viernes, 29 de agosto de 2014

Por qué los administradores de contraseñas no son seguros


Correo electrónico, Facebook, Twitter, la página de nuestro banco… Recordar las tropecientas contraseñas necesarias para acceder a lo más divertido y útil de Internet es una tarea casi imposible. Por eso mucha gente comete el error de usar el mismo password para diferentes servicios, una debilidad habitual que los hackers saben aprovechar muy bien: tan solo con romper la seguridad de una página y saber nuestra dirección de correo electrónico tendrán acceso a toda nuestra vida virtual.

Otros muchos recurren a los denominados ‘password managers’ programas que almacenan las diversas contraseñas bajo una sola clave maestra. Para acceder a todas ellas, solo hay que acordarse de un código, no hace falta nada más. 

Antes, estos programas guardaban la información en el disco duro, como si fuera un archivo encriptado más. Pero las nuevas generacones de este tipo de software se han convertido en una especie de guardian de Internet. Cuando los instalamos, nos ‘siguen’ por la red ofreciéndonos la posibilidad de guarder nuestras contraseñas.
Por ejemplo, si la escribimos en Facebook, nos preguntará si queremos almacenar la clave para que en la próxima visita el programa lo haga automáticamente por nosotros. Y esto ocurrirá en todas las páginas que nos soliciten un password. Eso sí, para que el sistema funcione siempre tendremos que introducer la clave maestra que controla el ‘password manager’.

El que parece es el invento del siglo también tiene sus problemas: si alguien se hace con la llave principal, estamos perdidos. En teoría, las empresas que han creado estos programas aseguran que son seguros al 100%. Pero una reciente investigación llevada a cabo por expertos de la Universidad de Berkeley en California (EE.UU.) ponen seriamente en duda esta afirmación.

Los problemas encontrados

Los científicos del departamento de seguridad informática analizaron cinco programas de este tipo y encontraron varios problemas "Las causas fundamentales de la vulnerabilidades que hemos hayado son diversas: van desde fallos en la lógica de autorización y malentendidos sobre el modelo de seguridad de diversas páginas web", explican en un artículo que será presentado en el Simposio de Seguridad Usenix en San Diego. La conclusión del estudio es demoledora: los administradores de contraseñas todavía están lejos de ser seguros.

Los cinco administradores de contraseñas analizados fueron LastPass, RoboForm, My1login, PasswordBox y NeedMyPassword. Todos funcionan en Internet y son utilizados pormillones de usuarios.

Los investigadores advirtieron a todas las compañías de los problemas que habían encontrado, y casi todas modificaron sus productos para hacerlos más seguros. Incluso una de ellas emitió un comunicado explicando cuál era la vulnerabilidad y cómo la habían corregido.

Fuente: Yahoo