Si alguien obtuviera una de sus contraseñas, ¿cuánto daño podrían causar?

¿A mí en particular?

No mucho.

¿Para el usuario promedio de Internet?

De “bastante” a “desastre”.

Permítanme explicar por qué: Sé que esto puede sonar bastante arrogante, pero tengan paciencia conmigo.

Ingrese los caracteres;

Bob: es nuestro usuario promedio de Internet
Charlie – Él es el malo, deambulando por el buscador de Internet de cualquier cosa que pueda generarle ganancias.

Bob usa una contraseña para todo: Google, Yahoo, el sitio web de la compañía en la que trabaja, un sitio de citas, Facebook, Amazon, etc.

La mayoría de las veces esta contraseña es tan estúpidamente débil que Charlie simplemente puede adivinarla. Hay investigadores que monitorean este tipo de cosas y cada año, cuando se escriben artículos como este, las 10 contraseñas más utilizadas son siempre poco convincentes: contraseña, 123456, qwerty, fútbol …

Tenga en cuenta: si usa cualquiera de esos como su contraseña para ALGO, deje de leer esto, ¡vaya y cámbielo! ¡Ahora!

Sin embargo, en aras de la discusión, supongamos que Bob utiliza una contraseña segura, pero siempre la misma en todos los sitios.

Un día, Charlie maneja el descanso en el sitio de una compañía muy famosa (sí, esto sucede con mucha más frecuencia de la que debería, si no lo cree solo google “fuga de contraseña de Adobe”) y obtiene los correos electrónicos y contraseñas de miles de usuarios .

Entre esas miles de cuentas se encuentra esta línea de texto:

usuario: [correo electrónico protegido] # contraseña: Contraseña muy complicada

¿Que pasa ahora? Nuestro Charlie probablemente intentará acceder [correo electrónico protegido] con la contraseña encontrada. Como Bob usa la misma contraseña (aunque segura) en todos los sitios web, Charlie ahora tiene acceso completo al correo de Bob.

Ahora, si está pensando “Te tengo: mi correo electrónico tiene uno diferente; sí, otras cuentas comparten la misma contraseña, ¡pero no el correo electrónico!” no estés tan contento: si Charlie no puede acceder al correo electrónico con esa combinación de correo electrónico y contraseña, seguramente intentará usarlo en algunos sitios populares (Facebook, Google, LinkedIn …) y accederá a cualquier cuenta que tenga Bob registrado en esos sitios web.

Ah, y si estás pensando “Sí, sí, lo entiendo, ¡pero esa es una cuenta entre miles!” Lo siento, pero es extremadamente fácil configurar un bot (un programa) que verifica todas esas contraseñas automáticamente . Además, Charlie podría decidir no hacer esto directamente, en lugar de venderlo a otra persona con más tiempo y recursos (sí, esto sucede con mucha frecuencia).

Ahora, si Charlie tiene acceso a la cuenta de correo electrónico de Bob, puede usarla libremente para hacerse pasar por Bob, pero lo más importante es que puede leer todos los correos electrónicos antiguos y averiguar a qué sitios se ha suscrito Bob. Si la contraseña es la misma para esos sitios, bueno, ahora Charlie tiene acceso completo a la vida digital de Bob . Puede actuar en lugar de Bob y todo lo que hace mientras está conectado, ya que Bob estará bajo la responsabilidad de Bob.

Además, al tener acceso a los correos electrónicos de Bob, simplemente puede usar la opción “Olvidé mi contraseña” en cualquier sitio web y recibir un enlace de restablecimiento agradable enviado al correo electrónico de Bob.

Ahora Charlie puede hacer varias cosas:

  • sé un troll : escribe mensajes estúpidos en la cuenta de Facebook de Bob, juega con sus cuentas, borra sus documentos en Google Drive, etc. Esto no es tan difícil de detectar y causa un daño medio-alto;
  • Sea un ladrón silencioso : lea todos sus correos electrónicos e intente recopilar la mayor cantidad de información (contraseñas, intereses, números de tarjetas de crédito, contactos …) sobre Bob sin modificar nada para que Bob no lo sepa. Esto puede ser difícil de detectar, pero es extremadamente peligroso: podría robar todo lo demás para recopilar información personal que luego podría utilizar para preparar un ataque de phishing extremadamente efectivo para obtener acceso a alguna cuenta importante como la banca en el hogar;
  • sé un ladrón ruidoso : intenta robar literalmente las cuentas de Bob, moviéndolas a su propio correo electrónico, dejando a Bob sin control sobre ellas. Este no es un movimiento muy inteligente, ya que es muy fácil de detectar.
  • espera Puede esperar la ocasión correcta y atraparla cuando llegue. Ya sea una tarjeta de crédito en un correo electrónico o una contraseña u otra cosa. Esto también puede ser peligroso.

Sin embargo, hay algunas cosas que deben tenerse en cuenta:

  • Los sitios más importantes (Google, Microsoft, Facebook …) ofrecen características como notificaciones como “enviarme un correo electrónico cuando alguien acceda a mi cuenta desde una nueva ubicación”. De esta manera, Charlie puede tener acceso, pero Bob es notificado de inmediato y puede tomar contramedidas;
  • algunos sitios también ofrecen ” autenticación de dos factores “. Cuando inicia sesión, necesita un nombre de usuario, contraseña Y un número aleatorio enviado a su teléfono. Charlie no puede iniciar sesión sin acceso directo al teléfono de Bob (que es mucho más difícil que adivinar una contraseña). La mayoría de los bancos incluso le dan a sus clientes un “token de seguridad digital” (token de seguridad) para acceder a su cuenta de banca electrónica.

Entonces, si todo esto puede suceder si solo se pierde una contraseña, ¿cómo puedo estar tan seguro de mi seguridad?

  1. Utilizo un número de contraseñas, símbolos y letras generadas aleatoriamente diferentes de 14-20 caracteres de largo para cada sitio que no uso con tanta frecuencia;
  2. Para los sitios que requieren que ingrese la contraseña con bastante frecuencia (Google …) utilizo contraseñas de 14-20 caracteres de longitud que puedo recordar fácilmente (¿Cómo? Tome la frase “¡Esta clave es perfectamente segura para este sitio! Nadie lo adivinará nunca” => Tk1P54tS! NooneW3g1 Esta contraseña se puede recordar, pero es casi imposible de adivinar)
  3. Guardo esas contraseñas en un administrador de contraseñasno en un documento en mi escritorio! )
  4. Protejo el administrador de contraseñas con autenticación de dos factores y otra contraseña de 20 caracteres que puedo recordar fácilmente
  5. Utilizo autenticación de dos factores en cualquier sitio donde esté disponible
  6. Estoy atento a las notificaciones de personas que intentan acceder a mis cuentas

¡Cuidate! ¡Es una World Wild Web por ahí!

Related Content

¿Qué es un honeypot en seguridad de internet? ¿Y cómo podemos instalarlo y usarlo?

¿Cuáles son los beneficios de tomar un curso CompTIA Network +?

¿Cuál es la mejor aplicación de autenticación de dos factores: Duo Security o Authy?

¿Kali Linux tiene RDP disponible? ¿Cómo edito esa configuración si es así?

Cómo equilibrar el riesgo inherente de ciber ofensivo

La magnitud del daño infligido a usted puede variar dependiendo de varios factores como (pero no se limita a):

  1. El número de cuentas donde usa esa contraseña en particular. Si lo usa en todas sus cuentas, es solo cuestión de tiempo antes de que vea el gran daño que causa en esas cuentas.
  2. El nivel (o contexto de uso) de la aplicación donde usa esa contraseña. Por ejemplo, si lo usa en Last Pass (administrador de contraseñas), todas las cuentas en esta aplicación probablemente se verían comprometidas.
  3. El nivel de privilegio de su cuenta con esa contraseña robada. Si utiliza esta contraseña como administrador de un sistema en su empresa, el nivel de daño sería muy perjudicial no solo para usted, sino también para su empresa.
  4. Configuración. Si no utiliza dos factores o algún otro medio de protección multicanal para compensar el control, entonces, el riesgo de tener una cuenta comprometida es mayor en comparación con la implementación de dichos controles.

Puede poner el nivel de daño en contexto con respecto a estos factores.

Mattia Campagnano

Depende de a qué contraseña tienen acceso también y de cuántos lugares está usando esa contraseña.

Deje que las fuerzas del libre mercado le digan cuánto daño puede hacerse.

Hay diferentes valores asignados a cada tipo de contraseña en la comunidad de hackers.

En 2013, Brian Krebs enumeró los valores como este para cada cuenta que no es de correo electrónico. (El valor de una cuenta de correo electrónico pirateada)

  1. iTunes $ 8
  2. Fedex, Continental, unidos $ 6
  3. Groupon $ 5
  4. GoDaddy, att, Sprint, Verizonwireless, tmobile $ 4
  5. Facebook Twitter $ 2.5

El valor de la cuenta de correo electrónico depende de cuántos lugares puede desbloquear el correo electrónico, utilizando un correo electrónico de restablecimiento de contraseña.

Espere que el valor de su cuenta de correo electrónico pueda ser fácilmente ~ $ 30

¿Cuánto vale tu Gmail?

En resumen, use un administrador de contraseñas.

Ray Torres

¿Obtiene su contraseña que básicamente depende de qué tipo de contraseña estamos hablando? ¿Es la contraseña de la tarjeta de crédito o la contraseña de la pantalla de bloqueo? De acuerdo con lo crítico de la situación, se necesitarían medidas para manejar la situación. En cualquier caso, alguien que tenga su contraseña está violando su privacidad, lo cual es una violación y obviamente es necesario restablecer la contraseña lo antes posible.

Espero que esto haya ayudado

Mattia Campagnano

Depende de 2 cosas.

1) a qué contraseña fue

2) cuántas cosas usan la misma contraseña

Muchas personas usan la misma contraseña para la mayoría de toda su información. En su computadora, sitios bancarios, cuentas de correo electrónico, la lista continúa. Con la interconectividad de todas nuestras cuentas en los servicios web hoy en día, si se infringe una cuenta, lo más probable es que se infrinjan todas sus cuentas. Esto podría llevar a la ingeniería social a todas las demás cuentas posibles que tenga, su identidad podría ser robada, las cuentas bancarias robadas o vaciadas, las tarjetas de crédito al máximo, los amigos podrían ser diseñados y pirateados socialmente, los archivos borrados maliciosamente, etc.

Ray Torres

Depende de las credenciales que tengan, esto es acerca de qué información. Porque, si se tratara de sus credenciales de acceso de inicio de sesión bancario, entonces puede costarle una gran cantidad, y si se trata de cuentas de correo, entonces depende de ellas hasta qué punto usan mal sus credenciales. Sin embargo, intente mantener una contraseña con todos los caracteres permitidos posibles. Una contraseña simple, como una combinación de su nombre, número de contacto, fecha de nacimiento, etc., puede correr el riesgo de ser pirateada. Es mejor no revelar esta información a nadie y permanecer seguro.

Hiren Patel (Pune, MH)

Giorgio Bonvicini

Honestamente depende de qué contraseña y quién eres. Si alguien descifró la contraseña de tu club penguin, estás bastante seguro. Si entraron en tu Facebook, entonces tu vida social ha terminado. Si alguien descifra tu correo electrónico principal. Estás jodido. Tienen acceso a prácticamente todo lo relacionado con el correo electrónico gracias a que olvidé mi contraseña. Si tiene la misma contraseña para todo, es una mala idea, ya que alguien podría intentarlo en su correo electrónico. La razón por la cual su correo electrónico puede ser tan peligroso es que la mayoría de los servicios a los que nos suscribimos están vinculados / sincronizados con nuestro correo electrónico, incluidos nuestros teléfonos y redes sociales. No hace falta decir que proteja su contraseña.

Ray Torres

Depende.

Si usa la misma contraseña para varias cuentas, podría estar jodido a lo grande.

De lo contrario, solo una cuenta se verá comprometida.

Michael Bilenko

Sin daños financieros: no uso la banca por Internet.

Daño de gran reputación hasta problemas legales si alguien usa mis cuentas para presentar diferentes puntos de vista u opiniones o interactúa mal con mis contactos (amigos, clientes).

Gran pérdida: equipo de mis personajes en los juegos de computadora 🙂

Ray Torres

Tengo 13 años, así que no pudieron dañar mi cuenta de correo electrónico. Si obtuvieran mi cuenta de Google Play, obtendrían 26 centavos. Esa es realmente la única cuenta que tengo.

Ray Torres

More Interesting

¿Qué antivirus es el mejor para Windows 10 y cuyo precio es el más bajo?

Si quería seguir una carrera en ciberseguridad, ¿necesito saber cómo hackear computadoras personales o algo completamente diferente para demostrar que no voy a abusar de mi posición?

¿Existen soluciones seguras de capa de cifrado de terceros para el almacenamiento en la nube?

¿Qué son las amenazas a la seguridad de la información?

Cómo proteger una red de invasiones físicas

¿Cómo recomendaría que alguien aprenda las pruebas de penetración desde cero?

¿Cómo se ve realmente el proceso de piratería para un espectador externo?

¿Cuáles son las posibilidades de una violación de seguridad en una startup (en comparación con la de los servidores PlayStation Network de Sony)?

¿Cómo accedo a mis archivos en un disco duro portátil? Tuve que sacarlo y conectarlo a otra máquina. Tenía una contraseña de Windows.

¿Qué es la conciencia cibernética?

¿Cómo se puede formular OWASP a diez riesgos como requisito de software?

¿Por qué las compañías de firewall 'tradicionales' como Checkpoint no lograron innovar en los 'firewalls de próxima generación' (como comercializa Palo Alto Networks)? ¿Cómo son los dos diferentes arquitectónicamente?

¿Un ingeniero de telecomunicaciones conoce la piratería completa como hacker profesional?

¿Qué se necesita para saber todo sobre la criptografía?

¿Cuál es la forma más segura de almacenar todas mis contraseñas en un dispositivo Android?