10000 claves más frencuentes

Casi a título de inventario, la recopilación de 10,000 Top Passwords. Ya tiene más de tres años. Después han salido más. Iremos poniéndolas.

Anuncios

Las claves de Gawker

Me da un poco de pereza estos temas de las claves (además ya publicamos el otro día un enlace a unos artículos que tratan el tema con más profundidad): cada vez que alguien consigue robar claves de un sitio, empiezan a aparecer los ‘contables’ haciendo análisis numerológicos, listas de consejos que nadie seguirá y todas esas cosas. Aúna así, me gustó leer Why You May Want to Avoid Non-ASCII Characters in Your Passwords que habla de la explicación más detallada, en Gawker Password Management Q/A. Un problema de compatilidad hacia atrás, utilización de métodos poco seguros (y que no manejan los caracteres internacionales) y mala gestión de los cambios parecen los responsables del problema.

Para completar, en The Gawker hack: how a million passwords were lost: para conseguir las claves se habría utilizado un ataque de fuerza bruta a un sistema auxiliar, una búsqueda de claves de sitios más ‘interesantes’ en sistemas de comunicación interna, y a partir de allí el robo de las claves en sí.

Sobre la contabilidad, un ejemplo en Brief Analysis of the Gawker Password Dump.

Quede aquí, a título de inventario.

Malware e ISPs

Ya habíamos hablado del tema en ¿Tienes malware? ¡Te desconectamos!. Ahora es un ISP norteamericano, Comcast pop-ups alert customers to PC infections: notificarán a los usuarios cuyos PCs detecten que tienen problemas (un cambio repentino de aumento de tráfico, un envío masivo de mensajes de correo electrónico, …) para que puedan tomar las medidas que consideren oportunas.

Ya hacían algo similar en el Qwest Customer Internet Protection Program Increases Security For Broadband Customers, Combats Spread Of Viruses And Malware.

Recordemos que en las propuestas que habíamos visto anteriormente desconectaban a los usuarios (dentro de sus empresas). Aquí los proveedores simplemente proponen notificar: puedo imaginar líos con los falsos positivos y luego problemas cuando los usuarios menos avezados (y los más, para qué nos vamos a engañar) cuando accedan a los servicios de atención al cliente que no siempre les ayudarán adecuadamente (tal vez sí, ojalá me equivoque).

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.