Un principio básico de la seguridad de la información

-



Acabo de terminar de cancelar mi suscripción de hosting personal. La compañía en donde tenía el servicio acaba de imponer algunas reglas nuevas respecto de la contraseña del usuario. Estas son las nuevas reglas:

  • cambiar la contraseña cada 2 meses
  • usar más de 8 caracteres
  • usar al menos un número
  • no usar secuencias de caracteres, o sea no puede ir un “2” después de un “1”, ni una “h” antes de una “i”.
  • Tampoco puede contener secuencias de contraseñas anteriores, o sea si habías usado una secuencia como “ty62w” como parte de una contraseña, no puedes volver a utilizar “ty6”, ni “y62”, ni “62w” (lo habéis pillado)
  • Finalmente, no puede contener nombres, partes de tu correo electrónico, ni tu clave
¿Es esta una clave más segura? Sí, sin ninguna duda. Pero matemáticamente.   El problema es que las claves de seguridad no son para los ordenadores, sino para los seres humanos. Una clave con las políticas de seguridad como las descritas es mucho más insegura en manos de un ser humano normal. ¿por qué?   Porque se verá forzado a anotara. De lo contrario no la recordará, y si la recuerda la primera vez, la segunda o la tercera será imposible. Entonces claro, necesitaremos que nos recuperen la clave. En estas mismas condiciones ahora tienes una nueva condición, te validan quién eres, y para eso respondes a la pregunta secreta imposible de que alguien la descubra:
  • en qué ciudad naciste
  • o cuál es el apellido de tu madre
  • o cómo se llama tu mascota (sí la que todos vemos en Facebook)
He mencionado que si no cambias tu clave no te permiten acceder al panel de control o al servicio que tú pagas. Es de locos, buscando asegurar el sistema lo vulneran. Ahora tenemos las claves escritas y seguramente en algún archivo de nombre, eeehhh “claves”, o “contraseñas” (si no da igual, perderemos el archivo), y para cambiar la contraseña tenemos palabras del diccionario y que TODO el mundo conoce o puede encontrar.   

Lo anterior es negativo, produce más problemas de ciberseguridad y relacionados con el servicio y el Negocio:
  • insatisfacción del cliente
  • clientes perdiendo el tiempo recuperando contraseñas
  • clientes frustrados y diciendo “palabrotas” mientras intenta escribir una clave
  • finalmente, bajas, pérdidas de clientes
  • y toda la cadena de consecuencias posteriores
  Siempre hay una alternativa para los que ofrecen servicios por Internet y piensan buscar una solución complicando las cosas. Desconecta el servidor y a otra cosa.

Comentarios

Publicar un comentario

Entradas populares de este blog

Notificaciones Dehú ¿real o falsa? -Error de Ciberseguridad

-
Imagen
 Recibí un correo electrónico enviado desde una cuenta que nunca me había escrito: "noreply.dehu@correo.gob.es". Me indica que tengo una comunicación, y me pide que me dirija a la web: " dehu.redsara.es ".  Primero pensé que era un correo falso, es lo que ha de hacerse siempre, principalmente si lo recibes desde un email que jamás te ha escrito. Segundo porque de todo lo que se puede hacer mal, cómo iba a esperar que el gobierno cree una web sin el subnominio ".gob", eso sería alimentar las malas prácticas. Abrí la web para investigarla después de copiarla en texto, revisar la dirección, y la puse en un navegador seguro. Sorpresa, todo parece correcto. Incluso tiene un cartel que dice que se ha financiado con fondos Next Generation, que son los fondos para la recuperación económica, una página así no tiene sentido que se financie con estos fondos. Pues es real. Es un error de ciberseguridad. Yo le aconsejo que no crea jamás que una web que no lleve el &quo
post anteriores >>

El clavo que sobresale siempre recibe un martillazo

-
Imagen
Encontré esta imagen en el muro de Facebook de una amiga, lo compartí, otro amigo lo compartió de mi muro, pude ver que se había compartido más de 350 veces. Seguramente sólo el hecho de publicar la imagen es suficiente, pero me atrevo a comentarlo también. “es normal” me dijo un colega, después de que habíamos hecho un gran esfuerzo por conseguir algo para una asociación, “solo es posible atacar al que hace algo, los demás son anónimos” –continuó diciendo. Lo malo de la historia es que los clavos que están formados están conformes, y quien hace de martillo lo encuentra normal, digo es su trabajo. La pregunta es: ¿Qué hará el clavo después del golpe? Desde luego lo más sano y menos doloroso es quedarse como están los demás clavos, total si te vuelves a salir recibirás otro golpe. ¿Puedes convencer al martillo?
post anteriores >>

La diferencia entre Suministrador, Proveedor y Partner

-
Imagen
Algunas veces se usan las palabra suministrador, proveedor o partner como si fueran sinónimos, pero son diferentes conceptos aunque las tres se refieren a una organización externa que es parte de la cadena de producción. Antes de hacer referencia a la definición hablemos de qué tipo de recursos y bienes necesita una organización de otra externa. Sin importar si es una empresa privada, una empresa pública, una ONG, o cualquier otro tipo de organización; se necesitan terceros que proporcionen recursos para que la organización pueda construir sus propios servicios. ¿Qué tipos de recursos necesita la organización? Insumos y bienes generales: En la empresa se necesita papel, bolígrafos, grapas, tinta, café, carpetas, y otros insumos que son necesarios e importantes pero que quizá los empleados ni siquiera presten atención a la marca, de dónde vienen o dónde se almacenan. Hay otros posibles insumos y bienes como la electricidad, los teléfonos, Internet, quizá el metro y el autobús; estos
post anteriores >>