Apple tuvo una idea para solucionar este problema: convertir el cargador del Macbook en una “llave física” para el equipo en caso de que olvidemos la clave. La idea fue patentada por la compañía, y si llega a aplicarse, significaría que un usuario olvidadizo simplemente necesitaría conectar el cargador, que proveería una clave única que permitiría acceder a la máquina.

En términos de seguridad, el asunto funcionaría bastante bien para la gente que se va a un café o al trabajo con su Macbook y deja el cargador en su casa. No funciona tan bien si un ladrón se roba también el cargador, ya que probablemente aprendería rápidamente el truco para desbloquear el equipo con él.

La patente, sin embargo, podría usarse también para otros dispositivos como iPhones, iPads o iPods, de los que normalmente la gente no lleva el cargador consigo, sino que los deja en la casa. También es posible que la compañía espere usar esto más adelante, cuando las baterías de los laptops duren tanto que no sea necesario andar con el cargador para todas partes. Eso haría el trabajo un poco más difícil a los ladrones.

No es una mala idea. Sería bueno que otras empresas puedan usar algo similar también más adelante, aunque el que ya esté patentado puede traer inconvenientes en esto.

Link: Apple patents a power charger that recalls forgotten passwords (Forbes)

Se hizo un compilado de 25 combinaciones inseguras, destacando la primerísima opción; password (contraseña), seguida de secuencias numéricas obvias como 123456 y 12345678, junto con otras secuencias del teclado que por lo general son muy mala opción a la hora de escoger una clave de seguridad.

También llaman la atención algunas palabras como monkey (mono), letmein (déjame entrar), dragon y master (maestro), que se repiten con tanta frecuencia que entran al listado del top 25. Es por esto mismo que también soprende la presencia de un par de nombres propios como ashley y michael, que al parecer son demasiado comunes en Norteamérica.

Sin más, veamos el listado completo de las 25 contraseñas más inseguras en Internet:

1. password
2. 123456
3. 12345678
4. qwerty
5. abc123
6. monkey
7. 1234567
8. letmein
9. trustno1
10. dragon
11. baseball
12. 111111
13. iloveyou
14. master
15. sunshine
16. ashley
17. bailey
18. passw0rd
19. shadow
20. 123123
21. 654321
22. superman
23. qazwsx
24. michael
25. football

Link: 25 Worst Internet Passwords (Fox News)

La medida inicialmente correría para la creación de nuevas cuentas de Hotmail o para quienes quieran cambiar sus claves actuales y más adelante se ampliaría a las cuentas que sigan teniendo estas claves.

Puede ser molesto para quienes no estén de acuerdo, pero definitivamente nos están haciendo a todos un favor ayudándonos a ser más precavidos.

También habrá una característica que permitirá reportar cuentas de amigos que posiblemente hayan sido hackeadas para enviar spam o correos fraudulentos y serán bloqueadas para que los spammers no puedan seguir utilizándolas y el amigo luego pueda entrar pasando por el proceso de recuperación de cuenta.

Link: Hotmail banning common passwords to beef up security (Ars Technica)

Mozilla lanzó un nuevo sistema para hacer log-in en sitios web desde el navegador, evitando tener passwords para cada página y los registros multi-sitios como los de Google y Facebook, que se activan automáticamente.

Bautizado “BrowserID”, el sistema usa un nuevo “protocolo de email verificado”, que usa criptografía asimétrica para probar que un usuario es el dueño de una dirección de correo. En términos prácticos, puedes entrar en una web simplemente haciendo clic en un botón y escogiendo con qué email quieres entrar. Por detrás, el sitio, el navegador y un servicio separado de verificación comprueban tu identidad.

Para un desarrollador web, crear una nueva aplicación siempre implica un problema molesto: ¿cómo ingresan los usuarios? Un correo electrónico con un paso de confirmación es el método clásico, pero requiere del tiempo del usuario y que tome un paso extra para recordar otra contraseña. Entregar el manejo de identidad y registro a grandes proveedores como Facebook, Twitter o Google es una opción, pero eso también vienen con un ‘encierro’ de los usuarios, problemas de confianza y preocupaciones de privacidad”, explicó Mozilla en su blog.

BrowserID, según la empresa, es la solución a estos problemas. Para configurarlo, hay que entregar una dirección de correo y una contraseña. Esto es luego enviado al servicio de verificación, que te envía un mail donde puedes comprobar que realmente eres el dueño de esa cuenta de correo (es una verificación parecida a la que se hace cuando pierdes una contraseña y te la mandan al mail).

El servicio luego crea un par de claves criptográficas, guardando una pública para ellos y dejando una privada dentro del navegador. Cuando visitas un sitio que permite BrowserID, simplemente haces clic en “entrar”, seleccionas el correo que inscribiste en el sistema (puedes inscribir más de un e-mail) y listo. El sitio busca las claves y confirma tu identidad.

Mozilla espera que los proveedores de correo electrónico implementen también BrowserID, lo que facilitaría el proceso de verificación. La organización indicó que el servicio almacena datos de una serie de sitios con los que usas tu e-mail, y si los proveedores de correo se suman, tendrían acceso a esos datos. Mozilla dice, sin embargo, que a diferencia de los servicios múltiples de registro (como Google o Facebook), ellos no filtran datos a otros servidores. Pueden probar el sistema en los links de abajo.

Links:
- Demo para probar el sistema
- BrowserID for developers
-  Identity at Mozilla

Mientras este señor clamaba ser inocente, los agentes inspeccionaban su casa, confiscaron su computadora, su iPad, su iPhone (incluyendo el de su esposa). Y tuvieron que pasar tres días para que se dieran cuenta que estaba diciendo la verdad.

Al final, todo fue un malentendido ya que el verdadero pedófilo era un vecino que se robaba la señal WiFi, y esta fue la razón por la que los investigadores se confundieron. Después de arrestar al verdadero culpable, un abogado de Estados Unidos y un jefe de I.C.E. se disculparon con la víctima de su error; quién por cierto no levantará cargos y aprendió que es importante tener un password de seguridad del WiFi.

Link: Man wrongly-accused of child porn learns to password-protect WiFi the hard way (geek)

Pensar contraseñas es una tarea difícil y a veces se nos ocurre la estúpida idea de usar passwords como 123456 o QWERTY. En realidad si tienes uno de esos dos eres una vergüenza de internet.

Pero otras claves un poco más largas también pueden ser frágiles. O así por lo menos lo deja claro este cuadro, que revela cuánto puede tomarle a alguien descifrar tu clave dependiendo de la complejidad que tiene. Así que ya saben, no le hagan la tarea fácil a quienes quieren apropiarse de tus datos…

Link: BusinessWeek (vía Geekologie)

Dada la gran cantidad de cosas que guardamos en los servicios de Google, a veces parece un poco simple que toda la protección que tengamos sea un sólo password y nada más. Pensando en esto, Google lanzó hoy un sistema de login doble, para dar mayor seguridad a los usuarios.

La opción debe activarse en la configuración de tu cuenta. Luego de eso, además de solicitar tu contraseña normal para entrar a Gmail o Google Docs, el servicio te pedirá una segunda contraseña que es un código que se te enviará a tu teléfono móvil vía SMS. También puedes descargar una aplicación para Android, iOS o BlackBerry que generará los códigos (como los “pinpass” del banco en Chile) – y que probablemente será la opción más viable en países que no son Estados Unidos.

La opción se irá liberando de a poco para los usuarios, por lo que es posible que no la veas todavía entre las alternativas.

“Tu cuenta de Gmail, tus fotos, tus documentos privados – si reusas el mismo password en múltiples sitios y uno de ellos es hackeado, o te lo quitan engañándote a través de phishing, puede ser usado para acceder a tu información más privada”, señala el blog de Google.

El proceso de configuración del nuevo sistema no es tan simple (según Google tomará 15 minutos), y deberás entregar un número de teléfono al que puedan enviarte mensajes. También hará que el proceso de login se demore un poquito más – deberás ingresar 2 passwords – pero sin duda, será algo más seguro.

“Cuando ingreses este código después de haber enviado correctamente tu password, sabremos bien que la persona que está entrando al servicio eres realmente tú. Es un paso más, pero es uno que mejorará significativamente la seguridad de tu cuenta de Google por requiere la combinación de algo que sabes – como tu nombre de usuario y contraseña – y algo que sólo tú deberías tener – tu teléfono”, dice la compañía.

También puedes poner un “teléfono de respaldo” en caso de que te roben tu equipo, para no quedarte fuera de tu mail si eso sucede.

Link: Advanced sign-in security for you Google account (Google Blog)

(cc) .schill

Oliver Drage (19) fue arrestado en mayo del año pasado en medio de una investigación por explotación sexual infantil. Su computador fue confiscado por la policía en busca de evidencia, pero oh sorpresa: no se podía acceder a una parte del material almacenado debido a que estaba encriptado bajo una contraseña de 50 caracteres.

Naturalmente, la policía le pidió al joven el código de acceso, a lo que él se negó. Como consecuencia, fue sentenciado a 16 semanas en una correccional para jóvenes.

La medida fue tomada bajo el amparo de una ley que rige desde 2000 en Inglaterra (Regulation of Investigatory Powers Act), que permite mandar a prisión en estos casos – aún sin pruebas de que el chico sea culpable de algo. No es primer caso de este tipo en ese país.

La sentencia, de acuerdo a la corte, “envía un robusto mensaje a aquellos que intentan enmascarar sus actividades criminales, de que serán puestos ante la ley con las más duras sanciones, y en este caso, se trata de una sentencia de custodia”.

La policía todavía está tratando de descifrar la contraseña de 50 caracteres.

El asunto aquí es complicado, porque no se sabe si el chico es inocente o no: no hay pruebas de que haya cometido el crimen del que se le acusa, y la única cosa que podría ser prueba está encriptada bajo 50 caracteres. El hecho de que no quiera revelar el password, por otro lado, podría ser una forma de “proteger su privacidad”, sin embargo, al mismo tiempo lo hace parecer culpable.

Link: Youth jailed for not handing over encryption password (The Register)

Link: Juanelo

En su defensa, dijo que había establecido una contraseña requerida para hacer cualquier operación relativa a nóminas de pago, al Departamento de Policía y al sistema carcelario porque presentía que lo iban a despedir y consideraba que su jefe Richard Robinson (COO del Departamento de Tecnología y Servicios de Información de S.F.) no estaba calificado para el puesto. Por lo mismo después de que lo despidieron se negó a entregar el password durante 12 días y al final sólo accedió a entregarlo al alcalde de la ciudad, Gavin Newsom.

Se estima que su negación le costó unos USD 200.000 a la ciudad, y que al  negar la pass de administrador violó las leyes del estado, por lo que ha sido condenado a 4 años de cárcel. Claramente no tomó el mejor camino para desquitarse de un jefe incompetente, pero llama la atención que crackers (o hackers de sombrero negro) que han causado daños mucho mayores han recibido condenas menores y a veces se han ido para la casa tranquilamente.

Links: Terry Childs gets four year sentence (CSO Online)

Fuente: el ocio.

Para alguien que provocó el Big Bang de una patada giratoria, pareciera que espiar los perfiles privados de Facebook es un poco mundano, pero en una entrevista del blog The Rumpus a un funcionario de Facebook que se mantuvo en el anonimato, se reveló que el legendario artemarcialista te allanaba el camino a cualquier perfil.

En realidad, el personaje anónimo confirmó una vieja leyenda urbana, sobre la existencia de un password universal que te dejaba loguearte como cualquier usuario, sólo ingresabas el ID y el password universal y listo, podías entrar, leer los mensajes privados, cambiar las preferencias políticas y dejar un comentario en el muro de la novia. El password tenía letras mayúsculas y minúsculas, símbolos y números, pero para alguien que entendía el código leet o 1337 se leía clarito “Chuck Norris”. Suponemos que era algo como “( hµcK N0Rr1$“, quien sabe.

Según el “informante”, el super password sólo podía usarse desde el interior de las oficinas de Facebook, de manera que conocerlo no te servía de nada si te conectabas de otro lado. Era, además, estrictamente para propósitos ingenieriles (?). Contó que un par de empleados que hicieron mal uso notorio de ese poder fueron despedidos en el acto, pero que todos, cual más, cual menos, habían usado el password para fisgonear un poco. Señaló también que el password ya no existe, que esta funcionalidad se quitó, pero que los empleados tienen acceso a la base de datos, asi que en realidad si quieren igual pueden ver todo lo que se les antoje.

Por cierto, la entrevista no giraba enteramente en torno a Chuck Norris. Lo que verdaderamente me llamó la atención fue que el informante reconoció muy suelto e cuerpo que Facebook no borra nada. Se guarda cada palabra aunque la borres, cada foto que subes aunqe te arrepientas. Se guarda cada uno de tus clicks: para saber quienes son tus mejores amigos, hay programas detrás analizando qué perfiles son los que más visitas.

Al final, Mark Zuckerberg dice que la privacidad es para los ñoños, pero le creas o no, muy en el fondo sabes que hay un empleado revisándote los mensajes privados en sus horas libres. Quién te manda a usar ese sitio, también.

Link:  Conversations About the Internet #5: Anonymous Facebook Employee (The Rumpus)

Falta menos de un mes para que llegue Navidad y ya comenzamos a recibir regalos. Esta vez llegan en forma de licencias de Software.

La gente de AnyBizSoft esta otorgando de manera gratuita las licencias de PDF Password Remover, una aplicación que nos permite eliminar de los PDF la restricción de Owner Password. Normalmente estas licencias cuestan U$S 19,95 pero se podrán conseguir sin costo alguno.

Para hacerlo basta con visitar sitio oficial de PDF Password Remover y hacer click sobre “Get Keycode”. Luego completamos un formulario mínimo y se nos enviará en un email el código de activación.

¿Tu agenda no te permite visitar el sitio y completar el formulario en el día de hoy? No te preocupes. Hay tiempo hasta el 24 de febrero de 2010.

Link: AnyBizSoft (Sitio Oficial de AnyBizSoft)

(cc) Simon Lieschke

Hace pocos días supimos de un masivo ataque de phishing, en el que algunos bandidos recolectaron datos de miles y miles de cuentas de correo de Hotmail, Gmail y Yahoo mail que fueron publicados online.

Tan tremenda base de datos provee una buena fuente para conocer algunas tendencias entre las personas. Eso es lo que pensó Bodgan Calin de Acunetix, quien pudo descargar los datos antes de que fueran eliminados e hizo un completo análisis de las 10.000 cuentas que se conocieron el lunes.

Y sí, la contraseña más repetida (64 veces de un total de 10.028) fue el archi-común, nada creativo, 123456 junto con otras variaciones de estos números.

Los 10 passwords más comunes:

1. 123456 (64 apariciones)
2. 123456789 (18)
3. alejandra (11)
4. 111111 (10)
5. alberto (9)
6. tequiero (9)
7. alejandro (9)
8. 12345678 (9)
9. 1234567 (8)
10. estrella (7)

La cantidad de nombres y palabras en español hace suponer que la mayoría de las víctimas son latinos (y que la gente tiende a usar el nombre de personas que conoce como contraseña).

Otros datos interesantes que se encontraron fueron que casi 2.000 del total de passwords tiene sólo 6 letras, mientras que el más largo de la muestra llegó a 30 letras.

Pese al trabajo de este último en crear un password tan largo (“lafaroleratropezoooooooooooooo”), el que su clave esté publicada muestra que en realidad no le sirvió de nada.

Link: The Most Popular Password Is 123456 (Just Like Spaceballs) (Gizmodo)