Siempre leo que usar la misma contraseña en varios sitios es un riesgo. Me pregunto cuál es la verdadera razón de esto?
En mi caso, uso la misma contraseña en múltiples sitios en todas partes. Sin embargo, mi contraseña es muy fuerte y complicada, y la tengo guardada en un archivo de texto y luego la copio para cada conexión en los sitios a los que me suscribo. ¿Este método me protege del riesgo porque mi contraseña es demasiado complicada y larga?
La reutilización de la contraseña es una mala práctica de seguridad debido a un escenario de ataque simple como este:
Al reutilizar una contraseña larga y complicada, aún enfrenta las mismas amenazas que se resaltan en el esquema anterior.
Además de esto, guardar una contraseña en un archivo de texto es una práctica insegura ya que la privacidad de su contraseña también depende de la seguridad de su computadora (piense en los complementos maliciosos del navegador que puede instalar, la instalación de los ataques de descarga) spyware en su máquina ...) y la de su red. También puede considerar otros escenarios como los ataques de phishing en los que la seguridad de su contraseña no juega un papel.
Cada vez que se registre y permita que un sistema externo almacene su contraseña, dependerá del nuevo sistema para asegurarse de que su contraseña esté protegida correctamente. Esto implica que si uno de los sistemas externos no está protegiendo su contraseña (por ejemplo, almacenan la contraseña en texto plano y tienen una vulnerabilidad de inyección de SQL) de manera adecuada, independientemente de su hábito de seguridad de la contraseña (por ejemplo, use una contraseña muy grande, guárdela en el administrador de contraseñas). ), su contraseña compartida quedará expuesta si ese sistema externo se ve comprometido. Una vez comprometidos, otros pueden usar la contraseña para intentar iniciar sesión en otros sitios potenciales y tendrán éxito si comparte la misma contraseña.
Tener una contraseña segura no lo protege de las vulnerabilidades relacionadas con la reutilización de la contraseña.
Así que ha creado una contraseña segura que utiliza para suscribirse a la mayoría de los servicios de Internet que utiliza. ¡Genial! Ahora está probablemente a salvo de las personas que intentan iniciar sesión en su cuenta específica adivinando cada posible contraseña y esperando que una de ellas sea correcta (una "clave bruta"). fuerza "ataque".
Digamos que te encuentras con mi nuevo sitio web, que te ofrece un boletín maravilloso en el que estás realmente interesado. Tomas la decisión de registrarte en este sitio. Usted ingresa su dirección de correo electrónico y su contraseña segura habitual.
Desafortunadamente para usted, no he sido muy honesto y, aunque le haré una suscripción al boletín, también le enviaré la dirección de correo electrónico y la contraseña que acaba de escribir en mi correo electrónico personal. Una vez que llegue a mi bandeja de entrada, puedo probar la combinación en Facebook, Gmail, Yahoo Mail, Twitter, etc. Tarde o temprano voy a entrar en una de tus cuentas.
Alternativamente, suponga que fui honesto y no estaba dispuesto a robar su cuenta, pero era muy malo en seguridad. Tal vez estaba almacenando su contraseña en una base de datos en texto plano, y no tenía nada en su lugar para evitar que un atacante entrara en ella. Entonces, un día llega una persona desagradable que encuentra la manera de copiar el contenido de la base de datos, ¡y de repente también tiene su correo electrónico y contraseña! Ups.
Cuando elige una contraseña para cualquier sitio web o servicio, siempre es mejor asumir que en algún momento alguien puede leer la contraseña.
Solo necesita asegurarse de que, en caso de que eso suceda, la información comprometida no permita que nadie ingrese a ninguna de sus otras cuentas.
Lo que hace la reutilización de la contraseña es aumentar la superficie de ataque al darle a un atacante la capacidad de comprometer todas sus cuentas a través de un ataque. Esto se puede lograr a través de un MITM (que requeriría un certificado falsificado para los sitios TLS), obteniendo la contraseña a través de una base de datos (que requiere acceso y también es bastante imposible con un hash + salt seguro), o un sitio web malicioso , la última opción es la más fácil.
Su contraseña ahora es tan segura como el sitio web más débil, y muchos sitios utilizan protocolos de seguridad depreciados. La entropía de su contraseña no lo protegerá, porque existen métodos de entropía mucho más bajos para obtener su contraseña.
Alentaría a todos a que aseguren sus contraseñas tanto como les importa estar comprometidos. No puede saber si la seguridad de un sitio es buena o no, y por lo tanto su contraseña podría verse comprometida. Suponga que la seguridad del sitio es mala y que su contraseña podría ser conocida por millones de personas mañana.
Eso significa:
Solo reutilice las contraseñas en los sitios desechables que lo obligan a registrar una contraseña que no le importaría si alguien ingresara. Un buen ejemplo sería adobe.com que lo obliga a registrarse, pero es una cuenta inútil.
Nunca reutilice las contraseñas de su cuenta de correo electrónico principal, ya que puede usar el acceso a su correo electrónico principal para restablecer su contraseña en otros sitios. Habilite la autenticación de dos factores si es posible.
Nunca reutilice una contraseña para nada donde pueda perder dinero. Los bancos, PayPal y los sitios de inversión son objetivos fáciles de robar. Lamentablemente, la mayoría de estos sitios no ofrecen autenticación de dos factores, por lo que la reutilización de la contraseña podría costarle dinero fácilmente por robo.
Reutilizar la misma contraseña no significa que los inicios de sesión de su sitio y los datos que protegen sean tan seguros como su contraseña (es de esperar que sea muy segura). En cambio, significa que sus inicios de sesión y sus datos son tan seguros como el sitio con la seguridad más débil en su lista de sitios.
Si alguien irrumpe en / roba, no sé, base de datos de usuarios de Adobe , o < a href="https://en.wikipedia.org/wiki/2012_LinkedIn_hack"> LinkedIn 's o Ashley Madison's (para no sugerir que usted tenga una cuenta allí, por supuesto) entonces tendrán la dirección de correo electrónico / nombre de usuario y contraseña de todas las personas en ese sitio que usen un sistema como el suyo.
¿Realmente crees que está más allá del ingenio de las personas lo suficientemente inteligentes como para ser lo suficientemente inteligentes como para escribir un proceso automatizado para probar esos nombres de usuario y contraseñas en contra de otros sitios populares?
La fuerza de su contraseña se reduce a la seguridad del sitio en el que la usa. Todo lo que necesita es 1 sitio para no protegerlo y expone a todos los demás. Lo básico como las contraseñas de hashing con un salt debe ser el mínimo para cualquier sitio que solicite su contraseña. Si lo almacenan en texto sin formato, entonces han expuesto todos los demás sitios que usa también. Si un sitio le envía una contraseña por correo electrónico si la olvidó y no es una forma de restablecerla, entonces almacenaron su contraseña como texto simple y usted debería cambiar todas las cuentas que usaban esa contraseña.
Si realmente quieres usar la misma contraseña para todos los sitios web, ¿por qué no usar un administrador de contraseñas? De esa manera, solo tiene que recordar una contraseña (para su administrador de contraseñas) y también tiene una contraseña segura única para cada sitio. Si alguno de los sitios web que usa está comprometido, solo la contraseña está comprometida y no todos sus inicios de sesión.
Creo que es bueno tener una contraseña segura que sea lo más larga posible y evitar las palabras para evitar ataques de fuerza bruta que usan palabras en el diccionario para adivinar contraseñas aleatorias como thunderbolt25815 .
Pero algunos sitios lo impiden estableciendo un límite de contraseña. Ingresa la contraseña incorrecta demasiadas veces y te bloqueará o bloqueará tu cuenta para evitar todos los inicios de sesión desde cualquier lugar
Pero algunos sitios no y otros sitios tienen una mala seguridad. Si alguien piratea la base de datos en texto sin cifrar, todas las contraseñas de su sitio web son inútiles. Solo pondrán las contraseñas una y otra vez en diferentes sitios hasta que obtengan el sitio correcto. En algunos de los peores casos, pueden obtener acceso a algo que tiene su tarjeta de crédito como Amazon que podría costarle mucho dinero. ¿Quieres eso? ¿Quieres sacrificar la seguridad por contraseñas fáciles de recordar? Si la respuesta es 'no', obtenga una contraseña larga que sea diferente para cada sitio e intente obtener una verificación de 2 pasos para que nadie pueda acceder a un sitio solo con piratear un sitio. Necesitarán algo más que una contraseña.
Lea otras preguntas en las etiquetas passwords password-policy