Una breve guía de los conceptos básicos de ciberseguridad

El lunes pasado, Recibí un correo electrónico de Spotify diciendo que alguien en Brasil había iniciado sesión en mi cuenta.

Lo comprobé. Efectivamente:un extraño estaba usando mi Spotify para escuchar a Michael Jackson. Le dije a Spotify que "me desconectara en todas partes", pero no cambié mi contraseña.

El miércoles, ha pasado de nuevo. A las 2 a.m., Recibí otro correo electrónico de Spotify. Esta vez, mi astuto amigo brasileño estaba escuchando a Prince. Y aparentemente les gustó el aspecto de una de mis listas de reproducción ("Funk Is Its Own Reward"), porque ellos también habían estado escuchando eso.

Me desconecté en todas partes de nuevo y esta vez que cambié mi contraseña. Y tomé una resolución.

Verás, Hice un mal trabajo en la implementación de medidas modernas de seguridad en línea. Sí, Tengo mis cuentas financieras críticas bloqueadas con autenticación de dos factores, etc., pero sobre todo soy descuidado cuando se trata de ciberseguridad.

Por ejemplo, Reutilizo las contraseñas. Sigo usando contraseñas de Hace treinta años para situaciones de baja seguridad (como inscribirse en un club de vinos o un programa de fidelización empresarial). Y aunque he comenzado a crear contraseñas seguras (pero fáciles de recordar) para cuentas más importantes, todas estas contraseñas siguen un patrón y no son aleatorias. Lo peor de todo, Mantengo un documento de texto sin formato de 20 años en el que guardo todos de mi información personal sensible.

Esto es tonto. Tonto tonto tonto tonto tonto

Se que es tonto pero nunca me he molestado en hacer cambios, hasta ahora. Ahora, por muchas razones, Siento que es hora de hacer mi vida digital un poco más segura. Pasé varias horas durante el fin de semana bloqueando las cosas. Así es cómo.

Una breve guía de ciberseguridad

Coincidentemente, el mismo día en que mi cuenta de Spotify se usó para transmitir los grandes éxitos de Prince en Brasil, un usuario de Reddit llamado / u / ACheetoBandito publicó una guía de ciberseguridad en / r / fatFIRE. ¡Que conveniente!

“La ciberseguridad es un componente fundamental de la seguridad financiera, pero rara vez se discute en los círculos de finanzas personales, ”/ U / ACheetoBandito escribió. “Tenga en cuenta que los profesionales de la ciberseguridad no están de acuerdo sobre las mejores prácticas para la ciberseguridad personal. Este es mi perspectiva, ya que tengo cierta experiencia en el área ".

No reproduciré la publicación completa aquí, definitivamente deberías leerla, si este tema es importante para ti, pero yo voluntad enumere el resumen con viñetas junto con algunos de mis propios pensamientos. Nuestro amigo de dedos anaranjados recomienda que cualquier persona preocupada por la ciberseguridad siga los siguientes pasos:

1. Obtenga al menos dos llaves de seguridad basadas en hardware. Mi amigo Robert Farrington (de The College Investor) usa YubiKey. Google ofrece su llave de seguridad Titan. (Pedí el YubiKey 5c nano debido a su factor de forma mínimo).
2. Configure una cuenta de correo electrónico privada secreta. Su dirección de correo electrónico privada no debe estar vinculada a alguna camino a su correo electrónico público, y la dirección no se debe dar a nadie. (Ya tengo muchas cuentas de correo electrónico públicas, pero no tenía una dirección privada. Ahora si.)
3. Active la Protección avanzada para sus cuentas de Gmail públicas y privadas. Advanced Protection es un complemento de seguridad gratuito de Google. Vincula esto a las claves de seguridad que adquiriste en el paso uno. (No configuré esto porque mis llaves de seguridad no llegarán hasta esta tarde).
4. Configura un administrador de contraseñas. El administrador de contraseñas que elija depende de usted. La clave es elegir uno que usar . Es mejor si esta aplicación es compatible con sus nuevas claves de seguridad para la autenticación. (Cubriré algunas opciones en la siguiente sección de este artículo).
5. Genere nuevas contraseñas para todos cuentas. Cree manualmente contraseñas memorables para sus direcciones de correo electrónico, sus computadoras (y dispositivos móviles), y para el propio administrador de contraseñas. Todas las demás contraseñas deben ser contraseñas seguras generadas aleatoriamente por el administrador de contraseñas.
6. Asocie cuentas críticas con su nueva dirección de correo electrónico privada. Esto incluirá cuentas financieras, como sus bancos, corretajes, y tarjetas de crédito. Pero también podría incluir otras cuentas. (Usaré mi dirección de correo electrónico privada para los servicios principales relacionados con este sitio web, por ejemplo.)
7. Active las medidas de seguridad adicionales para todas las cuentas. Las funciones disponibles variarán de un proveedor a otro, pero en términos generales, debería poder activar la autenticación de dos factores (con las llaves de seguridad, siempre que sea posible) y alertas de inicio de sesión.
8. Active las alertas de texto / correo electrónico para cuentas financieras. También puede activar las alertas de cambios en su puntaje de crédito y / o informe de crédito.
9. Active las medidas de seguridad en sus dispositivos móviles. Su teléfono debe estar bloqueado por una fuerte medida de autorización. Y cada una de sus aplicaciones financieras individuales debe estar bloqueada con una contraseña y cualquier otra medida de seguridad posible.

/ u / ACheetoBandito recomienda algunos Medidas de seguridad opcionales. (Y todo ese hilo de discusión de Reddit está lleno de excelentes consejos de seguridad).

Es posible que desee congelar su crédito (aunque, si lo haces, recuerde que ocasionalmente necesitará Naciones Unidas -congelar su crédito para realizar transacciones financieras). Algunas personas querrán cifrar sus teléfonos y discos duros. Y si está muy preocupado por la seguridad, compre una Chromebook barata y utilícela como solamente dispositivo en el que realiza transacciones financieras. (Por extraño que parezca, Estoy dando este último paso opcional. Tiene sentido para mí - y puede ser una oportunidad para ir más allá de Quicken).

Explorando los mejores administradores de contraseñas

Okey, ¡estupendo! Pedí una nueva Chromebook de $ 150 y dos llaves de seguridad basadas en hardware. Configuré un nuevo dirección de correo electrónico ultrasecreta, que conectaré a cualquier cuenta que necesite seguridad adicional. Pero todavía no he abordado el punto más débil del proceso:mi documento de texto lleno de contraseñas.

Parte del problema es la complacencia. Mi sistema es simple y me gusta. Pero otra parte del problema es la parálisis del análisis. Hay un lote de los administradores de contraseñas que existen, y no tengo ni idea de cómo diferenciarlos, para averiguar cuál es el adecuado para mí y mis necesidades.

Por ayuda, Les pedí a mis amigos de Facebook que enumeraran los mejores administradores de contraseñas. Descargué e instalé cada una de sus sugerencias, luego anoté algunas impresiones iniciales.

• LastPass:16 votos (2 de los nerds de la tecnología) - LastPass fue, con mucho, el administrador de contraseñas más popular entre mis amigos de Facebook. A la gente le encanta. Lo instalé y hurgué y parece… bien. La interfaz es un poco torpe y el conjunto de funciones parece adecuado (pero no robusto). La aplicación utiliza la metáfora de "bóveda" fácil de entender, que me gusta. LastPass es gratis (con opciones premium disponibles por un costo adicional).
• 1Password:7 votos (4 de los nerds de la tecnología):esta aplicación tiene características similares a Bitwarden o LastPass. La interfaz es lo suficientemente agradable, y parece proporcionar alertas de seguridad. 1Password cuesta $ 36 / año.
• Bitwarden:4 votos (2 de los nerds tecnológicos) - Bitwarden tiene un simple, interfaz fácil de entender. Utiliza la misma metáfora de "bóveda" que utilizan productos como LastPass y 1Password. Es un fuerte competidor para convertirse en la herramienta que uso. Bitwarden es gratis. Por $ 10 al año, puede agregar funciones de seguridad premium.
• KeePass:2 votos - KeePass es un administrador de contraseñas de código abierto gratuito. Hay instalaciones de KeePass disponibles para todos los principales sistemas operativos móviles y de computadoras. Si eres un fanático de Linux (o un defensor del código abierto), esta podría ser una buena opción. No me gusta su funcionalidad limitada y su terrible interfaz. KeePass es gratis.
• Dashlane:2 votos - De todos los administradores de contraseñas que miré, Dashlane tiene la interfaz más agradable y la mayor cantidad de funciones. Como muchas de estas herramientas, utiliza la metáfora de la "bóveda", pero le permite almacenar más cosas en esta bóveda que otras herramientas. (Puede almacenar información de identificación:licencia de conducir, pasaporte, por ejemplo. También hay un lugar para guardar los recibos). Dashlane tiene una opción básica gratuita pero la mayoría de la gente querrá la opción de prima de $ 60 al año. (También hay una opción de $ 120 / año que incluye monitoreo de crédito y seguro contra robo de identidad).
• Blur:1 voto:Blur es diferente a la mayoría de los administradores de contraseñas. Literalmente, intenta difuminar su identidad en línea. Evita que los navegadores web te rastreen, enmascara direcciones de correo electrónico y tarjetas de crédito y números de teléfono, y (por supuesto) gestiona contraseñas. Quiero algunas funciones que Blur no tiene, y no quiero algunas de las funciones que lo hace tengo. Blur cuesta un mínimo de $ 39 / año pero ese precio puede llegar a ser mucho más alto.
• Apple Keychain:1 voto:Keychain ha sido el administrador de contraseñas integrado de Apple desde 1999. Como tal, está disponible gratuitamente en dispositivos Apple. La mayoría de la gente de Mac e iOS usa Keychain sin siquiera darse cuenta. No es lo suficientemente robusto para hacer otra cosa que almacenar contraseñas, así que no le di mucha consideración. El llavero es gratuito y viene instalado en los productos Apple.

Déjame ser claro: Hice solo un examen superficial de estos administradores de contraseñas. No me sumergí profundamente. Si intentara comparar todas las funciones de cada administrador de contraseñas, Yo nunca elegiría. Volvería a quedar atrapado en la parálisis del análisis. Entonces, Les di a cada uno una rápida mirada y tomé una decisión basada en el instinto y la intuición.

De estas herramientas, dos se destacaron:Bitwarden y Dashlane. Ambos tienen interfaces agradables y muchas características. Ambas herramientas ofrecen versiones gratuitas, pero me gustaría actualizarme a un plan premium pagado para obtener acceso a la autenticación de dos factores (usando mis nuevas claves de seguridad de hardware) y al monitoreo de seguridad. Aquí es donde Bitwarden tiene una gran ventaja. Son solo $ 10 por año. Para obtener las mismas funciones, Dashlane cuesta $ 60 al año.

Pero esta es la cuestión.

En realidad comencé utilizando ambas herramientas al mismo tiempo, ingresando las contraseñas de mi sitio web una por una. Me detuve después de ingresar diez sitios en cada uno. Estaba claro que prefería mucho usar Dashlane a Bitwarden. Simplemente funciona de una manera que tiene sentido para mí. (Tu experiencia puede ser diferente). Por un rato al menos, Usaré Dashlane como mi administrador de contraseñas.

El problema con las contraseñas

Mi motivo principal para usar un administrador de contraseñas es sacar mi información confidencial de un documento de texto sin formato y convertirla en algo más seguro. Pero tengo un motivo secundario:quiero mejorar la seguridad de mis contraseñas.

Cuando comencé a usar Internet, en la década de 1980, antes de la llegada de la World Wide Web, no pensé en la seguridad de las contraseñas. La primera contraseña que creé (en 1989) fue simplemente el nombre de mi amigo que me permitió usar su computadora para acceder a los Bulletin Board Systems locales. Usé esa contraseña para años en todo, desde cuentas de correo electrónico hasta sitios bancarios. Todavía la considero mi contraseña de "baja seguridad" para cosas que no son críticas.

Tengo tal vez ocho o diez contraseñas como esta:corta, contraseñas simples que he usado en docenas de ubicaciones. Durante los últimos cinco años, Intenté cambiar a contraseñas únicas para cada sitio, contraseñas que siguen un patrón. Si bien estos son una mejora, todavía no son geniales. Como digo, siguen un patrón. Y mientras contienen letras, números, y simbolos, todos son relativamente cortos.

Como se podría esperar, mi protocolo de contraseña descuidado ha creado una especie de pesadilla de seguridad. Aquí hay una captura de pantalla de la herramienta de verificación de contraseña de Google para una de mis cuentas.

Obtengo resultados similares para todos de mis cuentas de Google. ¡Ay!

Más, está el problema de compartir cuentas.

Kim y yo compartimos una cuenta de Netflix. Y una cuenta de Amazon. Y una cuenta de Hulu. Y una cuenta de iTunes. De hecho, probablemente compartamos veinte o treinta cuentas. Ella y yo usamos la misma contraseña fácil de recordar para todos estos inicios de sesión. Si bien ninguna de estas cuentas es muy sensible, lo que estamos haciendo sigue siendo una mala idea.

Entonces, Quiero comenzar a moverme hacia contraseñas más seguras, incluso para las cuentas que comparto con Kim.

La buena noticia es que la mayoría de los administradores de contraseñas, incluido Dashlane, generarán automáticamente contraseñas aleatorias para usted. O podría intentar algo similar a la idea sugerida en este cómic de XKCD:

El problema, por supuesto, es que cada lugar tiene diferentes requisitos para las contraseñas. Algunos requieren números. Algunos requieren símbolos. Algunos dicen no símbolos. Etcétera. ¡No conozco ningún sitio que me permita usar cuatro palabras comunes al azar para una contraseña!

Por ahora, Voy a adoptar un enfoque de tres puntos:

• Crearé manualmente contraseñas largas (pero memorables) para mis cuentas más importantes. Este es el método XKCD.
• Para las cuentas que comparto con Kim - Netflix, etcétera:crearé nuevos, contraseñas memorables que siguen un patrón.
• Por todo lo demás Dejaré que mi administrador de contraseñas genere contraseñas aleatorias.

Esto parece un buen equilibrio entre usabilidad y seguridad. Cada contraseña será diferente. Solo los que comparto con Kim serán cortos; todos los demás serán largos. Y la mayoría de mis nuevas contraseñas serán un galimatías al azar.

Reflexiones finales sobre ciberseguridad

En este breve video de Tech Insider, un ex experto en seguridad de la Agencia de Seguridad Nacional comparte sus cinco consejos principales para protegerse en línea.

Notarás que son similares a la guía de ciberseguridad de Reddit que publiqué anteriormente en este artículo. Estos son los pasos que dice que debe seguir para mantenerse a salvo:

• Habilite la autenticación de dos factores siempre que sea posible.
• No use la misma contraseña en todas partes.
• Mantenga actualizado su sistema operativo (y software).
• Tenga cuidado con lo que publica en las redes sociales.
• Hacer no compartir información personal a menos que sea cierto está tratando con una empresa o persona de confianza.

No pretenderé que los pasos que estoy tomando me protegerán por completo. Pero mi nuevo sistema es ciertamente una actualización de lo que he estado haciendo durante los últimos 20 años, que fue, como he mencionado, tonto tonto tonto

Y tengo que confesar:yo igual que la idea de restringir mi vida financiera en línea a una sola computadora:la nueva Chromebook de $ 150. No estoy seguro de si esto es realmente factible, pero voy a intentarlo. Si esto funciona, entonces puedo ver si puedo encontrar una herramienta de administración de dinero que me guste para la máquina. ¡Quizás entonces finalmente pueda dejar atrás Quicken 2007 para Mac!