Al enviar una contraseña por Internet, por ejemplo a nuestro cliente una vez acabado el proyecto, debemos prestar especial atención a que podemos ser atacados y la contraseña robada.
Una buena práctica sería enviar los datos por separado, es decir, evitar juntar nombre de cuenta y contraseña en el mismo mensaje. Además, si estos mensajes están separados lo suficientemente en el tiempo significa que un posible atacante debe mantenerse capturando mensajes la misma cantidad de tiempo, de lo contrario se arriesga a perder la mitad de la información de acceso. Esto requiere haberlo acordado previamente con el cliente, de no ser así estaremos esperando que el cliente intuya que los datos que le hemos enviado separados tienen relación entre sí. No podemos asumirlo o nos arriesgamos a que esté insatisfecho pues no ha recibido la contraseña o una manera de manejar su producto como administrador.
Una herramienta que podemos utilizar es Gmail, de Google, los mensajes de Gmail pueden ir encriptados en varios niveles:
Otra herramienta útil para esta tarea es Enigmail, un add-on de Mozilla Thunderbird. Este permite encriptar nuestros mensajes con OpenPGP, es decir PGP, del inglés “Pretty Good Privacy”. PGP utiliza a la vez cifrado simétrico y asimétrico. Primero genera una clave de sesión única y mediante un algoritmo simétrico cifra el mensaje. Por un lado estos algoritmos son rápidos de utilizar, lo malo es que también son fáciles de atacar cuando se difunde el mensaje y la clave de sesión, si no protegemos esta clave o algoritmo utilizado quedamos al descubierto. La clave de sesión se encripta usando la clave pública del destinatario y se envía el mensaje y la clave cifrada. El destinatario sólo tiene que descifrar la clave de sesión con su clave privada y luego usarla para descifrar el mensaje. Puedes descargar Enigmail desde su página. Nosotros no hemos usado ninguno de estos métodos pues las características del producto lo permitían. Para compartir el canal de YouTube con el cliente nos basta con agregar al canal la cuenta de correo que él mismo nos ha proporcionado y darle permisos de propietario. Aún así, sería útil utilizar S/MIME con el certificado electrónico del cliente, por ejemplo, para verificar que la cuenta de correo efectivamente le pertenece a él, o viceversa, que el cliente tenga la seguridad de que se está comunicando con nosotros.
Una buena práctica sería enviar los datos por separado, es decir, evitar juntar nombre de cuenta y contraseña en el mismo mensaje. Además, si estos mensajes están separados lo suficientemente en el tiempo significa que un posible atacante debe mantenerse capturando mensajes la misma cantidad de tiempo, de lo contrario se arriesga a perder la mitad de la información de acceso. Esto requiere haberlo acordado previamente con el cliente, de no ser así estaremos esperando que el cliente intuya que los datos que le hemos enviado separados tienen relación entre sí. No podemos asumirlo o nos arriesgamos a que esté insatisfecho pues no ha recibido la contraseña o una manera de manejar su producto como administrador.
Una herramienta que podemos utilizar es Gmail, de Google, los mensajes de Gmail pueden ir encriptados en varios niveles:
- S/MIME: del inglés “Secure/Multipurpose Internet Mail Extensions”, permite cifrar correos electrónicos con los principios de la criptografía asimétrica, clave pública y clave privada. Esto es posible si Gmail conoce la clave pública del destinatario, luego cifra el mensaje con esta clave y finalmente el destinatario es el único que puede descifrarlo con su clave privada. También es posible vincular una firma electrónica al mensaje, al llegar esta firma será verificada contra la clave pública del remitente para asegurar que el mensaje no es falsificado. Su identificador en Gmail, ver imagen 1, es un candado verde.
- TLS: del inglés “Transport Layer Security” protege de forma bastante similar al S/MIME, pero esta vez se cifra el canal por el que se transmite el mensaje, no el mensaje en sí. Esto se hace, una vez más, con las claves pública y privada de ambas partes. Su identificador en Gmail, ver imagen 1, es un candado gris.
- Sin encriptar: sin ningún tipo de cifrado los mensajes no son seguros, no se sabe si el remitente ha sido falsificado o si los ha interceptado un posible atacante, los datos sensibles deben evitar este método de comunicación. Su identificador en Gmail, ver imagen 1, es un candado rojo tachado.
 |
| Imagen 1. Descripción de los tipos de cifrado según Google |
No comments:
Post a Comment