IHG (InterContinental Hotels Group) es uno de los mayores grupos hoteleros del mundo, contando con más de 6000 hoteles en aproximadamente un centenar de países. Por desgracia, esta compañía británica fue noticia hace dos semanas tras terminar reconociendo que la caída de más de 24 horas de su red interna (que causó problemas con las reservas y check-ins) era, realmente, consecuencia de un hackeo... y no resultado de labores de "mantenimiento del sistema", como aseguraron en un primer momento.
Comentarios
Instalaron en un curro una aparato para fichar con la huella dactilar. Después de unos días de uso, me metí a hurgar con el chisme y al segundo intento adiviné la contraseña: "9999".
Lo normal es poner como contraseña "1234", Qwerty es de pringados.
Pero serán
La buena es Qwerty.1234 , con punto en medio para darle seguridad de verdá!
#2 Mayúsculas, minúsculas, números, y simbolo especial. Una clave a pruebas de bombas
Yo recomiendo usar claves aleatorias y largas, aunque solo sean doce letras minúsculas ya es suficientemente seguro
#27 Me recuerda a la anécdota (no sé si será verdad, pero en todo caso está bien traída) de una empleada "tonta" que interpretó que una contraseña de mínimo 8 caracteres significaba 8 personajes (characters en inglés se puede traducir como personajes) y su contraseña era del estilo:
MickeyDonaldPlutoGoofy...
Por error, pero puso una contraseña de la hostia...
#34 Aunque solo pudiera elegir entre 20 personajes, estaríamos hablando de mas de 25 billones de combinaciones
#27 Mi clave de claves es una frase que mi parejita soltó mientras dormía. Solo la conozco yo y no tiene ningún sentido.
La uso solo para los ficheros sobre los que tengo control físico. Lo que va a la nube se abre con un keyfile.
#27 Pero largas de verdad, 12 es el mínimo que exigeel esquema nacional de seguridad, es mejor mucho más... total, como al final las copias y las pegas, te da igual meterle 20 que 50 letras, yo siempre pongo el máximo que me deja.
Y por supuesto no usar una contraseña en dos sitios distintos.
#2 claro, caracteres extraños por ejemplo para entrar en menéame contraseña m€néAm3
#2 no diré donde pero en una gran eléctrica había unos ks con la contraseña changeit
No les jaquearon por tener una contraseña "débil". Eso es importante de cara a los ataques por fuerza bruta. Da igual lo fuerte que sea la clave si te instalan un keylogger.
No me extraña, he currado para clientes muy grandes y muchas de las contraseñas eran "Madrid2022" o similar que al año siguiente cuando caducaban pasaban a ser "Madrid2023"... poco nos pasa.
#15 Anda que las contraseñas tipo [nombre cárnica][año]
#24 Hay llaveros comunes
O pueden haberlos . No todas las cuentas son nominativas
#31 Cuenta! =Llavero. En una solución empresarial solo debe haber dos tipos de cuentas: nominativa y de sistema. Reutilizar cuentas entre varios debe estar prohibido. Que una persona use una cuenta de sistema está prohibido. Que un sistema use una cuenta personal está prohibido.
Otro tema es si varios usuarios pueden acceder a los mismos 'llaveros' o si hay 'llaveros' comunitarios. Un Vault de estos no es un lastpass, está todo mucho más compartimentado.
Two-factor-auth!!
Una lamentable gestión de las contraseñas.
Que pena que explica bien como se saltaron el MFA, es la parte más interesante.
¿Cuál fue tu primer intento?, me la juego a 0000.
#13 El MFA debería estar basado en un dispositivo distinto al que vas a usar para el login. Por ejemplo trabajar en un pc y usar rl móvil como el doble factor. Esta claro que nada es infalible pero al menos así lo complicas mucho.
Como no tuvieron tiempo de cifrar muchas cosas se dedicaron borrar todo lo que pudieron. Es el equivalente al ladrón que al entrar en una tienda y no poder robar las cosas de más valor se dedica a romperlo todo.
Bóveda de contraseñas?
#3, un almacén digital donde se guardan contraseñas protegido a su vez con otra contraseña que es la única que necesitas memorizar, para no tener que memorizarlas todas individualmente. Creo que no hay un término dominante en el castellano, pero «bóveda» como traducción literal de «vault» no me parece mal, siempre y cuando gane la tracción suficiente.
#3 #5 Por si no queda completamente claro
Usas un programa que te pone las contraseñas en tu correo, webs, aplicaciones... de esta forma puedes poner contraseñas muy seguras con todo tipo de caracteres sin relación.
Este programa puede ser compartido por una empresa, almacenando en el mismo sitio todas las contraseñas de todos los trabajadores y servicios.
Pero claro, para acceder a este almacén o bóveda tienes que usar UNA contraseña que te da acceso. Y si esa contraseña es poco segura todo el sistema es poco seguro
#6 bueno, para acceder a todas las claves aparte de la clave master necesitas el secreto. Por no contar que si todo el mundo tenía acceso a todas las claves es que el que ha organizado eso no tiene ni puta idea.
Aquí han ido mal muchas cosas.
#6 No, UNA contraseña no. Se debe usar MFA.
#8 Si lees el envío verás que usan MFA. El problema es que ya estaban en su red hacía tiempo y habían instalado keylogger. Tenían la contraseña y el secreto.
Y da igual si tienes MFA y los demás factores de autenticación además de la contraseña son correo al que accedes desde el mismo ordenador.
#6 Es un gambazo del de seguridad. Lo que tenía que haber hecho es cifrar el contenido por certificado físico. Que un pen de seguridad cuesta 2 duros ahora.
Disculpad por ser malo, pero se lo merecen. Que a estas alturas sigamos cometiendo ese tipo de errores ya es inexcusable. Fritos estamos de escuchar temas de hackeo, seguridad, protección de las contraseñas. Si no se quieren complicar la vida, como dice #9: usar un pen de seguridad y atarlo con cadena para que no salga de la sala. Llamar a la empresa que te instaló el software y decirles lo que quieres es super sencillo. Eres una empresa muy conocida como para desentenderte de estos temas
#9 No tenemos ni idea de lo que ha pasado en realidad. No sabemos si el jefazo de turno, ante el aviso del de sistemas, le dijo: "cállese ya, yo quiero acceder a todo desde cualquiera de mis hoteles y no quiero saber nada de tokens, dobles factores, nubes ni nieblas, quiero poner mi contraseña y listo".
#6 No, en las versiones empresariales cada usuario tiene su propia cuenta que le da acceso solo a las contraseñas que necesite. Aunque claro, también hay cuenta de admin que da acceso a todo
#5 Yo digo "gestor de contraseñas".
#10 El "password manager" es el software con el que accedes al "vault". En concepto no son lo mismo.
#18 Gracias.
#5 #3 En castellano, en el contexto de los gestores de contraseñas, llevamos décadas llamándolo «caja fuerte», que es precisamente la acepción correcta de «vault».
Una bóveda es otra cosa totalmente distinta y es una traducción totalmente estúpida en este contexto.
https://dictionary.cambridge.org/dictionary/english/vault
https://dle.rae.es/b%C3%B3veda
#12, no sé si te das cuenta del juego de palabras que hay en la tercera acepción. Las traducciones son sólo estúpidas si no trasladan. ¿También nos vamos a ofender por esto?
#25 ¿Quién se ofende? Yo solo te he avisado de que estás equivocado y por qué. Al resto ni te respondo porque es un intento patético de morir con las botas puestas. Pasa buen día.
#12 mismamente 1Password, uno de esos gestores de contraseñas, llama "bóveda" a lo que originalmente denomina "vault". Yo sinceramente lo he oído de ambas maneras, tanto "bóveda" como "caja fuerte", y lo uso un poco indistintamente...
#5 ok, lo decía por la traducción, almacén de contraseñas suena más "moderno", bóveda suena a peli muy antigua al menos a mi, no lo había oído traducido así nunca..
#3 Password Vault. Es como los gestores de contraseñas que usamos la gente de a pie, pero a lo bestia, con muchas funcionalidades empresariales.
Pues yo en todos los sitios donde he estado, he visto contraseñas de vergüenza del tipo "nombre de la empresa"+mes actual" y este tipo de movidas, pero si no hay mas disgustos, entiendo que es porque no hay hackers para tanto temerario.
Ignore26, «estúpida», «patético»: perdona que te haya leído mal pero es que «suenas» ofendido.