Etiqueta: password

Cómo utilizar la API de Android 8.0 Oreo para gestionar contraseñas

La API de Google permite que las aplicaciones actúen como proveedores de autocompletar en el nivel del sistema. Entonces, en lugar de abrir un administrador de contraseñas y copiar sus contraseñas, la aplicación simplemente puede autenticarse y completar la información automáticamente. Esta característica requiere cierta configuración, pero vale la pena dedicar ese tiempo.

Autocompletar era algo posible en las versiones anteriores de Android utilizando el servicio de accesibilidad, que permite a las aplicaciones ingresar texto y resaltar campos. Sin embargo, este proceso fue lento y extremadamente problemático. Rellenar contraseñas no es lo que fue diseñado para hacer.

El Smart Lock de Google llegó a Android en Nougat, y funcionó un poco mejor, pero la mayoría de los desarrolladores no agregaron soporte. Por lo tanto, la API de autocompletar se diseñó para facilitar el uso de los administradores de contraseñas.

No todas las aplicaciones de administrador de contraseñas funcionan con esta característica, pero la mayoría de las grandes anunciaron compatibilidad. 1Password, Dashlane y LastPass han agregado soporte para Oreo que puede probar ahora, pero todavía está técnicamente en beta para LastPass. Si no utiliza un administrador de contraseñas de terceros, es posible que aún pueda usar la función de autocompletar con el servicio de autocompletar propio de Google desde Chrome.

 

Cómo usar la API Autocompletar de Oreo

Las funciones de autocompletar de Oreo están desactivadas de manera predeterminada, y están bastante ocultas. Para habilitar la función de autocompletar, dirígete a la configuración principal de tu sistema y busca en Sistema> Idioma y entrada> Avanzado> Servicio de autocompletar. Solo puede tener uno activo a la vez, pero “Autocompletar con Google” está integrado en el sistema operativo. Cualquier otra aplicación que haya instalado con soporte para autocompletar también aparecerá en este menú.

La opción de Google obtiene nombres de usuario y contraseñas de Chrome. Eso significa que ya tendrá acceso a muchas credenciales de cuenta en Android si ha estado guardando cosas en Chrome en su escritorio. La primera vez que abre una aplicación con un campo de inicio de sesión nativo (no un marco web incrustado), aparece una ventana que le solicita que confirme su cuenta de Google para que pueda encontrar los inicios de sesión. Una lista desplegable de inicios de sesión coincidentes le permitirá elegir entre varias cuentas.

Si eliges una aplicación de terceros como LastPass, el paso de autenticación es diferente. Estas aplicaciones son un poco más seguras en función de la implementación temprana. Por ejemplo, LastPass hace que confirmes tu identidad con una huella digital (si está habilitada en la aplicación) o una contraseña de LastPass antes de que se autocomplete en otras aplicaciones. Al igual que la oferta de acciones de Google, estas aplicaciones tienen menús desplegables donde puede elegir entre todas las cuentas que coinciden antes de completar el nombre de usuario y la contraseña.

Se necesita un poco de configuración, pero nunca tendrá que preocuparse por copiar y pegar torpemente sus contraseñas largas y complejas en Android. Si no tiene contraseñas largas y complejas, puede comenzar a usarlas sabiendo que no tendrá que escribirlas a mano.

Ryan Whitwam

La medida de desaparecer las contraseñas es a largo plazo

El número de contraseñas en uso aumentará de los 75,000 millones que actualmente existen a las 100,000 para el año 2020, según un nuevo informe realizado por Cibersecurity Ventures.

El número de contraseñas utilizadas por las máquinas, como los dispositivos IoT, crecerá aún más rápido, pasando de los 15,000 millones existentes en 2015 a alrededor de 200,000 millones en 2020, de acuerdo con el estudio. Estas cifras no incluyen las contraseñas de un solo uso (OTP), cifrado SSL y otras credenciales de uso a corto plazo, tal como ha explicado Joseph Carson, director de alianzas estratégicas globales de Thycotic Software, la compañía que ha patrocinado este informe.

“Las contraseñas han estado a nuestro alrededor, literalmente, durante siglos”, afirma Carson, pero en los últimos años ha estado de moda predecir su muerte.

Bill Gates predijo la muerte de la contraseña durante una conferencia celebrada por RSA Security en 2004. En 2011, IBM sostuvo que las contraseñas serían reemplazadas por sistemas de seguridad biométricos y similares en cinco años. “Ahora han pasado años desde que se hicieron esas declaraciones y las contraseñas aún tienen un uso intenso”, apunta Carson.

La autenticación biométrica ha sido hasta ahora un complemento de las contraseñas, no un reemplazo. “La biometría se utiliza para facilitar el acceso a los sistemas, pero las contraseñas se utilizan para establecer la relación de confianza inicial. La biometría nunca reemplazará a las contraseñas”, sostiene el directivo de Thycotic Software.

Estas cifras proceden de estadísticas globales sobre el número total de ordenadores, sistemas operativos, servidores, routers y otras tecnologías y aplicaciones que vienen con contraseñas o requieren que los usuarios las creen para poder utilizarlas.

De acuerdo con Carson, el usuario medio tiene 25 o más contraseñas, y el crecimiento de estas se está acelerando a un ritmo masivo.

Como consecuencia, la utilización y reutilización de contraseñas está creando una superficie de ataque cada vez mayor. El año pasado se produjo un récord en el robo de cuentas entre 3,000 millones de brechas. Tres de cada siete personas han sufrido al menos un robo de contraseña o credencial.

Según Joseph Carson, los daños financieros causados por las infracciones también seguirán aumentando. Thycotic y Cybersecurity Ventures estiman que los daños potenciales generados por el cibercrimen alcanzarán los 6,000 millones de dólares en 2021.

Maria Korolov

 

Inbursa, primero en implementar reconocimiento biométrico facial en México

Stratus Technologies, anunció la implementación de la primera solución de reconocimiento biométrico facial para el Banco Inbursa, donde los usuarios podrán acceder a todos los servicios financieros tomándose una Selfie como único método de identificación, eliminando la necesidad de usar un pasword o cualquier otro método de autenticación.

FacePhi desarrolló una aplicación de identificación biométrica, la cual utiliza una Selfie como método de autenticación para ingresar desde dispositivos móviles, tabletas o a través del portal del banco a todos los servicios financieros en cuestión de segundos, utiliza algoritmos de biometría facial e inteligencia artificial que viajan por la red encriptados y se comparan contra el patrón matemático que se mantiene resguardado en los servidores del banco para hacer una comparación uno a uno y garantizar la seguridad y acceso del usuario, aún si usa gorra, lentes, maquillaje o si ha subido de peso entre otros métodos.

Con esta implementación, México se suma a los más de nueve bancos en América Latina que ya lo usan, al usar la aplicación en un par de minutos se hace el registro facial y activa la aplicación como método único de acceso, eliminando passwords o cualquier otro método de autenticación como Tokens.

La aplicación traza un mapa topológico de la cara y la transforma en un patrón matemático de solo 6k que es validado por el banco y en 38 milisegundos se certifica al usuario, para accesar a los servicios bancarios de manera segura.

Juan Pablo González Director General de Moneta Technologies, señaló, “nos enorgullece que Banco Inbursa sea pionero en el uso de la tecnología FacePhi que ha demostrado su sencillez, seguridad y abre un mundo de posibilidades para experimentar una banca moderna y eficiente”.

Stratus Technologies México será la empresa responsable de la implementación de FacePhi, y en las siguientes semanas ya estará disponible para los usuarios del banco, se destacó en un comunicado.

Redacción

Cinco aspectos clave de los gestores de contraseñas

Los casos donde se han infiltrado en los sistemas de las empresas se ven todas las semanas en las noticias, pero, aun así, muchas personas siguen utilizando contraseñas débiles, y peor aún, las utilizan para todas sus cuentas. Una encuesta reciente, la mayoría de los ataques a una empresa se dan en el puesto de trabajo por un mal uso de este, por lo que contar con unos empleados cautos e informados es vital para una buena protección.

Es normal no poder crear y recordar una lista de contraseñas complicadas para las diferentes cuentas que se tengan que manejar, por esta razón se crearon los gestores de contraseñas. Estas son las claves de los gestores para sacarle el máximo provecho:

La variedad es importante

Cuando se filtran las contraseñas es inevitable para todos aquellos que tomen parte en el mundo digital. Por ello lo más aconsejable es limitar el daño que se puede causar en el momento de filtrarse. Los gestores ayudan mucho en este aspecto y pueden utilizarse fácilmente y sin riesgo desde la mayoría de los navegadores.

La complejidad de la contraseña

La mayoría de los gestores pueden crear contraseñas complejas por una razón: los sitios web pueden, por regla general, aplicar prácticas criptográficas a las contraseñas mediante la representación del símbolo del asterisco, pero esos símbolos pueden hackearse también; cuanto más compleja es una contraseña, menos posibilidades hay de que puedan robarla.

Por supuesto, también habrá cuentas en las que sí es importante recordar la contraseña, como por ejemplo el correo, cuando sucede esto es aconsejable crear frases con mayúsculas y minúsculas (lo que también aportará fortaleza a la contraseña, aunque no se utilicen combinaciones aleatorias). Para el resto de las cuentas, apuesta por un gestor.

Offline vs Online

Los gestores de contraseñas emplean una variedad de modelos seguros. Algunos son offline, como KeePass, Password Safe o Enpass, por lo que no sincronizan su información en los diferentes dispositivos (sino que cada vez que cambies la contraseña debes encargarte tú de mover los datos nuevos cifrados, otros servicios gestores de contraseñas son LastPass, Dashlane o 1Password se sincronizan automáticamente a través de todos los dispositivos, algunas incluso te permiten el acceso directo a la web.

Si eliges un servicio con implementaciones, es importante prestar atención a la arquitectura para saber que descifra la base de datos de forma local en el interior de la aplicación o el navegador, sin tener que compartir la clave con el proveedor del servicio.

No confiar solo en una clave maestra

Proteger todas tus contraseñas con una sola clave crea un punto débil que puede hacer peligrar todas las cuentas. Lo mejor es utilizar un sistema de autentificación doble (en el que se exige un código que se envía por SMS o se genera por medio del Google’s Authenticator). Antes de empezar a emplear un gestor de contraseñas es necesario comprobar estas funciones y activarlas.

Utiliza todas las funciones de seguridad posible

Por ejemplo, algunos gestores te ofrecen la opción de salir de la sesión después de un periodo de inactividad, una opción muy útil en especial cuando se comparte ordenador. También es mejor no etiquetar dispositivos como de confianza, porque en muchos casos desactiva la doble autentificación en ese aparato.

Verificación de identidad mediante selfies, la propuesta de Mastercard

Las selfies se ha convertido en un modo muy popular de guardar un recuerdo, pero ¿una selfie para verificar la identidad del usuario cuando realiza compras online? Esta es la propuesta en la que Marstercard afirmó estar trabajando, misma que podría representar un fin para las contraseñas.

Con la aplicación de verificación de identidad con la que la compañía bancaria está trabajando se manejaría con base en selfies, haciendo un reconocimiento biométrico, los usuarios sólo tendrán que parpadear ante la cámara para que ésta les tome una selfie y dé paso al momento de identificación. Con esta nueva estrategia Mastercard quiere evitar problemas de seguridad que arrean métodos tradicionales, como las contraseñas, usando una fotografía para identificar al usuario.

Pero este método no sería el único con el que el usuario se podría identificar para realizar una transacción. Los usuarios también podrán utilizar otros métodos, como los sensores de huella digital que ya son tendencia en la mayoría de los smartphones de gama alta. Sin embargo, la aplicación con identificación mediante selfies representa una alternativa segura y confiable para aquellos dispositivos que no cuentan con estos sistemas de identificación biométrica, así como para sitios webs que tampoco incorporan  esta opción. Para los responsables de Mastercard, esta aplicación será la nueva manera, más segura, de transmitir datos que evitará que sean robados o utilizados por hackers.

Con esta nueva aplicación, la empresa de pagos pretende conseguir un método de identificación más eficaz. Según datos aportados por la BBC, los fraudes que afectan a las tarjetas de crédito derivan en unas tasas más altas para los comerciantes. Esta solución podría representar una importante reducción de dichas tasas, especialmente cuando se trata de fraudes.

Mastercard utilizará también la nueva verificación en casos en que se sospeche que las transacciones puedan ser fraudulentas. Actualmente, la compañía requiere una confirmación a través de contraseña por parte del usuario pero con la nueva app, aquellos que la tengan descargada en sus dispositivos sólo tendrán que tomarse una selfie para confirmar la transacción.

Aunque por el momento la aplicación está en modo de prueba, se estima que podría estar disponible de manera inicial para países como Estados Unidos, Reino Unido, Canadá, Holanda, Bélgica, Italia, España, Alemania, Suiza, Noruega, Suecia y Dinamarca. Al adoptar éxito en estos países, se expenderá al globo.

La era de las contraseñas está por llegar a su fin

Las contraseñas son restos de los primeros días de la era de la información, al menos así lo señala Blue Coat Systems, además de agregar que son controles superficiales que no hacen más que crear la ilusión de seguridad, hasta que ocurre un ataque que la elimine. Las contraseñas cortas son fáciles de recordar y fáciles de descifrar; las contraseñas largas son más difíciles de recordar, pero sólo un poco más difíciles  de desarticular, sobre todo con el poder de la informática que se maneja hoy en día y las herramientas de cracking especializadas.

Sin embargo, muchas organizaciones todavía almacenan passwords de  empleados y clientes en algún documento, lo que significa que si el archivo es robado, en realidad no importa cuantos caracteres especiales se utilizaron. Se dice  que son más seguras las contraseñas más largas y las frases con letras mayúsculas y minúsculas, números y caracteres especiales. Y se podría argumentar que esto es cierto, pero también se podría argumentar que son sólo un poco mejores, y que esta  ligera diferencia se está convirtiendo en algo totalmente irrelevante. El volumen, la velocidad, la variedad y el vigor de los atacantes maliciosos; como ciberdelincuentes con actividades lucrativas , activistas con motivos políticos, y los estados-naciones con su interminable suministro de herramientas, malware y técnicas, hacen que tratar de proteger las contraseñas sea una responsabilidad abrumadora para cualquier organización. Sería como tener  un guardia de seguridad en un banco  tratando de detener un ejército invasor con nada más que un par de sacos de arena y un revólver.

Parece que con los avances tecnológicos, descubrimos mayores problemas en cuanto a la protección de nuestra información y lo hacemos de manera más lenta.

 

Existen algunas buenas prácticas que podemos utilizar para mantener nuestras cuentas seguras:

Autenticación robusta. Utiliza soluciones de autenticación más robustas que aprovechen las capacidades de tu Smartphone (la aplicación Google Authenticator para Gmail es una buena recomendación), impresiones biométricas y de reconocimiento de voz / facial.

Permite la comucicación entre dispositivos. Cuando eso no es posible, utiliza una herramienta de gestión de contraseñas que se sincronice entre todos tus dispositivos. Ésta creará contraseñas únicas,  y diferentes  que nunca necesitarás recordar y serán fáciles de cambiar con frecuencia para casi todos tus sitios favoritos.

Cuidado con el phishing. Si recibes un correo electrónico de una “empresa” o persona que te pide que alteres tu cuenta, nunca hagas clic en el enlace. Hay una buena probabilidad de que sea una especie de ataque de phishing. Si la URL del enlace parece que podría ser legítima, pero no estás seguro, navega directamente  al sitio para confirmar su validez.

Desafortunadamente, demasiadas personas simplemente ignoran los signos de un ataque o el ser víctimas de una estafa o robo de datos. Incluso sin ninguna  acción por parte del usuario final, y utilizando aparentes  contraseñas “fuertes”, la información de la persona  puede ser robada.

Las empresas que detecten alguna vulnerabilidad o ataque a sus cuentas deberán  resetear sus passwords en automático, avisar a los usuarios por qué  se realizó este cambio de contraseñas e idealmente utilizar herramientas  de seguridad más robustas en  el futuro

 

-Comunicado de Prensa.

¿Cómo balancear la seguridad entre expertos e inexpertos?

seguridad_data

Entre ambos grupos tienen como prioridad la protección mediante contraseñas, a pesar de que lo hacen de forma diferente. Cerca del 73% de los expertos confían en gran medida en los administradores de contraseñas que las guardan en automático y están en un sólo lugar, por otro lado el 24% de los no expertos aplican esta medida de seguridad.

Diferencias entre grupos

Aunque la diferencia de porcentajes es casi del 50%, se estima que el 35% de los expertos y el 2% de los no expertos coinciden que instalar actualizaciones de software es su principal actividad de seguridad, los expertos reconocen que hay ventajas si se actualiza.

Este apartado no lo tienen claro los expertos, además se muestran preocupados sobre los riesgos de seguridad que se pueden tener al actualizar cualquier programa.

Con un 42% del grupo de los no expertos junto con un 7% de los expertos afirman que usar algún antivirus es uno de los principales mecanismos para que sus equipos se mantuvieran seguros mientras navegaban por internet. Los expertos según estima Google, saben de los beneficios que se tienen al tener un antivirus, pero también se expresó preocupación por dicho software tenga la capacidad de proteger al usuario al tener una nula protección de seguridad en equipos ya que no contar con el antivirus no es una solución confiable.

-R. Alonso

Cómo prevenir el efecto dominó en los ataques informáticos

internet_passwordLa debilidad de las contraseñas de muchos usuarios es una de las principales puertas de entrada a sistemas y cuentas online. Los piratas lo saben y lo aprovechan para iniciar ataques en cadena que podrían evitarse con una simple autenticación de doble factor. Es el denominado efecto dominó.

 

Muchos usuarios utilizan la misma información y contraseñas en diferentes cuentas de correo electrónico o sitios web, lo que resulta un punto débil que los atacantes pueden explotar, incluso cuando los sitios y servicios utilizan protocolos de seguridad secundarios y autenticación de doble factor.
Por ejemplo, las páginas web suelen pedir una cuenta de correo alternativa, por si existe un problema con la principal. Asegurar esa cuenta no suele ser una prioridad, y un extraño puede acceder a ella fácilmente, lo que les permitirá desbloquear el resto de nuestros accesos a cuentas. Es lo que se denomina efecto dominó.
Por eso, es conveniente tener unas contraseñas lo más seguras posibles. Los expertos sugieren emplear un programa de gestión de contraseñas, para ayudar a almacenar y mantener passwords complejas y difíciles de recordar.

 

Además, cuando un usuario se registra en cualquier sitio, se aconseja el uso de información falsa para responder a las preguntas de seguridad secundarias. Si la pregunta es ¿cuál es la calle en la que creciste? Debería responderse con un juego de palabras sin sentido del tipo “extraños paparazzi”.

 

Estos simples consejos vienen a colación porque la mayoría de la información que utilizamos en esas preguntas de seguridad la compartimos en diferentes redes sociales. El nombre de nuestra mascota, colegio, ciudad natal, nombre de los padres o pareja, son de sobra conocidos.
Y hay que recordar que sólo es necesario un punto débil para poner en peligro nuestra seguridad.

 

Tony Bradley, PCWorld

Consejos prácticos para prevenir el “efecto dominó” en los ataques informáticos

Efecto dominóLa debilidad de las contraseñas de muchos usuarios es una de las principales puertas de entrada a sistemas y cuentas online. Los piratas lo saben y lo aprovechan para iniciar ataques en cadena que podrían evitarse con una simple autenticación de doble factor. Es el denominado “efecto dominó”.

Muchos usuarios utilizan la misma información y contraseñas en diferentes cuentas de correo electrónico o sitios web, lo que resulta un punto débil que los atacantes pueden explotar, incluso cuando los sites y servicios utilizan protocolos de seguridad secundarios y autenticación de doble factor.

Por ejemplo, los sitios web suelen pedir una cuenta de correo alternativa, por si existe un problema con la principal. Asegurar esa cuenta no suele ser una prioridad, y un extraño puede acceder a ella fácilmente, lo que les permitirá desbloquear el resto de nuestros accesos a cuentas. Es lo que se denomina efecto dominó.

Por eso, es conveniente tener unas contraseñas lo más seguras posibles. Los expertos sugieren emplear un programa para administrar contraseñas, para ayudar a almacenar y mantener passwords complejos y difíciles de recordar.

Además, cuando un usuario se registra en un sitio web, se aconseja el uso de información falsa para responder a las preguntas de seguridad secundarias. Si la pregunta es “¿cuál es la calle en la que creciste?”, debería responderse con un juego de palabras sin sentido del tipo “extraños paparazzi”.

Estos simples consejos vienen a colación porque la mayoría de la información que utilizamos en esas preguntas de seguridad la compartimos en diferentes redes sociales. El nombre de nuestra mascota, escuela, ciudad natal, nombre de los padres o pareja, son de sobra conocidos.

Y hay que recordar que sólo es necesario un punto débil para poner en peligro nuestra seguridad.