15 de julio de 2011

Hotmail prohibirá contraseñas sencillas

La preocupación por la facilidad con que las contraseñas pueden robarse o simplemente adivinarse es constante. Hotmail, el servicio de correo de Microsoft, ha anunciado un servicio por el que un usuario puede avisar de que sospecha que la cuenta de un amigo ha sido robada y Microsoft pondrá en marcha un sistema para evitar que esta filtración repercuta en usuarios amigos de la víctima. Hotmail avisará a otros servicios de correo en los que tenga cuenta el internauta que ha denunciado la situación para que tomen medidas preventivas. En el marco de esta política de seguridad, Hotmail impedirá acreditarse con contraseñas fáciles, del tipo "1234". Esto regirá para los nuevos miembros y para cuando uno de ellos quiera cambiarla. Próximamente impondrá esta cautela a quienes ya lo son. El sistema rechazará propuestas de contraseñas demasiado previsibles.

Según explica Microsoft, cuando un internauta recibe un correo de un amigo que incluye publicidad de un producto comercial o le pide dinero porque está fuera de su país (y el internauta amigo sabe que está en su casa) lo lógico es suponer que la cuenta del amigo ha sido robada por un distribuidor de spam (correo comercial no solicitado). Ante esta evidencia debe comunicarlo al servicio de correo para que tome medidas: bloquear la cuenta y avisar a su titular del problema para que renueve su acreditación.

En cuanto a la prohibición de contraseñas fáciles, Hotmail explica que se trata de prevenir el uso de aquellas que un sistema de simple fuerza bruta informática (pruebas de distintas combinaciones previsibles) permita obtenerla.

Google refuerza la verificación de contraseñas

El gigante de las búsquedas ha querido hacer hincapié en la seguridad de su correo, GMail, con un nuevo sistema de verificación. Además de pedir contraseña, como hasta ahora, si el usuario lo desea puede recibir un segundo código en su teléfono móvil para acceder al correo.

Sistema Mozilla

Mozilla trabaja en un prototipo de acreditación en los sitios que la exigen que evita el uso de nuevas contraseñas y el cruce de información para verificar la identidad del dueño de la cuenta. Así, basta con darse de alta a través del móvil para obtener un segundo código antes de acceder al correo.

El método se llama BrowserID y usa un sistema de cifrado con clave pública y privada para probar que el internauta es el titular de la cuenta de correo que presenta. El sistema permitirá acreditarse en un sitio clicando en una ventana y escogiendo una cuenta de correo. El sitio, el navegador y un sistema de verificación independiente usarán las claves para verificar la veracidad de la cuenta. Aunque existen métodos de acreditación externalizados propuestos, estos sistemas, afirma Mozilla, plantean el problema del almacenamiento de datos privados. Por ejemplo, Facebook ofrece a terceros su sistema de identificación Connect ID. Quien lo acepta puede permitir la entrada en su sitio con la contraseña de la cuenta de Facebook y así importar su red social y perfil a su sitio. Se trata, como explicaban en la nota oficial de lanzamiento en mayo de 2008, de poder llevarte a tus amigos allí donde vayas en Internet. Esta mayor visibilidad de la red social le permite a Facebook recolectar identidades.

Según The Register, el sistema actual con una cuenta de correo exige un trámite laborioso como el envío a la cuenta presentada de un mensaje de comprobación para desde allí confirmar el procedimiento.

En el blog donde Mozilla presenta el proyecto, explica que su sistema permite identificarse con un solo clic en cualquier sitio. Cualquiera con una cuenta de correo podrá acreditarse en BrowserID y los titulares del servicio de correo pueden implementarlo para facilitar la vida a sus miembros. Aunque el sistema está creado en Java y HTML, su diseño permite la futura integración en cualquier navegador.

Para instalar BrowserID, el internauta facilita una cuenta de correo y una contraseña. El servicio verifica la autenticidad de la cuenta y su titularidad. Entonces crea un par de llaves de cifrado, una pública que guarda el servicio y una privada que se instala en el navegador.Cuando se visita una web que admite BrowserID, el internauta simplemente debe clicar en un botón y seleccionar una cuenta de correo debidamente acreditada. El sitio usa el juego de claves para comprobar la autenticidad. Mozilla asegura que a diferencia de otros sistemas de registro cruzados, BrowserID no necesita comunicar los datos a terceros. El proceso de verificación se hace chequeando la combinación de la clave pública y privada.



Otras Entradas