Tener una buena contraseña es vital para mantener nuestras cuentas seguras. Con ello evitamos que puedan acceder a nuestros servicios contratados, por ejemplo. Sin embargo puede ocurrir que la propia aplicación, página o servidor no utilice un buen sistema de seguridad para nuestras contraseñas. Eso es lo que han analizado desde Dashlane, un administrador de contraseña, que ha sacado un informe sobre las políticas de seguridad de contraseña de 40 servicios en línea. Hay algunos que se esfuerzan más en este aspecto.
Seguridad de contraseña
En total han sido 40 cuentas las analizadas en sitios de Internet. Registraron cuáles tienen un mejor sistema de seguridad de contraseña y sacaron conclusiones. Para ello tuvieron en cuenta 5 aspectos claves:
- ¿El sitio requiere que los usuarios tengan 8 o más caracteres en sus contraseñas?
- ¿Requiere que los usuarios tengan una contraseña que contenga una combinación de letras, números y símbolos?
- ¿Proporciona un medidor de fuerza de contraseña en pantalla para mostrar al usuario cómo de eficaz es su contraseña?
- ¿Cuenta con protección de fuerza bruta para permitir 10 intentos de inicio de sesión incorrectos sin proporcionar seguridad adicional (captcha, bloqueo de cuentas, etc?
- ¿Tiene autenticación de doble factor?
Seguro que casi todo lo anterior nos suena. Lo hemos visto a la hora de registrarnos en una página o al iniciar sesión con nuestras cuentas. No es lo mismo utilizar una contraseña sencilla que una mucho más compleja. Por ejemplo una clave muy fácil de averiguar puede ser antonio1985. Una persona que nos conozca podría averiguarla si utilizamos nuestros datos personales.
También sería un error utilizar una del tipo 8349240. Esta podría ser incluso imposible averiguar por una persona, si son números aleatorios. Sin embargo un programa informático podría averiguarla fácilmente.
Resultados
Los resultados que obtuvieron a la hora de analizar los diferentes servicios, sorprendieron al equipo Dashlane. Algunas de las páginas más populares no tenían las medidas de seguridad necesarias para garantizar a sus usuarios.
Los investigadores crearon contraseñas utilizando nada más que la letra minúscula “a” en sitios tan populares como Amazon, Dropbox, Google, Instagram, Linkedin, Netflix, Spotify o Uber.
Pudieron crear una cuenta en Netflix y Spotify utilizando la contraseña simple “aaaa”.
- 6 sitios Web no tenían políticas para prevenir ataques de fuerza bruta: Apple, Dropbox, Google, Twitter y Walmart.
- El 51% de los sitios para usuarios y el 36% para empresas no requieren que la contraseña tenga al menos 8 caracteres.
- El 48% de los sitios para usuarios y el 27% para empresas no requieren de caracteres alfanuméricos.
- El 76% de las páginas para usuarios y el 72% para empresas no mostraban un medidor de seguridad en pantalla.
- El 51% de los servicios para usuarios y el 45% para empresas no tenían protección contra fuerza bruta.
- El 32% tanto de los sitios para usuarios como para empresas, no ofrecen autenticación de doble factor.
- Del total de los sitios que comprobaron, únicamente GoDaddy, Stripe y Quick Books obtuvieron una buena puntuación en las cinco categorías.
- Por su parte, Netflix, Pandora, Spotify y Uber no cumplieron ninguna de las categorías.
Hubo por tanto importantes diferencias. Sorprende que algunos de los servicios más populares no tengan en cuenta el apartado de seguridad de contraseña.