Seguridad ‘hogareña’

El tema de la seguridad ‘hogareña’ (hogar en sentido amplio, dispositivos que interactúan diariamente con nosotros fuera del ámbito profesional: sensores, aparatos, coches, …). Por eso me hizo tanta gracia ver que una empresa de seguridad al uso lanzaba un informe sobre el tema: [PDF] Caution: Malware Ahead y merce ser recordado por aquí.
Está fundamentalmente orientado a los coches y los sistemas integrados que se basan en ordenadores más o menos potentes y sus programas.

Ya hemos comentado, como decía, algunos artículos sobre el tema:

El coche, el mp3 y cosas malas que pueden suceder.
Coches e informática
Ataques a los sistemas de arranque sin llave en coches.
¿pueden atacar tu coche?.
y algún otro. Y, ya sin coches:
La intimidad y los dispositivos inalámbricos
Humanos y virus informáticos
Los electrodomésticos y la seguridad.

Bueno. Ya dije que era un tema que me llama la atención. Hay más enlaces pero no los pongo aquí.

Otro estudio sobre claves

No creo que el título sea apropiado, sobre todo teniendo en cuenta que ya nos hemos preguntado si el sistema de usuario/clave es el más adecuado para estas cosas pero me gusta guardar estos datos, que nunca se sabe: Survey Reveals How Stupid People are With Their Passwords.

• 4 in 10 respondents shared passwords with at least one person in the past year.

• Nearly as many people use the same password to log into multiple Web sites, which could expose their information on each of the sites if one of them becomes compromised. (A separate recent study revealed that 75% of people use the same password for Social Networking Sites and their email accounts)

• Almost half of all users never use special characters (e.g. ! ? & #) in their passwords, a simple technique that makes it more difficult for criminals to guess passwords. (Yet not all sites support this option of special characters!)

• 2 in 10 have used a significant date, such as a birth date, or a pet’s name as a password – information that’s often publicly visible on social networks.

Además,

Younger people are especially likely to take online security risks. Webroot found that among 18 to 29 year-olds:

• 12 percent have shared a password in a text message (vs. 4 percent overall)

• 30 percent logged into a site requiring a password over public WiFi (vs. 21 percent overall) (Note: This is typically only dangerous when you logon not using SSL — aka HTTPS in your browser)

• Over half (54 percent) have shared passwords with one or more people in the past year (vs. 41 percent of people overall)

The number of Web sites that require an extra layer of security has proliferated, driving careless habits:

• Three quarters (77 percent) of consumers have five or more accounts with online services that require passwords.

• One-third (35 percent) have 10 or more password-protected accounts. Only 10 percent ensure they never use the same password on different accounts.

• Passwords are forgotten occasionally, often or always by over half of consumers (51 percent).

Despite these disturbing figures, consumers still think they are safe, with 50 percent of people saying they feel their passwords are very or extremely secure. That being said, according to the survey:

• 86 percent do not check for a secure connection when accessing sensitive information when using unfamiliar computers.

• 14 percent never change their banking password.

• And 30 percent remember their passwords by writing them down and hiding them somewhere like a desk drawer.

• 41 percent use the same password for multiple accounts.

• Only 16 percent create passwords with more than 10 characters in length.

• Almost half of Facebook users (47 percent) use their Facebook password on other accounts and 62 percent of Facebook users never change their password.

Las claves de Gawker

Me da un poco de pereza estos temas de las claves (además ya publicamos el otro día un enlace a unos artículos que tratan el tema con más profundidad): cada vez que alguien consigue robar claves de un sitio, empiezan a aparecer los ‘contables’ haciendo análisis numerológicos, listas de consejos que nadie seguirá y todas esas cosas. Aúna así, me gustó leer Why You May Want to Avoid Non-ASCII Characters in Your Passwords que habla de la explicación más detallada, en Gawker Password Management Q/A. Un problema de compatilidad hacia atrás, utilización de métodos poco seguros (y que no manejan los caracteres internacionales) y mala gestión de los cambios parecen los responsables del problema.

Para completar, en The Gawker hack: how a million passwords were lost: para conseguir las claves se habría utilizado un ataque de fuerza bruta a un sistema auxiliar, una búsqueda de claves de sitios más ‘interesantes’ en sistemas de comunicación interna, y a partir de allí el robo de las claves en sí.

Sobre la contabilidad, un ejemplo en Brief Analysis of the Gawker Password Dump.

Quede aquí, a título de inventario.