martes, 29 de enero de 2013

LAS CONTRASEÑAS "SEGURAS" NO GARANTIZAN LA SEGURIDAD DIGITAL


Usar contraseñas seguras y diferentes en los servicios online que utilizan los usuarios es una medida que no garantiza la seguridad total. Una contraseña no puede certificar la seguridad de la vida digital de los usuarios.


Así lo ha asegurado el director técnico de Panda Labs, Luis Corrons, en un documento en el que ha abordado la seguridad de las claves que utilizan los usuarios cuando se sumergen en el universo Internet.

En el documento, la compañía segura que la mayoría de usuarios aún emplean la misma contraseña para todos los servicios online -Facebook, Twitter, PayPal, eBay, Amazon, Google-. Incluso, muchos de ellos componen una clave a partir de información personal o eligen unos caracteres sencillos para recordarla fácilmente -12345, asdf, contraseña-, lo que puede llegar a ser peor.

"Esto no quiere decir que las contraseñas no sirvan para nada. Es la primera capa de seguridad, y como tal es importante y hoy día es la única forma de autentificarse en la mayoría de los sitios". Pese a esto, actualmente, y desde hace varios años, hay servicios que ofrecen una doble autenticación a partir de dos factores de autenticación.

"Puedes pensar que la técnica de dos factores de autenticación es el santo grial. Pero lamentablemente no lo es", afirma Corrons. Esto es así porque, pese a mejorar la seguridad, se han dado casos en los que ataques eluden estas medidas, teniendo a los troyanos bancarios como el mayor ejemplo en este ámbito.

Un método utilizado como segundo factor de autenticación hardware es el RSA SecurID y Google está preparando un informe de investigación que propondrá nuevas formas de mejora de validación del usuario.

Una aproximación podría involucrar la autenticación biométrica -reconocimiento de huellas dactilares, voz o rasgos faciales- lo que podría evitar el tener que usar contraseñas complejas y difíciles de recordar. De hecho, muchos 'smartphones' tienen la capacidad de reconocer a su dueño a través de este tipo de sistemas.

Según Panda Labs, algunos usuarios podrían "entrar en pánico" al pensar en este tipo de autenticación. Sin embargo, la autenticación biométrica no significa que el usuario tenga que escanear su huella dactilar y enviarla a Facebook o cualquier otro sitio al que quiera acceder. "No existe el sistema perfecto, y cualquier cosa que utilicemos tiene que ser traducida a código binario", expresa Corrons.

De la misma forma que la mejor estrategia con contraseñas es aquella donde la página web no almacena una contraseña, sino que guarda un 'salted hash' de ella, no debería tener que enviarse ninguna información biométrica personal.

No hay comentarios:

Publicar un comentario