu teléfono periódicamente en los servidores de Microsoft bajo la opción Find My Phone en el menú de configuraciones. El hacer esto facilitará encontrar tu teléfono y rastrear sus movimientos. Si tu dispositivo ha sido robado, entra en WindowsPhone.com usando tu contraseña Microsoft ID, elige el dispositivo de un menú en la parte superior derecha de la pantalla y elige el ‘app’ “Find My Phone”. Microsoft no ofrece un app móvil para Find My Phone.

 

Encontrar telefono Windows Phone
La interfaz de Find My Phone es más simple, pero igual de útilCrédito: Kent German/CNET

 

 

 

Siempre y cuando tu teléfono tenga una conexión celular o esté conectado a una red Wi-Fi pública, verás un mapa de Bing mostrándote la ubicación aproximada de tu dispositivo. Puedes elegir varias opciones, como hacerlo sonar (aun si está en modo silencioso), borrarlo completamente y/o bloquearlo con un PIN. Si eliges bloquearlo con un PIN, tendrás también la opción de que suena mientras se bloquea y añadir un mensaje en la pantalla. Windows Phone no tiene nada comparable con el bloqueo de activación de Apple (Activation Lock).

Algunas aclaraciones

Una vez más, no podrás rastrear tu teléfono si no está conectado a una red. Pero si envías comandos al teléfono durante ese período de tiempo, estos comandos se activarán tan pronto el teléfono sea conectado nuevamente. También, si no puedes encontrar tu dispositivo de inmediato, el sistema de Microsoft continuará intentando localizarlo, lo cual te ayuda a que no estés refrescando la página constantemente. Además, si así lo deseas, Microsoft te mandará un email cuando logre localizar tu teléfono. Sin embargo, no podrás localizarlo si el ladrón le cambia la tarjeta SIM.

 

Windows Phone Email
Microsoft te mandará un email cuando encuentre tu teléfonoCrédito: Kent German/CNET

 

 

 

No hay un proceso inicial para establecer la seguridad de Windows Phone, lo cual es genial y tiene algo de lo que carece Android (un mensaje en pantalla y emails automáticos). Aún así, creemos que Microsoft debería ofrecer a sus usuarios un ‘app’ móvil para Find My Phone y su propia versión del Activation Lock de Apple.

Read More