Para evitar que sus contraseñas sean pirateadas por ingeniería social, fuerza bruta o método de ataque de diccionario, y mantener sus cuentas en línea seguras, debe tener en cuenta que:

1. No use la misma contraseña, pregunta de seguridad y respuesta para varias cuentas importantes.

2. Use una contraseña que tenga al menos 16 caracteres, use al menos un número, una letra mayúscula, una letra minúscula y un símbolo especial.

3. No use los nombres de sus familiares, amigos o mascotas en sus contraseñas. En algunos casos, por ejemplo, tienes más de 100 bitcoins, entonces no debes dejar que nadie excepto tu madre conozca tus contraseñas, incluso tu padre no es lo suficientemente confiable.

4. No use códigos postales, números de casa, números de teléfono, fechas de nacimiento, números de tarjeta de identificación, números de seguro social, etc. en sus contraseñas.

5. No use ninguna palabra de diccionario en sus contraseñas. Ejemplos de contraseñas fuertes: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. Ejemplos de contraseñas débiles: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. No use dos o más contraseñas similares que la mayoría de sus caracteres sean iguales, por ejemplo, ilovefreshflowersMac, ilovefreshflowersDropBox, ya que si una de estas contraseñas es robada, significa Que todas estas contraseñas son robadas.

7. No use algo que se pueda clonar (pero que no pueda cambiar) como sus contraseñas, como sus huellas dactilares.

8. No permita que sus navegadores web (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) almacenen sus contraseñas, ya que todas las contraseñas guardadas en los navegadores web se pueden revelar fácilmente.

9. No inicie sesión en cuentas importantes en las computadoras de otros, o cuando esté conectado a un punto de acceso público de Wi-Fi, Tor, VPN gratuita o proxy web.

10. No envíe información sensible en línea a través de conexiones no cifradas (por ejemplo, HTTP o FTP), porque los mensajes en estas conexiones se pueden olfatear con con muy poco esfuerzo. Debe utilizar conexiones cifradas como HTTPS, SFTP, FTPS, SMTPS, IPSec siempre que sea posible.

11. Cuando viaje, puede cifrar sus conexiones a Internet antes de que salgan de su computadora portátil, tableta, teléfono móvil o enrutador. Por ejemplo, puede configurar una VPN privada con protocolos como WireGuard (o IKEv2, OpenVPN, SSTP, L2TP sobre IPSec) en su propio servidor (computadora doméstica, servidor dedicado O VPS) y conéctate a él. Alternativamente, puede configurar un túnel SSH cifrado entre su computadora y su propio servidor y configurar Chrome o FireFox para usar el proxy de calcetines. Entonces, incluso si alguien captura sus datos mientras se transmiten entre su dispositivo (por ejemplo, computadora portátil, iPhone, iPad) y su servidor con un rastreador de paquetes, no podrán Para robar sus datos y contraseñas de los datos de transmisión cifrados.

12. ¿Qué tan segura es mi contraseña? Tal vez creas que tus contraseñas son muy fuertes, difíciles de piratear. Pero si un hacker ha robado su nombre de usuario y el valor de hash MD5 de su contraseña del servidor de una empresa, y la tabla arcoíris del hacker contiene este hash MD5, Entonces su contraseña se descifrará rápidamente.

     Para comprobar la fuerza de sus contraseñas y saber si están dentro de las populares tablas arcoíris, puede convertir sus contraseñas a hashes MD5 en un generador de hash MD5, luego descifrar Sus contraseñas enviando estos hashes a un servicio de descifrado MD5 en línea. Por ejemplo, su contraseña es "0123456789A", usando el método de fuerza bruta, puede que una computadora tarde casi un año en descifrar su contraseña, pero si la descifra por Si envía su hash MD5 ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) a un sitio web de descifrado MD5, ¿cuánto tiempo tardará en descifrarlo? Puede realizar la prueba usted mismo.

13. Se recomienda cambiar sus contraseñas cada 10 semanas.

14. Se recomienda que recuerde algunas contraseñas maestras, almacene otras contraseñas en un archivo de texto plano y cifre este archivo con 7-Zip, GPG o un software de cifrado de disco como Como BitLocker, o administrar sus contraseñas con un software de administración de contraseñas.

15. Cifre y respalde sus contraseñas en diferentes ubicaciones, luego, si perdió el acceso a su computadora o cuenta, puede recuperar sus contraseñas rápidamente.

16. Activar la autenticación de 2 pasos siempre que sea posible.

17. No almacene sus contraseñas críticas en la nube.

18. Accede a sitios web importantes (por ejemplo Paypal SNS.show ) de los marcadores directamente, de lo contrario, compruebe su nombre de dominio con cuidado, es una buena idea comprobar la popularidad de un sitio web con Barra de herramientas de Alexa para asegurarse de que es No es un sitio de phishing antes de ingresar su contraseña.

19. Proteja su computadora con firewall y software antivirus, bloquee todas las conexiones entrantes y todas las conexiones salientes innecesarias con el firewall. Descargue software solo desde sitios de buena reputación y verifique la suma de verificación MD5 / SHA1 / SHA256 o la firma GPG del paquete de instalación siempre que sea posible.

20. Mantener los sistemas operativos (por ejemplo, Windows 7, Windows 10, Mac OS X, iOS, Linux) y navegadores web (por ejemplo FireFox, Chrome, IE, Microsoft Edge) de sus dispositivos (p. Windows PC, Mac PC, iPhone, iPad, tableta Android) actualizado instalando la última actualización de seguridad.

21. Si hay archivos importantes en su computadora y otros pueden acceder a ellos, compruebe si hay keyloggers de hardware (por ejemplo, sniffer de teclado inalámbrico), keyloggers de software y keyloggers ocultos Cámaras cuando sientes que es necesario.

22. Si hay enrutadores WIFI en su hogar, entonces es posible conocer las contraseñas que escribió (en la casa de su vecino) detectando los gestos de sus dedos y manos, Ya que la señal WIFI que recibieron cambiará cuando muevas los dedos y las manos. Puede usar un teclado en pantalla para escribir sus contraseñas en tales casos, sería más seguro si este teclado virtual (o teclado suave) cambia los diseños cada vez.

23. Bloquea tu computadora y teléfono móvil cuando los dejes.

24. Cifre todo el disco duro con VeraCrypt, FileVault, LUKS o herramientas similares antes de poner archivos importantes en él, y destruya físicamente el disco duro de sus dispositivos antiguos si es necesario.

25. Accede a sitios web importantes en modo privado o de incógnito, o usa un navegador web para acceder a sitios web importantes, usa otro para acceder a otros sitios. O acceda a sitios web sin importancia e instale nuevo software dentro de una máquina virtual creada con VMware, VirtualBox o Parallels.

26. Use al menos 3 direcciones de correo electrónico diferentes, use la primera para recibir correos electrónicos de sitios y aplicaciones importantes, como Paypal, Amazon, SNS.show use la segunda para recibir Correos electrónicos de sitios y aplicaciones sin importancia, use el tercero (de un proveedor de correo electrónico diferente, como Outlook y GMail) para recibir su correo electrónico de restablecimiento de contraseña cuando el primero(Por ejemplo, Yahoo Mail) es hackeado.

27. Use al menos 2 números de teléfono diferentes, no le diga a otros el número de teléfono que usa para recibir mensajes de texto de los códigos de verificación.

28. No haga clic en el enlace de un mensaje de correo electrónico o SMS, no restablezca sus contraseñas haciendo clic en ellas, excepto que sepa que estos mensajes no son falsos.

29. No le digas tus contraseñas a nadie en el correo electrónico.

30. Es posible que uno de los programas o aplicaciones que descargaste o actualizaste haya sido modificado por hackers, puedes evitar este problema no instalando este software o aplicación en el Primera vez, excepto que se publica para arreglar agujeros de seguridad. Puede usar aplicaciones basadas en la web, que son más seguras y portátiles.

31. Tenga cuidado al usar herramientas de pasta en línea y herramientas de captura de pantalla, no permita que carguen sus contraseñas en la nube.

32. Si eres un webmaster, no guardes las contraseñas de los usuarios, preguntas de seguridad y respuestas como texto plano en la base de datos, debes guardar el salado (SHA1, SHA256 o SHA512 ) valores hash de estas cadenas en su lugar. Se recomienda generar una cadena de sal aleatoria única para cada usuario. Además, es una buena idea registrar la información del dispositivo del usuario (por ejemplo,Versión del sistema operativo, resolución de pantalla, etc.) y guarde los valores de hash salados de ellos, luego cuando intente iniciar sesión con la contraseña correcta pero la información de su dispositivo NO coincide con el anterior guardado, deje que este usuario verifique su identidad ingresando otro código de verificación enviado por SMS o correo electrónico.

33. Si eres un desarrollador de software, debes publicar el paquete de actualización firmado con una clave privada usando GnuPG, y verificar la firma de la misma con la clave pública publicada anteriormente.

34. Para mantener su negocio en línea seguro, debe registrar un nombre de dominio propio y configurar una cuenta de correo electrónico con este nombre de dominio, entonces no perderá su correo electrónico Cuenta y todos sus contactos, ya que puede alojar su servidor de correo en cualquier lugar, su cuenta de correo electrónico no puede ser deshabilitada por el proveedor de correo electrónico.

35. Si un sitio de compras en línea solo permite realizar pagos con con tarjetas de crédito, entonces debe usar una tarjeta de crédito virtual en su lugar.

36. Cierre su navegador web cuando salga de su computadora, de lo contrario las cookies pueden ser interceptadas con un pequeño dispositivo USB fácilmente, lo que permite eludir la verificación y el registro en dos pasos En su cuenta con cookies robadas en otras computadoras.

37. Desconfíe y elimine los certificados SSL defectuosos de su navegador web, de lo contrario NO podrá garantizar la confidencialidad e integridad de las conexiones HTTPS que utilizan estos certificados.

38. Cifre toda la partición del sistema, de lo contrario, deshabilite las funciones de hibernación y archivo de página, ya que es posible encontrar sus documentos importantes en los archivos pagefile.sys e hiberfil.sys.

39. Para evitar ataques de inicio de sesión de fuerza bruta a sus servidores dedicados, servidores VPS o servidores en la nube, puede instalar un software de detección y prevención de intrusiones como LFD (Login Failure Daemon) O Fail2Ban.

40. Si es posible, use software basado en la nube en lugar de instalar el software en su dispositivo local, ya que cada vez hay más ataques en la cadena de suministro que instalarán aplicaciones maliciosas o Actualización en su dispositivo para robar sus contraseñas y obtener acceso a datos de alto secreto.

41. Es una buena idea generar las sumas de verificación MD5 o SHA1 de todos los archivos en su computadora ( con software como MD5Summer) y guardar el resultado, luego verificar la integridad de Sus archivos (y encuentre archivos o programas troyanos con inyectados) todos los días comparando sus sumas de verificación con el resultado guardado anteriormente.

42. Cada gran empresa debe implementar y aplicar un sistema de detección de intrusiones basado en Inteligencia Artificial (incluidas las herramientas de detección de anomalías de comportamiento de red).

43. Permita que solo las direcciones IP que están en la lista blanca se conecten o inicien sesión en los servidores y computadoras importantes.

44. ¿Sabes que puedes ocultar uno o varios archivos en otro archivo? Por ejemplo, en Linux, puede usar este comando "cat file1.mp4 file2hide.gpg> file2.mp4" para agregar el archivo file2hide.gpg al final del archivo file1.mp4, y Generar un nuevo archivo llamado file2.mp4. El nuevo archivo (file2.mp4) todavía se puede reproducir en todos los reproductores de medios como VLC, si elige esconderse en un archivo PDF o un archivo FLAC, la salida El archivo se puede abrir con cualquier visor de PDF o reproductor de música sin ningún problema, también. Para dividir el archivo de salida, puede usar el comando "tail" a lo largo con del comando "split", también puede escribir un pequeño código para hacer este trabajo.