¿Son nuestos passwords seguros?

Esta pregunta es el centro del estudio que leo en malwarecity (http://www.malwarecity.com/blog/experiment-3-how-strong-is-your-password-929.html). Donde a través de una encuesta intentan evaluar la robustez de nuestras contraseñas de internet.

El documento empieza reflexionando sobre la problematica que tiene la gente para recordar muchos passwords de distintos sitios y aplicaciones. Esto lleva a los usuarios a elegir Passwords muy fáciles, preguntas muy simples o usar la misma contraseña para distintos lugares.

Yendo a los resultados, aqui está un pequeño resumen:

1. Cantidad de cuentas:

La primera idea era averiguar cuantas cuentas de usuario tenían en diferentes lugares. La mayoría de los encuestados (67%) reconocen que tienen más de 5 cuentas que requieren una contraseña de acceso.

Cuando fueron preguntados si usaban la misma contraseña en las distintas aplicaciones o webs, el 73% dijeron si. Es decir que, consiguiendo una clave se podría acceder a todas sus cuentas.


2. Complejidad de la contraseña:

El 25% de los entrevistados reconocen que usan un pasword de 6 letras simples(que es lo minimo exigible por las paginas).

Por contra sólo el 1% del total usan passwords de mas de 15 caracteres


3. Composición de la clave:

El 63% de los encuestados usan solamente mayúsculas o minúsculas
El 21% combinan mayúsculas y minúsculas
Solo el 16% combinan números y algún tipo de carácter especial.


Lo mas gracioso del documento es que comenta que, durante la entrevista, el 12% de los encuestados revelaban su contraseña al encuestador sin que este se la pidiera, sabiendo que este es un desconocido

Como podéis ver, la mayoría de las contraseñas usadas no cumplen con un mínimo de seguridad. Vemos como con ataques de diccionario podríamos conseguir fácilmente la contraseña del 60% de los encuestados. Y no solo eso, sino que una vez con el password en la mano podríamos acceder a todas sus cuentas, tanto de e-mail, redes sociales, messenger, accesos al trabajo....

Luego nos quejamos de la seguridad y de los «hackers», creo que hay que tomarse la elección de un password con un poco mas de calma y sabiendo bien que estamos haciendo y que repercusiones tendrá.

Maneras de ofrecer trabajo

Leo en barrapunto el proceso de selección de una empresa que necesita un informático. Este proceso es relativamente curioso, ya que cualquier persona que quiera enviar su curriculum debe de hacerlo a través de una página que facilitan ellos (http://apply.seatgeek.com) y que hay que "hackearla" para poder enviarlo. A grandes rasgos lo explico un poco:

Primero no nos deja acceder a la web a no ser que usemos un navegador web propio de ellos (seatgeek). Evidentemente este navegador no existe por lo que se puede engañar a la pagina falseando nuestras peticiones. Tenemos que modificar el user-agent de nuestro navegador. Para firefox hay un complemento que los modifica directamente a tu antojo, se llama "User agent switcher" (https://addons.mozilla.org/en-US/firefox/addon/59/).

Otra manera mas sencilla es usando (about:config) en la barra del navegador web de firefox (en mi caso particular iceweasel). Aquí podemos cambiar la cadena de useragent y poner la de seatgeek.

Una vez dentro pide que nos identifiquemos como admin para poder enviar nuestro curriculum. Aquí podemos falsificar la cookie indicando que tenemos permisos de administrador.

Como veis no parece muy dificil. Es mas, segun leo en barrapunto, todo el mundo dice que esta tirao y que ese proceso no vale para nada. Mi opinión personal es que gracias a este tipo de procesos de selección consigues quitarte a mucha gente que echa el curriculum por echar. Es una manera de hacer un primer filtro de la gente que potencialmente puede ocupar el puesto de trabajo.