15 oct 2013

Guía de mejores prácticas para proteger sus contraseñas (II)

FreeDigitalPhotos.net
En este mundo impulsado por la tecnología, existe un enorme potencial de oportunidades, así como también riesgos significativos. Las organizaciones deben asegurarse de su activo más valioso: sus datos. Y la mejor manera de proteger los datos la encontramos siguiendo algunas recomendaciones de sentido común.

Verificación de dos pasos
Si la verificación de dos pasos se utilizara más, no importaría si las contraseñas fueron comprometida, ya que el hacker tendría que saber la contraseña y tener la posesión de los dispositivos de autenticación - en la mayoría de los casos los teléfonos de los usuarios.

Autenticación basada en riesgos
En la batalla entre la seguridad y la comodidad, hay peligros en ambos extremos: confiar únicamente en contraseñas deja las cuentas de los usuarios vulnerables, mientras que la autenticación de dos factores obligatorios para cada conexión o transacción trae costos, complejidad y otras molestias. La autenticación basada en riesgos establece un equilibrio entre los dos, eligiendo los requisitos de autenticación apropiados para cada sesión basada en factores específicos que detectan actividades sospechosas o inusuales.

Durante la sesión, los usuarios pueden establecer el dispositivo como un dispositivo de confianza. En una sesión posterior, ese dispositivo no requiere autenticación secundaria. Sin embargo, si el usuario inicia sesión desde un nuevo dispositivo, un evento de autenticación secundario se activará para su protección.

Comunicar con frecuencia
Las empresas que han sido hackeadas necesitan contactar rápidamente a los usuarios e informarles que se produjo una violación, cómo ocurrió y lo que el usuario tiene que hacer. Ser transparente sobre los datos que fueron comprometidos y lo que está haciendo para remediar los problemas encontrados. Ser transparente sobre su seguridad.

9 oct 2013

Guía de mejores prácticas para proteger sus contraseñas (I)

FreeDigitalPhotos.net
De acuerdo a datos del Ponemon Institute, el 55% de las pequeñas empresas en los EE.UU. sufren de alguna forma de violación de datos y el 53% tiene múltiples accesos no autorizados. Más del 50% es un número aterrador, y las violaciones de datos pueden impactar negativamente a todas las organizaciones, sin importar su tamaño. Bastasolo con  pensar en los recientes ejemplos de algunas empresas de alto perfil que han sido noticia de primera plana, incluyendo Skype, LivingSocial y Associated Press. Aunque estos hacks son muy diferentes, las siguientes mejores prácticas comunes podrían haber disminuido el efecto:

Asegúrese de no utilizar la misma contraseña dos veces
Los usuarios deben tener una contraseña aleatoria y distinta para cada sitio que utilizan. El problema con una contraseña robada es que con frecuencia el usuario ha aprovechado la misma contraseña en varias cuentas. Los hacks más insidiosos y dañinos son los que pasan desapercibidos por un largo período de tiempo. A menos que el sitio ofrezca autenticación de dos factores, los usuarios deben asumir siempre que cualquiera de sus cuentas podrían verse comprometidas con una contraseña. Dado que los usuarios suelen ser resistentes a la creación y mantenimiento de múltiples contraseñas, se recomienda que se almacenan las contraseñas en servicios como LastPass.

Protege tus contraseñas
Para el almacenamiento de contraseñas, vale la pena usar el proceso hash and salt que aumenta la seguridad del archivo donde estén almacenadas. Haga doble salt and hash de contraseñas hace casi imposible que se puedan descifrar. Si un sitio usa hash and salt, el hacker tiene que crear un diccionario de listas de hash por separado para cada usuario. Esto requiere mucho tiempo y hace el proceso más complejo si el sitio tiene millones de cuentas. Salazón y hash protege todas sus contraseñas de conseguir rotas con facilidad, pero las cuentas individuales son todavía susceptibles.

Añade un número telefónico para verificaciones adicionales
La comunicación por correo electrónico viene con su propio conjunto de desafíos, ya que también puede verse comprometida. Además, muchos usuarios aprovechan la misma credencial en todas sus cuentas. Es por eso que es imprescindible solicitar y verificar el número de teléfono de los usuarios cuando se registran en algún servicio. Usar un número de teléfono verificable para una cuenta permite otros beneficios posteriores como agilizar el restablecimiento de contraseñas y la comunicación segura a su base de usuarios, si alguna vez hay una fuga de datos en todo el sistema.

1 oct 2013

Nuevos alcances de la biometría de voz

FreeDigitalPhotos.net
Como si de una serie de ciencia ficción se tratara, pronto los avances en la biometría de voz podrían permitirnos comunicarnos con automóviles y otros sistemas de reconocimiento y autenticación.

"La biometría de voz emplea las características físicas del proceso de la voz de un ser humano para verificar su identidad", explica Walter Hamilton, consultor de ID Technology Partners y vicepresidente de la Asociación Internacional de Biometría e Identificación.

"No se trata de simplemente analizar la voz de una persona, sino del proceso por el cual cada persona produce el sonido de su voz. Utilizando algoritmos de correspondencia que analizan los patrones del habla creados por nuestro cuerpo, por lo que no se trata del sonido de la voz, sino del espectro de sonido que nuestro cuerpo está produciendo", explica Nik Stanbridge, vicepresidente de marketing Voice Vault."Desde el diafragma hasta los pulmones, la forma de la garganta, la lengua, la laringe y el paladar... empleamos todos esos componentes para producir el sonido de nuestras voces".

Para lograr el reconocimiento, se obtiene una muestra de voz para crear un modelo contra el cual se comparen las futuras expresiones. Para autenticaciones posteriores, la muestra original se compara con una actual para ver si hay suficientes similitudes, dice Hamilton.

La información almacenada en la computadora no es una grabación digital de la voz, sino una plantilla biométrica. "Es una serie de unos y ceros con un procesamiento algorítmico complejo basado una muestra". De esta manera, una persona no puede tener una plantilla y tratar de recrear la voz de otra persona con el fin de hacerse pasar por ella.

La tecnología biométrica de voz también puede adaptarse a una huella de voz de modo que cada vez que una persona se autentique, se añaden más datos para el sistema, que los algoritmos pueden usar para crear validaciones futuras. La biometría de voz se puede adaptar a verificaciones realizadas en diferentes entornos, como un teléfono fijo, una oficina, un teléfono inteligente e incluso en un automóvil.