homefinance blog
Con más de 30 millones de ataques mensuales de fuerza bruta, es crucial usar contraseñas seguras en todas partes. Pero la creación y la memoria de contraseñas poderosas únicas en todas sus cuentas pueden ser una tarea imposible. Un administrador de contraseñas puede ayudar … ¿o puede? Si bien el uso y la aplicación de contraseñas seguras se recomienda especialmente en su sitio de WordPress, no todos los administradores de contraseñas se crean igual. Se les ocurre vulnerabilidades de seguridad potenciales que pueden impulsar un hacker directo en su sitio de WordPress para robar su identidad a través de ataques de fuerza bruta. Afortunadamente, hay formas en que puede proteger su sitio web y hay administradores de contraseñas seguros que puede usar.
Hoy, compartiré más detalles sobre los administradores de contraseñas, sus posibles agujeros de seguridad y cómo proteger su sitio de WordPress, así como ofrecerle algunas de las aplicaciones de administración de contraseñas más seguras. ¿Qué es un administrador de contraseñas? Un administrador de contraseñas es una aplicación, una extensión del navegador o una herramienta que puede almacenar de forma segura todas las contraseñas que desea guardar. De esta manera, no debe recordar las muchas contraseñas seguras que crea para decenas (¡o cientos!) De los sitios que registra de correo electrónico, Amazon y YouTube a su ISP, la compañía telefónica y todos los demás.
Sus contraseñas están protegidas en la aplicación, que se bloquea con otra contraseña que crea. La idea es que debes recordar solo esta contraseña. Con esto, puede acceder a todas las otras credenciales de conexión, luego puede copiarlas y pegarlas cuando sea necesario. Algunos administradores de contraseñas también tienen opciones adicionales, como la autenticación de dos factores o la finalización automática, para que los campos de conexión de un sitio web se completen automáticamente con nombre de usuario y contraseña. El problema con los administradores de contraseñas, mientras que las aplicaciones de administración de contraseñas son increíblemente convenientes, existen riesgos de seguridad potenciales involucrados en su uso. Este es un problema, especialmente cuando se usa una extensión del navegador que está disponible para la aplicación de administración de contraseñas que elige usar. Si visita un sitio web que incluye malware, es vulnerable a un ataque de falsificación de solicitud de sitio cruzado (CSRF) o sitios cruzados Scripting (XSS) y use la extensión del navegador de un Administrador de contraseñas, todas las contraseñas se pueden robar sin saberlo. Hay innumerables formas en que esto podría suceder. Por ejemplo, en el caso de una explotación de seguridad de LastPass, el sitio web vulnerable podría inyectarse con un script que verifica la extensión en el navegador de un visitante. Si el usuario se activa mientras visita el Sitio, el script muestra una notificación en la parte superior de la página que parece idéntica a la que se muestra a menudo con LastPass, le dice al usuario que tiene que conectarse nuevamente debido a una fecha expirada. sesión.
Luego, el usuario haría clic en el enlace y se cargará un sitio de phishing que se vea idéntico a la página de inicio de sesión de Last Pass.
El usuario se autenticará, y el sitio malicioso verificará la API de LastPass para confirmar los detalles. Si las credenciales son correctas, el sitio de phishing solicitará un símbolo de autenticación de dos factores, que el usuario introduciría. El sitio de phishing verificaría la API de LastPass nuevamente y, si los detalles se verificaran, las credenciales de conexión se enviarían automáticamente al servidor de hackers para su uso inmediato.
Si un usuario ha ingresado un nombre o contraseña de usuario incorrecto, el script verificaría la API de LastPass y, una vez confirmado, los detalles son incorrectos, el script carga un mensaje de error pidiendo al usuario que vuelva a intentarlo. Hay otros problemas de seguridad de LastPass en el pasado que proporcionarían acceso completo a los pedidos internos privilegiados LastPass RPC y el acceso al código. También ha habido problemas que permitirían a un hacker reemplazar los mensajes legítimos con sus propios mensajes para crear un ataque de phishing similar al descrito anteriormente.
Bienvenido a la fiesta (incierto). LastPass no es el único administrador de contraseñas basado en el navegador que ha enfrentado innumerables vulnerabilidades, según Network World. Keeper, Dashlane y 1Password han encontrado problemas de seguridad. Por ejemplo, el guardián tenía una vulnerabilidad de seguridad en la que la extensión dañaría su interfaz confiable en un sitio web que no es confiable, dejándola abierta a CSRF, XSS y otros ataques similares. Dashlane experimentó un hoyo de seguridad universal XSS. La vulnerabilidad permitiría que cualquier sitio ataque otro con una exploit XSS, lo que comprometería las cookies y los datos del usuario, incluido el registro en cualquier sitio. Un error de 1 paso también informó que “hay una serie de problemas con el modelo de seguridad de 1 paso conducir a la desactivación del modelo de seguridad local, así como una serie de funciones de seguridad, sandbox y virtualización ”. Con la excepción de la vulnerabilidad de seguridad de phishing en LastPass, todos estos problemas se han remediado desde entonces. Pero, problemas de seguridad más similares ocurren todo el tiempo en los administradores de contraseñas, especialmente en aquellos basados en una extensión del navegador para trabajar.
Las vulnerabilidades a menudo se encuentran en los administradores de contraseñas basados en una extensión del navegador.
Aquí vamos una y otra vez, como se mencionó anteriormente, muchos administradores de contraseñas incluyen una función de finalización automática que complementa automáticamente el formulario de conexión de un sitio web con el correcto y previamente guardado. Esta característica automática del complemento es una fuente especial de vulnerabilidades de seguridad, según Wired.
El Centro Princeton para la Política de Tecnología de la Información ha informado que existe una vulnerabilidad a largo plazo en los navegadores con administradores de contraseñas construidos, que comienzan a ser explotados. Los hackers han creado scripts que pueden seguir la función de finalización automática del Administrador de contraseñas para robar directamente el inicio de sesión sin que usted lo sepa. Si bien solo se han observado mil sitios hasta ahora, esta vulnerabilidad acaba de comenzar, así que prepárate. Los hites continúan llegando, dejando de lado todas estas vulnerabilidades de seguridad, los administradores de contraseñas no pueden protegerlo después de que se haya robado su inicio de sesión o identidad. Si se entera de una violación de seguridad, puede cambiar rápidamente su contraseña, pero las vulnerabilidades mencionadas anteriormente pueden robar el robo de los Detalles del usuario sin que usted o el sitio web lo sepa. Si esto le sucede, no hay posibilidad de que un administrador de contraseñas lo guarde de este tipo de amenazas. Si piensas, “está bien. Si uso un sitio web que está pirateado, me notificarían ”. Desafortunadamente, hubo varias situaciones en las que la información de los usuarios fue robada de un sitio web y los usuarios no fueron anunciados. Durante años. Estamos hablando de compañías importantes como Yahoo!, Uber y Equifax solo por nombrar algunas.
Por lo tanto, incluso si utiliza un administrador de contraseñas segura, aún no puede guardarlo de sitios web y compañías que no aseguran sus sitios lo suficiente como para evitar la piratería. Afortunadamente, protegiendo las contraseñas y el sitio de WordPress, hay varias formas en que puede proteger su inicio de sesión mientras está en línea, así como para proteger su sitio web de WordPress de los posibles riesgos de seguridad. También hay formas en que puede proteger sus contraseñas, al mismo tiempo con la comodidad de un administrador de contraseñas, incluso si una de sus cuentas está rota. ¿Debería usar un Administrador de contraseñas? Con todas las vulnerabilidades de seguridad en torno a los diversos administradores de contraseñas, ¿eso significa que no debe usar una? No, debes usar uno que sea seguro. Es mucho mejor que usar uno. Especialmente si eres culpable de usar la misma contraseña en todas tus cuentas … ¡sí!
Si no usa uno, es mucho más vulnerable a las exploits allí, porque no tendrá un nivel adicional de seguridad disponible. Puede ser inquietante usar un administrador de contraseñas si ha tenido vulnerabilidades de seguridad en el pasado, pero eso no significa necesariamente que no esté seguro. Si usa un Administrador de contraseñas que se actualiza correctamente y con frecuencia para la seguridad, esas vulnerabilidades estarán en el campo del pasado y puede estar en silencio sabiendo que sus contraseñas están protegidas por los últimos trucos que los hackers están intentando. El uso de un Administrador de contraseñas seguro puede ayudarlo a usar contraseñas seguras, que tienen menos probabilidades de ser pirateadas por las fuerzas brutas. No tendrá que recordarlos a todos y puede almacenarlos a todos de manera segura en un solo lugar para su comodidad. Hay administradores de contraseñas seguros que se enumeran más adelante y puede usarlo para protegerse lo más posible si una de sus cuentas está rota. . Puede cambiar rápidamente su contraseña y, a menudo, antes de que el hacker tenga la oportunidad de usar sus credenciales. Un administrador de contraseñas seguro es mucho mejor que en absoluto.
Pero, debe evitar el uso de extensiones del navegador y contraseñas de navegador construidas, como la que viene con Chrome. En su lugar, use una opción de aplicación basada en el escritorio porque son las más seguras. Asegúrese de no usar la función de complemento automático si la aplicación que usa tiene esta opción. Además, puede almacenar sus contraseñas en un archivo encriptado como una opción de repuesto que completa el administrador de contraseñas seguro que utiliza. De esta manera, si olvida la contraseña principal, aún tiene otra forma de recuperar sus detalles de conexión. Otras formas de proteger sus contraseñas, además de usar un Administrador de contraseñas seguras, hay varias formas en que puede proteger aún más sus contraseñas en línea: use diferentes contraseñas de seguros para cada sitio que registre.
No use una contraseña que usó en el pasado.
Cambie sus contraseñas al menos cada 90 días.
No se registre en un sitio que no tenga un certificado SSL válido.
Actualice su navegador regularmente a medida que se lanzan actualizaciones de seguridad.
Presta atención a las extensiones del navegador que usas. Investigarlos antes de instalarlos para evitar malware.
A menudo, a través de las extensiones del navegador para eliminar todos los que han sido pirateados con malware que podrían infectar su navegador y computadora como resultado.
No use una función de complemento automático. Alguna vez.
Use un software fuerte antivirus y malware en su computadora y dispositivos móviles.
Programe escaneos antivirus regulares.
Preste atención a los sitios que visita y no accede a ninguno sin un certificado SSL válido. No se conecte a ningún sitio web con una conexión WiFi pública.
No use un inicio de sesión automático si su navegador acepta esta opción.
También puede cifrar los archivos de su computadora utilizando software como Veracrypt o la herramienta de cifrado de archivos incorporada en Macs. Esto es particularmente cauteloso si desarrolla sitios de WordPress localmente, porque el malware que descarga accidentalmente o sin saber en línea o por correo electrónico puede infectar su computadora. Protección de su sitio de WordPress. También hay varias formas en que puede ayudar a proteger a los usuarios de su sitio web de WordPress contra la operación con vulnerabilidades de seguridad que a menudo vienen con el uso de administradores de contraseñas inseguros. Asegurar su sitio de WordPress puede ayudarlo a hacer exactamente:
Use un certificado SSL en su sitio web, como uno gratuito de Let’s Cifrypt.
Active la autenticación con dos factores, como con la defensa.
Obligar a todos los usuarios a autenticarse con dos factores de defensor.
Use y aplique contraseñas seguras para todos los usuarios.
Use un complemento de seguridad.
Haga todo lo posible para mejorar la seguridad general de su sitio.
Para obtener más detalles, consulte la Guía Suprema para la seguridad de WordPress, Seguridad de WordPress: Lista de verificación final de 32 pasos, la guía final para los 60 recursos de seguridad de WordPress y le da un ataque de fuerzas sin procesar con las nuevas funciones de bloqueo de IP. Del defensor. Los mejores administradores de contraseñas son las dos aplicaciones de escritorio para el administrador de contraseñas que son estables y se actualizan regularmente para asegurarse de que estén seguros. Cada uno tiene diferentes funciones y experiencias de usuario para que pueda intentar usar la que funciona para su contraseña.
Hubo una vulnerabilidad en 1Password que se mencionó anteriormente, pero vale la pena señalar que se corrigió por completo. 1Password también se actualiza enérgicamente para garantizar que cualquier otra vulnerabilidad y error se elimine antes de que un hacker tenga la oportunidad de probar una explotación. También es un administrador de contraseñas premium para el escritorio, que no tiene una función de finalización automática para una mayor seguridad e incluye funciones adicionales, como una clave secreta para usar junto con la contraseña principal y un kit de emergencia que puede completar si olvida el contraseña principal. luego. También puede almacenar más que las contraseñas, como su número de seguro social, detalles del pasaporte y más. También hay una opción para sincronizar la aplicación de escritorio con sus dispositivos móviles para una mayor comodidad. ¿Estás interesado en 1Password?
Detalles
Keeppass
Keepass es un administrador de contraseñas de escritorio gratuito, código abierto y certificado por OSI. La interfaz de uso es un poco más difícil de usar, pero es una opción segura, porque una empresa no lo mantiene con personal de seguridad limitado. Con frecuencia es mantenido y auditado por una gran comunidad de expertos en seguridad para garantizar que las mejores prácticas de seguridad posibles se usen en cualquier momento. Aunque tiene características básicas fuertes que llevan a cabo el trabajo, no incluye capacidades de sincronización móvil. Aunque, las extensiones móviles no oficiales están disponibles, desarrolladas por la comunidad, gratis. ¿Estás interesado en Keepass? Detalles
Conclusión Internet puede ser un lugar aterrador, desde piratas informáticos que operan software destinado a mantenerlo a salvo, hasta sitios web que invaden su privacidad, son pirateados y su identidad es robada. Afortunadamente, los administradores de contraseñas seguros y los consejos presentados anteriormente deberían darle un buen comienzo y también ayudarlo a mantenerse a salvo mientras navega en línea.
¿Cómo ayudas a estar a salvo en línea? ¿Hay algún consejo que se haya perdido que no sea descuidado por no mencionar? Comparta su experiencia en los comentarios a continuación.
Etiquetas:
clave
Gestión de contraseñas
Seguridad
¿Por qué no todos los administradores de contraseñas están a salvo y qué hacer con ella?
Tags ¿Por qué no todos los administradores de contraseñas están a salvo y qué hacer con ella?
