Hoy en día y desde hace un tiempo, las contraseñas son un elemento presente y en muchas ocasiones indispensable en nuestra vida. Muchas veces tenemos tantas contraseñas en uso que las menos utilizadas se nos olvidan o para evitar que eso suceda las repetimos en todas nuestras cuentas (todos sabemos que esta no es la mejor opción). Independientemente de cómo gestiones tus cuentas y sus contraseñas desde ElevenPaths te recordamos la importancia de utilizar segundos factores de autenticación ya que pueden paliar las consecuencias de un robo de credenciales, por ejemplo, el uso de Latch y los TOTP.
El uso de contraseñas muchas veces es el único método que utilizamos para proteger nuestras cuentas digitales o el acceso al escritorio de nuestro ordenador o teléfono móvil, con el aumento de la ciberdelincuencia y los avances en las técnicas de machine learning han aparecido nuevas técnicas y herramientas que facilitan los trabajos de crackeo. En este artículo os ayudaremos a elaborar contraseñas más seguras de una forma sencilla.
Figura 1: Herramienta de Cellebrite para acceder a dispositivos Android e iOS
No utilices nombres propios ni palabras extranjeras o que puedas encontrar en un diccionario: como hemos mencionado antes, las herramientas de cracking han evolucionado y son capaces de procesar inmensas cantidades de números y letras en segundos, por esta razón es importante evitar el uso de palabras “normales”.
No utilices información personal: Uno de los mayores errores a la hora de escoger una contraseña es utilizar información personal, hoy en día no resulta difícil obtener esa misma información de los perfiles de redes sociales o servicios de internet, por lo que no es recomendable usar teléfonos, direcciones o fechas de cumpleaños.
Figura 2: Duck Duck Go, Herramienta de Crackeo
La Longitud, composición y dificultad: A la hora de elaborar una contraseña es importante saber que cuanto más larga sea, más difícil será de crackear, al igual que si contiene números o caracteres como “% $ @” o si tiene un sentido o significado aparente.
Cambiar de contraseña periódicamente: Esto puede resultar tedioso, sobre todo si manejamos varias contraseñas, por suerte existen varios gestores (como LastPass o 1Password) que te permitirán archivar tus contraseñas y copiarlas al portapapeles cada vez que las necesites.
Hasta aquí los tips que pueden hacer que nuestras contraseñas, o el primer factor de autenticación, sean más robustas. No olvidemos que es fundamental utilizar un 2FA hoy en día, sobretodo en identidades digitales importantes y dónde tenemos la información más valiosa.
Vuelven los Code Talks for Devs de la mano de ElevenPaths. En esta segunda temporada se presentan nuevos talks más interesantes y con más detalle que te interesarán. Si quieres conocer cómo se desarrollan ciertos proyectos e ideas locas, o cómo los estudiantes que realizan su TFG o TFM con nosotros han pasado la experiencia, no dudes en visualizar la segunda temporada de los Code Talks for Devs.
Figura 1: Primeros cuatro talks
El próximo miércoles 21 de marzo comenzamos con el talk: Integración de Latch con un wallet y dando uso a la exfiltración. Este talk vendrá de la mano de Danilo Ninabanda, Ignacio Jiménez y Lucas Fernández. En este talk, estos tres jóvenes, nos mostrarán como ha sido la experiencia de realizar un TFM con ElevenPaths, de la mano de su tutor Pablo González. Además, nos mostrarán como han desarrollado su proyecto, como han integrado Latch en Coinbase y cómo han desarrollado un mecanismo para hacer un intercambio de claves privadas, a través del uso de la exfiltración.
El próximo miércoles, 21 de marzo, a las 15:30h (CET) tienes una cita con nosotros en la comunidad de ElevenPaths. Podrás visualizar el webinar y a su vez dejar todos los comentarios o dudas que te vayan surgiendo para que los expertos de ElevenPaths e incluso otros usuarios de la comunidad te respondan. Si no puedes acceder a esta hora, ¡no te preocupes! todos los webinar están disponibles en la web de ElevenPaths pasados un par de días del estreno.
La app de 1Passwordincluye una opción interesante para poder verificar si tu cuenta ha sido publicada en alguna de las bases de datos publicadas en Internet con información sensible. A modo de 'haveibeenpwned' o 'hesidohackeado', la app proporciona la información necesaria sobre si la cuenta ha sido 'filtrada' en alguna de las bases de datos conocidas. La app pone esta funcionalidad para los usuarios con el objetivo de detectar estas circunstancias.
Los datos se comprueban contra Pwned Passwords, el cual es un servicio que tiene una base de datos de más de 500 millones de contraseñas que se han visto comprometidas en filtraciones del pasado. Este servicio será con el que se puede verificar si la contraseña que se está utilizando se ha filtrado previamente. Si esto ocurre, simplemente hay que cambiar la contraseña y buscar alguna opción de 2FA como, por ejemplo, Latch Cloud TOTP.
Con la integración de 1Password, los usuarios de esta aplicación podrán verificar de manera sencilla si su contraseña sigue siendo segura o no. La recomendación sería tener una política de cambio de contraseñas cada 'x' tiempo y la utilización del 2FA. Se espera que pronto, todo esto esté disponible en su versión de iOS.
El próximo 27 de diciembre nuestro compañero Fran Ramirezllevará a cabo un talk muy especial dónde contaremos con Javier Alcaraz. Javier es una persona que ha hecho un TFM con ElevenPaths y que nos contará su experiencia, además de contarnos la parte técnica de su TFM. Anímate a realizar con ElevenPaths uno de los distintos TFM que ofertamos cada año. El TFM trata sobre la implementación de Latch en OpenWRT con el objetivo de proteger a distintos niveles.
Los dispositivos de red de tipo router son la puerta de entrada y salida a la gran red de Internet. Por esta razón, entre otras muchas, es un punto crítico en el que las amenazas se encuentran presenten en el día a día. El presente proyecto propone integrar Latch en un sistema OpenWRT y proporcionar una capa de abstracción a la complejidad de la seguridad en red.
Esta solución ha sido llevada a cabo dentro del programa de Universidades de ElevenPaths como Trabajo Final de Grado. En la charla se podrá ver cómo se llevó a cabo el diseño de la solución, la integración de Latch en diferentes partes del router y diferentes funcionalidades y cuál fue el resultado de la implementación desde el punto de vista de desarrollador.
Figura 1: ElevenPaths Code Talks for Devs
Si quieres saber más sobre la implementación de MicroLatch te esperamos el próximo miércoles 27 de diciembre a las 15:30h (CET) en nuestro canal de YouTube y también en nuestra comunidad, donde nuestros expertos estarán disponibles para responder cualquier tipo de duda respecto al webinar ¡Te esperamos!
El próximo 15 de noviembre nuestros compañeros Ioseba Palop y Carlos del Prado nos hablarán, en un nuevo Code Talk for Devs, sobre la implementación de Latch Cloud TOTP en .NET y NodeJS a través de un número de ejemplos y demostraciones guiadas que han generado para vosotros. En el webinar se detallarán los pasos y el código utilizado para llevar a cabo esta implementación.. Además, se mostrarán ejemplos de uso y cómo hacer la implementación de forma sencilla.
Las contraseñas de tus usuarios pueden caer en las manos equivocadas y poner en riesgo la información de los mismos en tus sistemas. Añade un segundo factor de autenticación a tu servicio mediante TOTPs y protege a la información de tus usuarios ante el robo de sus credenciales.
En esta sesión veremos cómo implementar un segundo factor de autenticación con TOTPs y usaremos Latch como herramienta de generación de los códigos de acceso. Para ello partiremos de una aplicación NodeJS + Express y .NET + MWC que usa un sistema convencional de autenticación de usuarios (email + contraseña) y cuenta con un perfil de configuración de usuario.
Figura 1: ElevenPaths Code Talks for Devs
Si quieres saber más sobre la implementación de Latch Cloud TOTP en estos lenguajes de programación te esperamos el próximo miércoles 15 de noviembre a las 15:30h (CET) en nuestro canal de YouTube y también en nuestra comunidad, donde nuestros expertos estarán disponibles para responder cualquier tipo de duda respecto al webinar ¡Te esperamos!
El próximo miércoles 13 de Septiembre comienza una nueva serie de talks de ElevenPaths. as sesiones serán quincenales, los miércoles, y comenzarán a las 15.30h (CET). Los talks serán en castellano y se presentarán en el canal de YouTube de ElevenPaths. Además, podrás comunicarte y exponer tus dudas y sugerencias a través de la comunidad de ElevenPaths. El material del código utilizado y de las charlas estarán disponibles en el Github de ElevenPaths y en el canal de YouTube respectivamente.
Tenemos una web sobre los Code Talks for Devs en la que puedes encontrar toda la información sobre todas las sesiones y ponentes que tendremos. Los talks son gratuitos. No te pierdas la oportunidad de profundizar sobre lenguajes de programación, código, integraciones técnicas, APIS y mucho más.
A continuación, os dejamos el listado por fechas de los webinars y el tema que será expuesto:
13 de septiembre de 2017. Di adiós al ‘polling’ en Latch con los nuevos Webhooks por Javier Espinosa.
27 de septiembre de 2017. SDK de Go para Latch por Fran Ramírez y Rafael Troncoso.
11 de octubre de 2017. Implementación de Data Exfiltration con Latch’sApp por Álvaro Nuñez-Romero y Pablo González.
25 de octubre de 2017. DirtyTooth: Instalación en tu Raspberry con un paquete DEB por Álvaro Nuñez-Romero y Pablo González.
8 de noviembre de 2017. Latch Cloud TOTP en NodeJS y .NET por Carlos del Prado y Ioseba Palop.
22 de noviembre de 2017. MicroLatch: Construyendo Latch en la palma de tu mano por Álvaro Nuñez-Romero.
13 de diciembre de 2017. Detección de anomalías en el tráfico de red utilizando Machine Learning por Carmen Torrano.
27 de diciembre de 2017. Proteger tu OpenWRT integrando Latch a distintos niveles por Javier Alcaraz.
10 de enero de 2018. Limited Secrets. Distribuye tu secreto Latch sin riesgo por Javier Espinosa.
¿Quieres enterarte de todo antes que nadie? No te lo pierdas, ¡suscríbete al blog de ElevenPaths y pregunta en nuestra comunidad! Os esperamos para que nuestros expertos os enseñen las temáticas más geeks en el mundo de la programación. Recuerda que tienes una cita el próximo 13 de septiembre a las 15.30h (CET).
En primer lugar, iniciamos sesión con nuestra cuenta de Amazon y accedemos al enlace Ajustes de Seguridad Avanzados. En la parte de Seguridad podemos dar con la opción 'Verificación en dos pasos'. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Amazon ofrece. En este caso nos centraremos en la de TOTP.
Antes de comenzar con la configuración nos solicitarán de nuevo que hagamos uso de la contraseña de nuestra cuenta de Amazon para verificar que somos nosotros. Una vez introducida accederemos a los ajustes avanzados de seguridad, donde veremos la opción de comenzar.
Figura 1: Ajuste de seguridad avanzada
Tras pulsar sobre comenzar nos dará las dos opciones disponibles en Amazon para la obtención de los códigos de seguridad, en nuestro caso seleccionaremos Authenticator App, a continuación podremos observar un código QR, el cual escanearemos con nuestro Latch para añadir el servicio. Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.
Figura 2: Proteger con Cloud TOTP
Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que escaneemos el código QR que Amazon nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Amazon con Latch.
Figura 3: Amazon preparado
En el caso de no tener asociado tu número de teléfono a tu cuenta Amazon tendrás que dar un paso intermedio más, este consiste en añadir un numero de contacto con el que verificar que la cuenta esta bajo tu control, podrás hacerlo mediante un código de confirmación que obtendrás vía SMS o llamada telefónica. Una vez introduzcas el código ya estarás listo para utilizar Latch. Ahora, nos dirigimos al login de Amazon e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Amazon y podremos utilizar nuestro Latch.
Figura 4: Indicar TOTP
En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio y generando tokens para la cuenta de Amazon que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.
Figura 5: Configuración de Latch Cloud TOTP en tu cuenta Amazon
No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura, sobre todo si estas están asociadas a nuestras tarjetas de crédito o cuentas bancarias. Las posibilidades que ofrece Latch Cloud TOTP son muy grandes, protege tus servicios y tus cuentas.
Hoy en día y desde hace un tiempo, las contraseñas son un elemento presente y en muchas ocasiones indispensable en nuestra vida. Muchas veces tenemos tantas contraseñas en uso que las menos utilizadas se nos olvidan o para evitar que eso suceda las repetimos en todas nuestras cuentas (todos sabemos que esta no es la mejor opción). Independientemente de cómo gestiones tus cuentas y sus contraseñas desde ElevenPaths te recordamos la importancia de utilizar segundos factores de autenticación ya que pueden paliar las consecuencias de un robo de credenciales, por ejemplo, el uso de Latch y los TOTP.
