Tener una contraseña segura es vital.
En general los passwords pueden dividirse según su nivel de seguridad entre débiles y fuertes.
Una contraseña débil es por ejemplo pepe1, 123321, 1961972, javiergarcia, etc.
Este tipo de contraseñas no son difíciles de adivinar ya que se relacionan fácilmente con el usuario.
Un password fuerte es aquel que no tiene relación con uno mismo.
¿Cómo conseguir un password seguro?
Hay una serie de reglas básicas imprescindibles para tener una contraseña fuerte y segura.

En primer lugar hay que empezar por analizar el password actual y ver si es lo suficientemente seguro.
Si vemos que no es lo suficientemente fuerte hay que inventarse un password complejo y memorizarlo.
Aunque a primera vista parezca que no nos acordaremos, hay que tener en cuenta que a base de escribirlo continuamente cada día acabaremos por aprenderlo y lo escribiremos mecánicamente por muy complejo que sea.
Si tenemos dificultades en dar con un password siempre podemos utilizar un generador de passwords.
Estos  sirven para crear passwords complejos que incluyan letras minúsculas y mayúsculas, números y símbolos de todo tipo.

Finlamente, hay que cambiar la contraseña cada cierto tiempo.
Esto evita que aunque pasado un tiempo logren descifrar tu contraseña compeja una vez no podrán hacer nada debido a que ya la has cambiado.
Más o menos hay que cambiar el password dos o tres veces al año.

Siguiendo estas simples reglas y manteniendo las contraseñas eficientemente estarás completamente seguro en todas tus operaciones en internet.

Por defecto, los servidores FTP requieren que el usuario haga login para poder actualizar o descargar archivos. Muchos hosts de la Web, sin embargo, ofrecen de forma adicional la habilidad para usar FTP anónimo. Básicamente, este servicio permite a los usuarios hacer login en un servidor FTP sin tener que aportar un nombre de usuario y contraseña.

La diferencia con los FTP anónimos, por tanto, reside en que están libres de usuario y contraseña. Como propietario de una página Web, podrías hacer un seguimiento de las direcciones de IP y los nombres de host en el caso de que alguien intente poner en riesgo tu sistema. Así que, a no ser que ofrezcas archivos de descarga pública, suele ser buena idea deshabilitar este sistema anónimo.

Últimamente hemos visto publicadas varias noticias sobre blogs WordPress alojados por Network Solutions que estaban siendo hackeados. Las credenciales de autentificación de las página Web fueron robadas, de modo que los blogs fueron utilizados para redirigir miles de visitantes a otras webs que distribuían malware . Parece ser que el archivo de configuración de WordPress, llamado “wp-config.php”, almacena la contraseña de la base de datos del usuario en forma de texto sin formato. A pesar de ello, los atacantes no tendrían acceso al archivo si los permisos son configurados. Las páginas hackeadas tenían archivos de configuración que daban permiso de lectura a terceros, incluidos los visitantes de la Web.

Dado que el error que permitió el ataque es responsabilidad del usuario y no de WordPress, es importante asegurarse de que los blogs de WordPress que estamos usando son seguros. Lo primero que podemos hacer es chmod wp-config.php a 640, es decir, negar el acceso a todo usuario externo:

chmod 650 wp-config.php

Lo segundo que podemos hacer es configurar los permisos de entrada con .htaccess, de este modo nadie que acceda al servidor Web necesitará tenr acceso al archivo.

# Para proteger wp-config.php
order allow, deny
deny from all

Estos cambios deberían ser suficientes para evitar hackeos en tu página Web de WordPress. Por último, una advertencia, ten en cuenta que algunos proveedores de hosting web proporcionan scripts automatizados para instalar WordPress y esto podría darte problemas de seguridad. Instala Worpress a mano siempre que puedas.

El sistema de administración de contraseñas de Linux, llamado PAM, te permite configurar esta función para que los usuarios no puedan reutilizar sus contraseñas antiguas. Para activarlo, sólo tienes que editar el archivo /etc/pam.d/system-auth.

Cuando hayas encontrado el fichero en el path que te indicamos, busca la línea que comienza con la palabra “password” y añade “remember=10” al final:

password sufficient pam_unix.so use_authtok md5 shadow remember=10

Cuando termines, recuerda guardar los cambios. Desde este momento los usuarios que accedan a tu servidor no podrán emplear las últimas 10 contraseñas que usaron en tu página. Así de fácil es configurar el número de passwords que quieres que Linux recuerde. Sin embargo, te aconsejo que vayas con cuidado con este tipo de restricciones. Si te pones muy pesado con el tema de la seguridad tus usuarios podrían empezar a cansarse.

Vía |www.cyberciti.biz
Fotografía | www.flickr.com

Si estás utilizando un servidor Web Linux que permite el acceso a varios usuarios, tienes muchas más probabilidades de errores y vulnerabilidades del sistema que se fueras su único “habitante”. Programar una renovación automática de la contraseña es un sistema de seguridad muy efectivo. Forzará a todos los usuarios a renovar su contraseña periódicamente y evitará que posibles atacantes se beneficien de su explotación.

El comando “change” de Linux te permitirá cambiar el número de días necesarios hasta la caducidad de la contraseña. Por ejemplo, para establecer un mínimo de días:

# chage -m

Así que, si queremos que un usuario llamado “bob” cambie su contraseña en 90 días, haríamos:

# chage -m 90 bob

Obviamente, si bob se conecta dentro de 90 días le aparecerá la petición de renovación de la contraseña. Si tarda unos días más en conectarse ocurrirá exactamente lo mismo.

Existen muchas más variables que podemos definir para configurar las fechas de caducidad de las cuentas de usuarios y contraseñas. Además, si los usuarios de tu Web renuevan su clave periódicamente acaban por descartar las claves antiguas que ya han dejado repartidas por toda la red, y comenzarán a ser más creativos con sus nuevas contraseñas, mejorando su seguridad. Eso sí, utiliza estos comandos con buenas intenciones.

Fotografía | www.flickr.com

Quizás el título de la entrada no quede muy claro al principio, pero pronto lo entenderéis. Si seguís este blog con cierta asiduidad (cosa que espero y deseo) quizás recordéis el caso del inquietante robo de dominios que sufrió Warren Weitzman, un famoso domainer. Entre esos dominios estaba el español adios.com, entre muchos otros.

Pues a este señor, que tenía repartidos varios dominios por varios registradores, un día le desaparecieron todos. Bueno no, cambiaron de registrador… como si él mismo los hubiera regalado. Al principio se habló de un grave problema de seguridad en los servidore y tal, pero no… todo ha sido a causa de una mala contraseña y un ladrón muy listo y con mucho tiempo libre, como ha comentado el propio Weitzman.

Ahora es cuando pilla sentido el título de este post… si tenéis dominios registrados (aunque no sean adios.com…) debéis procurar tener, primero, un servicio con las garantías de seguridad adecuadas. Y luego, una buena contraseña… en estos casos es aconsejable obviar fechas señaladas, números o direcciones… cualquier cosa que sea fácilmente adivinable por alguien de vuestro entorno incluso. Evitaréis sustos como el del señor Weitzman.

Vía | www.dnjournal.com
Imagen | www.flickr.com

Ahora que están tan de moda todo el tema de las redes sociales, los dominios, compras por Internet, mil registros que hay que tener y tal… creo que es el momento de hablar de una gran aplicación para no volverse loco con tanto nick y tanto sobrenombre. OpenID es un servicio que brinda al usuario la oportunidad de tener un único usuario y clave para acceder a todas las Webs en las que esté registrado.

El sistema es bien sencillo; puede que tengas contraseñas diferentes para entrar a Facebook, Twitter, tu propio dominio… o un sin fin de nicks… o puede que lo tengas todo mezclado. Pues bien, OpenID te permite guardarlas todas en un una misma cuenta y poder loguearte con un solo nombre y una sola contraseña a todos estos sitios, y siempre, claro, con el nick que le corresponde a cada sitio. No tiene más… genial, ¿no? Pues ale, ya estáis tardando en probarlo.

El servicio, aunque de momento no es universal, sí que es compatible con la mayoría de los sitios más populares de la Red; Flickr, AOL, Yahoo, WordPress y recientemente Facebook permiten loguearse mediante OpenID, y con el éxito que están teniendo de seguro que muy pronto Twitter, MySpace y cía se unirán a él.

Vía | openid.net
Fotografía (Original) | www.flickr.com

Supongo que recordáis lo que era una botnet… si no, os lo recuerdo yo; una botnet vendría a ser la red de ordenadores controlados por un único usuario que previamente han sido infectados mediante un ataque DDoS.

La mayoría de las personas ignoran que toda la información que guardan en sus ordenadores (contraseñas, datos bancarios, documentos importantes…) es tremendamente vulnerable cuando se producen estos ataques. De ahí la alegría de unos investigadores de la universidad de California (Santa Bárbara, EE.UU.) que han estado durante unos 10 días siguiendo el rastro de una botnet llamada Torpig y que finalmente han conseguido desarticular después de que ésta se hubiera hecho con más de 10 mil cuentas bancarias y otros tantos números de tarjetas de crédito.

La botnet fue hecha utilizando un rootkit MBR (master boot record), un proceso por el cual un ordenador es infectado personalmente por un usuario y que se ejecuta cuando dicho ordenador arranca, antes que se cargue el sistema operativo. Una vez que el quipo se infecta, el malware recolecta y envía la información cada 20 minutos, a la vez que se envía a sí mismo a otros ordenadores a través de ese primero, consiguiendo así la botnet. La información robada incluye direcciones de correo electrónico, contraseñas de Windows, etc. Torpig, en concreto, había conseguido obtener más de 70 GB de información. Ahí es nada…

Vía | www.thewhir.com
Fotografía | www.flickr.com