¿Twitter owned?

Levantarte un sábado por la mañana y leer esto, esto y esto más lo que vendrá en otros blogs, listas de correo, podcast y demás, hace que durante un tiempo  te hagas preguntas del estilo ¿Estará mi usuario afectado? ¿Cambio ahora la contraseña actual por otra? ¿Será esto útil o la intrusión no ha sido aún completamente erradicada? ¿Tengo algún otro servicio con el mismo usuario y contraseña que en twitter? Seguro que la mayoría estáis pensando si eso es así o no. Todos tenemos esos conceptos claros, pero no siempre los cumplimos y es ahora cuando nos entra por unos segundos el sudor frío.

El incidente aún se está investigando, por lo que habrá más datos más pronto que tarde. Lo que se debe sacar en claro de estas situaciones es que nadie está a salvo de una intrusión, por mucho empeño y cuidado que se ponga. Con respecto a las contraseñas, las buenas políticas son de sobra conocidas, pero a modo resumen:

  • No usar jamás la misma combinación de usuario/contraseña. En un caso como el de hoy, hace que en vez de estar preocupados por un único servicio online lo estemos por todos.
  • Que las contraseñas sean fuertes, mayúsculas, minúsculas, números, caracteres especiales, una longitud elevada… ayudan mucho en los ataques de fuerza bruta si en una intrusión se hacen con los hashes de la BBDD. Hay gestores de contraseñas estupendos que ayudan a generarlas y guardarlas de forma segura y ordenada como keepass, lastpass etc
  • Cambiarlas es una buena forma de minimizar riesgos cada cierto tiempo. Si alguien ha accedido a los hashes y la empresa no se ha dado cuenta, el atacante tiene mucho tiempo para romperlas sin que nadie se entere.

Todo lo anterior no garantiza nada, pero ayuda, salvo en el caso de que estemos dados de alta en alguno de los servicios que ofrecen las empresas que están aquí. Envían las contraseñas en claro cuando te das de alta o cuando olvidas las credenciales. Esto quiere decir que o bien las tienen guardadas en claro o usan con una función reversible. Hay más aparte de las que están ahí, si quieres y conoces alguna, puedes colaborar y añadirla a la lista.

Saludos

Actualización

La gente de Naked Security está haciendo un seguimiento bastante bueno sobre la intrusión, haciendo un artículo con varias preguntas y respuestas al respecto.

Anuncios

Un pensamiento en “¿Twitter owned?

  1. ¿Qué revisar en un equipo antes de su puesta en servicio? – segjsm

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s