Hola mi gente.

Durante el ultimo mes, mis oídos se enteraron de que a dos personas les habían pirateado sus cuentas de STEEMIT (el término real es "crackeado", pero dejaremos la semántica para otro día). Conocí a estos dos a través de las comunidades de la plataforma en Discord.

Así que hoy vamos a aprender cómo mantener nuestras cuentas a salvo de los piratas informáticos. Cuanto más comprendamos cuáles son todas las claves y cómo crear buenas frases de contraseña en lugar de contraseñas pésimas, más seguros estaremos. 

Es muy importante que todos nosotros comprendamos cómo mantener nuestras cuentas lo más seguras posible. Cuando hay dinero involucrado, aumenta el incentivo para los piratas informáticos.

Fuente

¿Qué es el phishing?

Phishing es cuando una persona malintencionada configura un sitio para que se vea exactamente como el que usa todos los días. Facebook es probablemente uno de los sitios más phishing debido a la enorme base de usuarios. Estos sitios falsos usarán un nombre que esté muy cerca del original para parecerse a la URL correcta de un vistazo.

Las formas comunes son usar una "L" minúscula en lugar de una "I" mayúscula en inglés, y hay muchas más para todos los idiomas. Es posible que escuche que todo lo que necesita hacer es asegurarse de que el candado verde de su navegador esté allí y que se encuentre en el sitio correcto.

Esto solo es cierto en parte, ya que cualquiera puede obtener un certificado SSL sin mucha molestia, pero es un buen primer paso. Nunca confíe en el candado verde como una forma infalible de saber que se encuentra en el sitio correcto, sino que utilícelo como una de las muchas señales de que está donde desea estar.

Frases SI. Contraseñas NO

Y te preguntaras por que esta es una distinción importante. El término 'contraseña' indica una sola palabra en lugar de múltiples palabras. Cuanto más larga es una frase de contraseña, mejor. Esto se debe a que cada nueva palabra agrega más entropía. La entropía es lo que hace que la contraseña sea difícil de adivinar tanto para las computadoras como para las personas.

El mejor método para formar una frase de contraseña es usar un sistema que no tenga vínculos con nosotros. Una frase de contraseña que tenga el nombre de nuestra escuela, el mes de nacimiento y el nombre de nuestra primera mascota puede ser larga, pero en estos días la información se compra y se vende. No toma mucho tiempo para que alguien aprenda dicha información sobre nosotros.

Las listas Diceware

Diceware es un sistema para construir contraseñas seguras que fue desarrollado por Arnold G. Reinhold. El método Diceware crea contraseñas seguras que son fáciles de recordar pero extremadamente difíciles de descifrar para los hackers. Las contraseñas contienen palabras aleatorias del diccionario, y es allí donde las listas son las más útiles. Busque en línea la "Diceware EFF List" y descargue el archivo. Para usar esta lista y hacer una frase de contraseña fuerte, tomamos cinco dados y los tiramos. Escriba los números y vuelva a tirar. Haz esto cinco o seis veces.

Ahora esos números que escribimos corresponden a palabras en la lista. Lo que obtenemos es una frase de contraseña que se ve así:

abogar-frasco-ropa-999-poste

Una cadena de palabras aleatorias que no tienen ninguna relación con nosotros en absoluto. Dado que son palabras y números, es fácil para nosotros memorizarlos, pero debido a su longitud es extremadamente difícil de adivinar.

Prueba de estos datos

Mírelo de esta manera: si podemos suponer que cualquier hacker puede ejecutar un trillón de conjeturas por segundo, ¿cuánto tiempo tardará en adivinar la frase de contraseña anterior?

¡52563 años!

Esas son algunas buenas probabilidades a nuestro favor. Pero veamos cuán rápidas pueden ser las contraseñas con una palabra menos en un trillón de conjeturas por segundo.

¡2 años y medio!

¡Mira cuán grande es la diferencia que hace una palabra! Ahora tenga en cuenta que no se puede esperar que recordemos una frase de contraseña como esta para cada sitio que utilizamos. Sin embargo, necesitamos usar una frase de contraseña diferente en cada sitio. Ingrese los administradores de contraseñas

Administradores de contraseñas

Un administrador de contraseñas es un programa que encripta y almacena sus contraseñas para cada sitio que visita. La mayoría de ellos incluso creará una contraseña segura y aleatoria para usted. El que yo uso se llama LastPass.

La frase de contraseña generada por los dados solo debe usarse para iniciar sesión en LastPass. Nunca lo use en ningún otro lugar o las posibilidades de que sea robado aumentan en gran medida.

Cómo funciona todo esto con STEEMIT

Tuvimos que cubrir todo eso para que podamos iniciar sesión en STEEMIT de la forma más segura posible. Necesitamos usar LastPass u otro administrador para ayudarnos a estar seguros de que estamos en Steemit o Busy. Es mucho más fácil para un hacker crear un sitio STEEMIT falso y robar nuestras claves.

Una vez que nos registramos en LastPass e instalamos la extensión del navegador, podemos crear el inicio de sesión. Para hacer esto, haga clic en el ícono de la extensión y luego haga clic en "Abrir mi Caja Fuerte". Una vez que la página se carga hay un pequeño círculo rojo con un baúl en el medio. También debe decir "Añadir sitio" en la parte inferior.

Ahora vemos una versión en blanco de la imagen a continuación.

1. Agregue https://steemit.com aquí (o https://steemconnect.com para @busy).
2. Ingrese su nombre de usuario.
3. Copie y pegue su contraseña maestra aquí (queremos mantenerla segura para cuando la necesitemos).
4. Pegue su clave de publicación privada aquí.

Obteniendo las llaves

Para obtener las claves y agregarlas a LastPass, debemos iniciar sesión con la contraseña maestra o la clave activa (si la contraseña maestra ya es segura).

1. Haga clic en Monedero
2. Haga clic en permisos
3. Haga clic en "Mostrar clave privada"

La clave de publicación privada reemplaza a la clave pública. Copie la clave privada y utilícela en el Paso 4 anterior. Si nunca planea iniciar sesión con su llave maestra, es bueno guardar su clave privada activa como hicimos en el Paso 3 de LastPass.

Antes de probar todo, revise todas las claves y asegúrese de que no haya errores. La forma más razonable de hacerlo es asegurarse de que los primeros cinco caracteres de las claves pegadas coincidan con lo que se muestra en Steemit. Haga lo mismo para los últimos cinco caracteres, también.

Vale la pena nuestro tiempo y esfuerzo para asegurarnos de que todo esté en su lugar. Iniciar sesión con la clave maestra o activa cada vez es un gran riesgo de seguridad. Puede que llegue el día en que ingresemos nuestra clave en un sitio Steemit falso y luego todo se pierda.

Hay algún indulto si solo iniciamos sesión con nuestra clave de publicación. Entonces, al menos, lo peor que puede hacer el atacante es hacer publicaciones, comentarios y votos ascendentes como nosotros. Eso todavía es menos que ideal y es por eso que usamos LastPass. Si el sitio no es realmente Steemit.com, entonces LastPass no mostrará nuestras opciones de inicio de sesión. Es una necesidad de seguridad para todos los Steemians.

¡Gracias por leer!