Cargando os contidos da páxina web. Por favor, espere.
Cargando os contidos da páxina web. Por favor, espere.
Un estudo realizado a grande escala sobre as páxinas Web protexidas con contrasinais revelou que a falta de estándares na industria repercute directamente na seguridade dos usuarios finais, prexudicándolles notablemente. Esta é unha das conclusións ás que chegaron os investigadores que levaron a cabo o estudo da Universidade de Cambridge.
En particular, dende o seu punto de vista, a debilidade das implementacións de autenticacións baseadas en contrasinais en páxinas web de baixa seguridade compromete as proteccións que si ofrecen sitios web con alta seguridade. Isto é así porque os usuarios reutilizamos os contrasinais con moita frecuencia. É o que explicaron Joseph Bonneau e Soren Preibusch nun Workshop sobre a economía na seguridade da información que se celebrou en Cambridge, Massachusetts.
Os atacantes poden aproveitarse así das páxinas Web con baixas medidas de seguridade para conseguir contrasinais asociados a certas direccións de correo electrónico e logo utilizar eses contrasinais roubados para acceder a contas que se encontran en páxinas web con maiores medidas de seguridade como as de comercio electrónico, por exemplo.
Nun esforzo que foi descrito polos investigadores como a investigación empírica máis grande realizada ata o momento sobre implementación de contrasinais, reuniron datos de 150 páxinas web e encontraron "cuestionables eleccións de deseño, inconsistencia e fallos imperdoables", tal e como describen Bonneau e Preibusch.
stes investigadores non culpan os usuarios por reutilizar os seus contrasinais ou por utilizar unhas moi sinxelas e, polo tanto, doadas de descubrir. E é que, dende o seu punto de vista, a maior parte dos usuarios teñen tantas contas online que xestionar, que é moi difícil ter un contrasinal para cada unha delas, facéndoas así máis impenetrables. "A decisión dos sitios web de recompilar contrasinais pode ser vista como unha traxedia, sobre todo se se ten en conta que hai tantos sitios Web que compiten entre si e esgotan a capacidade dos usuarios de recordar contrasinais seguros". Así, a gran maioría, o 78 por cento das páxinas examinadas por estes analistas, fallaron á hora de proporcionar aos usuarios retroacción ou advertencias para que escollesen contrasinais máis consistentes. Só cinco das páxinas analizadas permitían aos seus usuarios rexistrar pistas, unha estratexia que animaría os usuarios a utilizar contrasinais máis robustos. Só sete sitios requiriron os seus usuarios mesturar números e letras e só dous pedíronlles contrasinais que incluísen tamén carácteres non alfanuméricos.
Bonneau e Preibusch tamén sinalaron a debilidade do modo en que os contrasinais son subidos ao servidor cando un usuario as introduce na Web. Só tres páxinas utilizan técnicas que preveñen que o servidor poida recibir un contrasinal a simple vista á hora de entrar na web, aínda que o certo é que dúas delas recollían os textos sen encriptar cando se inscribían por primeira vez.
A maioría dos sitios web, 126 en total, parecían permitir intentos ilimitados para descubrir contrasinais; os investigadores chegaron a intentar ata 100 veces introducir un contrasinal. Finalmente, teclearon o contrasinal correcto e puideron acceder á web sen problemas. Isto indica que a maioría das páxinas web non se molestan en protexer os seus usuarios de posibles ataques deste tipo, nos que os cibercriminais se dedican a intentar deducir os contrasinais.
Así as cousas, a impresión xeral indica que as mellores prácticas no que a seguridade de contrasinais se refire son basicamente ignoradas. De feito, bastante máis da metade das páxinas presentaron fallos á hora de utilizar TLS para protexer a transmisión de contrasinais en todas as súas fases.
E no que Bonneau denominou "a peor práctica da industria", o 29 por cento das páxinas probadas, os usuarios de correo electrónico tecleaban os contrasinais de xeito visible, é dicir, non se ocultaban os carácteres tras os consabidos asteriscos.
Así as cousas, a adopción de protocolos como OpenID poderían axudar a homoxeneizar todo isto, repercutindo en beneficio de todos. Non obstante, Bonneau e Preibusch son pesimistas ao respecto e cren que o custo de soportar estas solucións se pagará coa diminución de oportunidades para recompilar máis información dos usuarios.
Un terzo dos resultados das buscas en Internet son perigosos
Así o afirma un estudo realizado por Symantec, no que aborda as ameazas ás que fai fronte a súa solución de seguridade Norton.
Un terzo dos resultados das buscas que realizamos en Internet ofrecen links perigosos. Así o afirma o fabricante de solucións de seguridade, Symantec, que realizou un estudo de mercado ao respecto. Para chegar a esta conclusión, os seus investigadores analizaron, durante dúas semanas, os 100 principais resultados das buscas dos 300 termos máis populares.
É máis, nun momento dado, 99 dos 100 primeiros resultados dunha busca correspondente a unha frase determinada, que non revelaron dende Symantec, conducían ata páxinas web maliciosas que foran deseñadas para infectar os usuarios con malware ou para roubar datos persoais como contrasinais.
Dende Symantec afirman que motores de busca como Google só son capaces de identificar e eliminar a metade de todos os links perigosos. Deste modo, tal e como advirten en Symantec, os resultados "envelenados" convértense nunha das principais ameazas on-line á que debemos facer fronte os internautas. Iso si, sen esquecer os ataques nas redes sociais e as constantes ofertas de antivirus falsos.
Como resultado, o desenvolvedor de solucións de seguridade quixo axudar a evitar estes perigos coa súa nova ferramenta, Norton Internet Security 2011.
O produto, que actualmente se encontra en fase beta e pode descargarse de xeito gratuíto dende a páxina web de Norton, conta co software de comprobación de URL de Symantec. Norton Safe Web Lite comproba as páxinas web que aparecen como resultado nas buscas realizadas en Google, Yahoo e Bing e alerta o usuario sobre aquelas das que sospeita que poden ser perigosas.
Dende Symantec xa confirmaron que a versión final de Norton Safe Web Lite estará dispoñible a finais deste mes.
Noton Internet Security 2011 tamén conta con Norton Safe Web para Facebook, que escanear a rede social para detectar posibles URL maliciosas, marcándoas de modo que o usuario as detecte e saiba que son perigosas antes de que faga clic nelas e vaia ao sitio web perigoso.
No futuro, dende Symantec esperan estender esta ferramenta a outras redes sociais como Twitter ou LinkedIn.
Está previsto que a versión completa de Norton Internet Security 2011 se lance en setembro. Os detalles sobre o seu prezo aínda non foron revelados.
Paula Bardera -29/6/20
"Saúdos dende versiongalega.com :)"
O deseño da páxina web foi creada baixo licenza CreativeCommons
