10 raons per les quals necessitem Contrasenyes segures

10 Raons per els quals Necessitem Contrasenyes segures

El passat 6 de maig, vam tenir un altre d’aquests dies internacionals, el Dia Mundial de les Contrasenyes, més enllà de ser un altre dia per celebrar, aquesta data ens permet recordar la importància de tenir contrasenyes realment segures, per protegir-nos davant de qualsevol temptativa d’intrusió en els nostres dispositius digitals i / o sistemes.

No oblidem que les contrasenyes protegeixen les nostres informacions, sobretot les més valuoses, com pot ser el contingut de les nostres comunicacions, els accessos als nostres dispositius i fins i tot el saldo de les nostres comptes bancaris.

No obstant això, la realitat és que tendim a ser negligents, a l’hora de crear les nostres contrasenyes, ja sigui perquè no entenem l’interès d’una contrasenya forta o perquè no sabem bé com crear-ne una de forma adequada. Sense oblidar que no és fàcil recordar moltes contrasenyes diferents i la cosa es complica quan hi ha l’obligació de canviar-les cada poc temps!

Aquí intentarem aclarir la importància que té disposar de contrasenyes segures; què cal fer per crear-ne una (o diverses) que realment protegeixin les nostres informacions i assegurar-nos que les contrasenyes que estem fent servir siguin realment segures.

1. Què és una clau d’accés o contrasenya?

El primer que hem d’entendre és en què consisteix una clau o Contrasenya. Es tracta d’una forma d’autenticació que fa servir informació secreta per controlar l’accés a algun recurs (dispositiu digital, compte de correu, accés als recursos i documents de la nostra empresa, tant propers com remots).

Per això la contrasenya ha de ser secreta, sobretot per aquells a qui no volem o no podem permetre l’accés. Som la primera línia de defensa per protegir els nostres comptes personals i d’empresa!

2. Riscos associats a l’ús d’una contrasenya insegura

Tenir una contrasenya insegura o massa senzilla d’endevinar, ens torna vulnerables. Els cibercriminals poden utilizar diversos programes per intentar descobrir les nostres contrasenyes, però també, podem ser víctimes del que s’anomena enginyeria social, aquesta pràctica té com a finalitat obtenir informació confidencial manipulant als usuaris.

Així que com més senzilla sigui la nostra contrasenya, més ràpidament podrà ser endevinada per persones malintencionades.

3. Quan podem considerar que una contrasenya és segura?

Perquè una contrasenya sigui considerada com a segura hem d’assegurar-nos que compleix els requisits:

• Que sigui llarga: Com més llarga sigui la nostra contrasenya, menys possibilitat tindrà d’ésser desxifrada en un lapse de temps curt. Qualsevol contrasenya pot ser desxifrada si es disposa de temps suficient, de manera que hem d’intentar dificultar-a el màxim.
• Ser complexa: Si el sistema ens ho permet, sempre hem d’incloure en la nostra contrasenya: lletres majúscules, minúscules, números i símbols, com ara signes de puntuació.
• Ser impersonal: En cap cas la nostra contrasenya ha d’estar relacionada amb nosaltres personalment: per la qual cosa hem d’evitar fer servir dates com l’aniversari del nostre fill, el nom d’algun parent o de la nostra mascota preferida, ni de qualsevol informació que es pugui associar fàcilment a nosaltres.
• Ser secreta: Mai, mai hem de compartir la nostra contrasenya amb ningú, amb l’única excepció de que sigui absolutament necessari.

En cas que la nostra contrasenya sigui descoberta, hem de procurar que el dany sigui mínim. Amb això en ment, a més a més dels requisits anteriors, podem afegir:

• Tenir una contrasenya única per a cada accés:Hem d’evitar fer servir la mateixa contrasenya per a més d’un compte.
• Mantenir-la sempre actualitzada: Canviar la nostra contrasenya amb regularitat.

4. Què puc posar en la meva contrasenya?

Està molt bé saber quins elements ens permeten considerar que la nostra contrasenya és segura, però això no ens aclareix què hem de posar en la nostra contrasenya perquè ho sigui?

Existeixen innombrables consells sobre com crear una contrasenya segura, aquí en llistem alguns dels que considerem més pertinents:

• Crear-la partir d’una frase: la idea és pensar en una frase que només tingui sentit per a nosaltres. Com per exemple: “Hi havia una vegada al país de l’oliva i el vi”, també podem usar un vers d’una cançó o el que se’ns acudeixi. Si fem servir la primera lletra de cada paraula, obtenim: “Hhuvapdoev” que ja compleix amb el requisit de longitud.
• Una altra variant és crear-a partir d’un conjunt de paraules sense aparent relació: per exemple escollim objectes relacionats amb la cuina, com: “cafetera banana finestra forn” i els fem servir tots enganxats: “Cafeterabananafinestraforn” o fer servir les dues primeres lletres de cada paraula: “Cabafifo”.
• Convertir algunes lletres en números: usualment es fa amb les vocals, però al ser conegut, no hem de dubtar en fer-ho també amb les consonants. Tornant a fer servir el primer exemple, es podria fer servir: “Euv3epd10uev”
• Sense vocals: reprenent l’exemple del conjunt de paraules, podem usar només les consonants de les paraules, o frase, que hem escollit: “Cftrbnnfnstrfrn”
• Paraules i números barrejats: aquesta és una altra opció, per fer la contrasenya el més impersonal possible, com: “Cafetera36banano98finestra010forn” (evitar els números a l’inici o final de la contrasenya)
• Paraules, números i signes barrejats: Ens permet anar fent la mateixa contrasenya cada vegada més complexa. Per exemple: “€Uv3*pd10uev”
• Prendre com a exemple una quadrícula de Sudokus: una altra bona opció és utilitzar una plantilla que ens permeti crear un sens fi de contrasenyes de forma ràpida i fàcil. Podem fer servir un sudoku ja resolt o crear-ne un des de zero. La idea és crear un traçat (com el que fas pel pin del mòbil), però amb més caràcters i, a partir d’aquest conjunt de números, crear les contrasenyes substituïnt alguns dels números per lletres (majúscules i minúscules) i signes o caràcters especials.

Recomanacions complementàries:

• Com més llarga i il·lògica sigui la nostra contrasenya, més segura serà.
• No hem de deixar cap espai dins de la contrasenya

5. Quin tipus de contrasenyes he d’evitar?

Ja hem vist com hem de construir la nostra contrasenya perquè sigui realment segura, però pot ser que pensem que la nostra contrasenya habitual ja no és segura i ens preguntem per què hauríem de canviar-la.

Com s’ha dit més amunt, els ciberdelinqüents tenen diferents mitjans per endevinar o tenir accés a les nostres contrasenyes “habituals”. Aquí tenim alguns tipus de contrasenyes que hem d’evitar:

• Dates de d’aniversari (el nostre o el de qualsevol dels nostres parents)
• Números de telèfon
• Informació de l’empresa (per exemple el seu NIF)
• Noms, incloent pel·lícules i equips esportius
• Simplement ofuscar una paraula comuna («Cl@v$e»)

Recordem que es tracta de dificultar la tasca de qui intenti accedir a les nostres informacions utilitzant els nostres accessos.

6. Per què he de canviar la contrasenya amb regularitat?

Cada vegada necessitem més contrasenyes per accedir a diferents llocs, tant per raons personals (banca en línia, reserva de classes al gimnàs, diverses webs, etc.) com professionals, la solució de facilitat està en escollir una contrasenya que, tot i que robusta, fem servir per a tot i indefinidament. Això és un greu error, ja que mai sabem si no hi ha algú intentant endevinar la nostra contrasenya per intentar suplantar en qualsevol accés.

Per evitar-ho el millor és canviar de contrasenya amb regularitat, segons la importància de les dades que volem protegir. El més habitual sol ser canviar la contrasenya cada 3 o 6 mesos, per als accessos d’importància mitjana i cada mes, quan es consideren més sensibles. Molts sistemes inclouen aquesta obligació de manera automàtica.

Així que canviar la nostra contrasenya amb regularitat, ens permet disminuir la probabilitat de que el nostre compte (o els nostres comptes) es vegin compromesos.

Tampoc ha de sorprendre que, a l’hora de crear una nova contrasenya, el sistema ens reclami confirmar-la. És a dir que ens demana escriure-la de nou (sense possibilitat d’usar la funció copiar-enganxar). La seva finalitat és verificar que hem escrit correctament la contrasenya dues vegades, el que ens ajuda a assegurar-nos que la recordarem.

7. Interès d’utilitzar un gestor de contrasenyes

Això de crear una contrasenya segura, vistes les recomanacions anteriors finalment no sembla tant complicat, però haver de canviar-la cada dos per tres resulta bastant més complicat, sense tenir en compte haver-ne d’inventar una diferent per a cada accés, cada pàgina web, etc. És una murga!

Si no ens agrada l’obligació de renovar les nostres contrasenyes o ens costa molt recordar-les, podem comptar amb els Gestors de contrasenyes com a solució per eliminar aquestes dificultats d’una sola vegada.

Un gestor de contrasenyes ens permet generar contrasenyes úniques, llargues, complexes i fàcils de canviar per tots els comptes, a més a més de subministrar-nos una solució d’emmagatzematge segur i xifrat per aquestes mateixes contrasenyes.

Hi ha diversitat de gestors de continguts, cadascú pot trobar el que millor li convingui. Si estem buscant aquest tipus d’eina, aquí podem trobar una bona comparativa. Entre els nombrosos avantatges que tenen el principal es que ens treuen de sobre l’obligació d’anar creant noves contrasenyes cada dos per tres, a més a més, les que genera són pràcticament impossibles de descodificar.

¿Què li podem demanar a un gestor de contrasenyes? Que sigui:

• Segur
• Fàcil d’utilitzar
• Que permeti organitzar tot tipus d’informació
• Que pugui bloquejar l’app després de cada ús (ens demani identificació a cada accés)
• Qye utilitzi l’empremta dactilar del mòbil
• Que generi contrasenyes segures
• Que es pugui sincronitzar amb d’altres dispositius
• Que permeti exportar / importar còpies de seguretat
• Que bloquegi captures de pantalla
• Que tingui connectivitat, per poder fer-les servir alhora
• Que el preu sigui factibke (actualment en podem trobar de gratuïtes o de subscripció mensual, però també d’un sol pagament)

8. Com aconsegueixen els ciberdelinqüents les nostres contrasenyes?

Malgrat totes les precaucions que puguem prendre, pot passar que persones malintencionades aconsegueixin la nostra contrasenya, com ho fan?

Entendre com els ciberdelinqüents intenten accedir a les nostres dades crítiques ens ajuda a evitar que la nostra informació es posi en perill. Les formes d’atac més habituals són:

• Atacs d’enginyeria social: Es tracta de guanyar-se la confiança de l’usuari, per exemple, suplantant la nostra d’identitat a través de correus electrònics i missatges de text, en què un ciberdelinqüent intenta enganyar altres usuaris perquè: proporcionin les seves credencials, facin clic a enllaços o arxius adjunts maliciosos o vagin a llocs web maliciosos. Últimament els exemples més sonats han intentat suplantar entitats bancàries o empreses de repartiment de paqueteria.
• Atacs a través del diccionari: Aquí l’atacant sol utilitzar una llista de paraules comunes, pròpies d’un diccionari, per intentar accedir a les contrasenyes, preveient que hi hagi usuaris que hagin utilitzat paraules comunes o contrasenyes curtes. En aquesta tècnica també s’hi inclou afegir números abans i / o després de les paraules comunes, ja que s’ha demostrat que no augmenta la complexitat de la contrasenya, ni la fa més difícil d’endevinar.
• Atacs de força bruta: En aquests casos, els ciberdelinqüents solen generar, de forma aleatòria, contrasenyes i conjunts de caràcters per endevinar, per insistència i repetició, les contrasenyes. És la major raó per la qual ens interessa tenir contrasenyes robustes, doncs a major robustesa, més temps es necessita per descobrir-la:

Font: HowSecureIsMyPassword.net

• Desintegració de contrasenyes: Variant de l’atac de força bruta, té com a objectiu múltiples comptes. En el cas de la desintegració de contrasenyes, la persona malintencionada només prova algunes de les contrasenyes més comunes, però en múltiples comptes, per així intentar identificar la persona que utilitza una contrasenya per defecte o fàcil d’endevinar.
• Keyloggers: Aquest tipus d’atac requereix la instal·lació d’un programari keylogger en el dispositiu digital de la víctima, això se sol aconseguir a través d’un atac de phishing (per email). Amb aquest procediment el cibercriminal pot capturar la forma en què la víctima prem les tecles del teclat, per aconseguir el seu nom d’usuari i les contrasenyes dels seus comptes.
• Interceptació de trànsit: Els ciberdelinqüents usen programari de rastreig de paquets (de dades) per supervisar i capturar el tràfic de xarxa que pugui contenir informació sobre les contrasenyes. En els casos en què el trànsit no estigui xifrat o utilitzi algoritmes de xifrat dèbils, es podrien aconseguir les contrasenyes amb relativa facilitat.
• Man-in-the-middle: també conegut com a atac intermediari En aquests casos el cibercriminal es col·loca en un punt intermedi entre un usuari i la pàgina web o l’aplicació que utilitzi o a la qual està ingressant. Sovint suplanta la identitat d’aquesta web o app. Això li permet capturar el nom d’usuari i la contrasenya que introdueix a la pàgina falsa. També passa que els atacs de phishing per correu electrònic porten a les víctimes, desprevingudes, a aquest tipus de llocs.

9. Mesures addicionals d’autenticació i protecció que poden adoptar els usuaris

Com hem pogut constatar al llarg de la nostra lectura, una sola línia de defensa no és suficient per mantenir a ratlla els ciberatacs. El millor per assegurar una major solidesa de les nostres eines de seguretat està en utilitzar múltiples tàctiques. Entre les quals podem destacar:

• Activar l’autenticació de dos passos (2FA): Permet verificar la nostra identitat afegint un segon factor d’autenticació, a més a més de la contrasenya del nostre compte. Actualment és el mètode que ofereix la major protecció, al comprovar la nostra identitat gràcies a més d’un mètode.

En què consisteix? Es tracta d’utiitzar, a més a més de la nostra contrasenya, una d’aquestes opcions:

• • Alguna dada que sapiguem: com un número de PIN, una contrasenya o un patró.
  • Algun element que tinguem: una targeta de dèbit o crèdit, un telèfon mòbil o un token de seguretat, com ara un token USB o un clauer remot.
  • Algun tret físic: és a dir d’identificació biomètrica, com l’empremta de veu o una empremta digital.

• • Autenticació multifactorial (MFA): Es tracta de confirmar la identitat dels usuaris afegint un pas més al procés d’autenticació, ja sigui mitjançant tokens físics o gràcies a aplicacions mòbils. Garanteix que, fins i tot, si una contrasenya es veu compromesa, els ciberdelinqüents no puguin accedir a la informació.
  • Single Sign-On (SSO): Sistema que permet a un usuari utilitzar un únic nom d’usuari i contrasenya, assegurances, en diverses aplicacions d’una mateixa organització.
  • Formació i educació en ciberseguretat: A mesura que les ciberamenaces evolucionen i es multipliquen, els cibercriminals segueixen desenvolupant noves tècniques per als seus atacs. Els usuaris hem de prendre consciència de la ciberseguretat, tant per a nosaltres mateixos com per a la nostra empresa, i informar-nos sobre l’estat de les amenaces.

    Una manera d’assegurar-nos que tots estem previnguts dels riscos de ciberseguretat, és posar en marxa formacions perquè tota la nostra plantilla estigui conscienciada dels riscos i la forma de prevenir-los. Així, a més a més, lluitem contra la bretxa d’habilitats en ciberseguretat.

10. Què pot fer Escuda per la teva empresa o organització?

A ESCUDA ens mantenim sempre alerta amb l’aparició de nous ciberriscos, desenvolupaments de programari, així com les millors pràctiques, per protegir i assegurar les dades dels nostres clients. Disposem d’eines que ens permeten revisar tots els sistemes de la teva empresa o organització, per ajudar-te a estar-ne segur de que tot el que estàs fent et permet mantenir-te fora de perill. No només es tracta de verificar l’estat de les vostres contrasenyes i la seva gestió, sinó també de la seguretat en general, tant dels dispositius digitals, com de les dades, incloent-hi les còpies de seguretat, sense oblidar-se de la conscienciació dels nostres equips amb la ciberseguretat.

Si penses que et podem ajudar i / o resoldre els teus interrogants sobre temes de seguretat TIC i / o ciberseguretat, no dubtis en contactar amb nosaltres, trucant al 931.931.848 o omplint aquest formulari.

Més informació:

Trucos para crear contraseñas seguras y fáciles de recordar

¿Cómo logra un hacker descifrar mi contraseña?

Decálogo para evitar que nuestras contraseñas se vean comprometidas

Tutorial: ¿cómo hacer una contraseña fuerte en tan solo un minuto?

‘123456’, la contraseña más usada este año

Los mejores gestores de contraseñas para Android: comparativa a fondo

Cómo ver tus contraseñas guardadas en Chrome desde cualquier dispositivo o navegador

Derechos digitales

Cómo proteger sus contraseñas

¿Sabías que el 90% de las contraseñas son vulnerables? | Oficina de Seguridad del Internauta (osi.es)

#escuda #Contrasenya #ContrasenyaSegura #ClaudAcces #Vulnerabilitat #EnginyeriaSocial #CambiarContrasenya #GestorDeContrasenyes #ciberdelinqüència #ciberdelinquents #ciberriescos #RiscCiber #Keyloggers #Maninthemiddle #Phishing #2FA #MFA