21/05/2009 No ho posis fàcil als spammers: millora les teves contrassenyes de correu

Que l'spam és cada dia més perniciós no és cap novetat. Els nostres servidors filtren cada mes més de cinc milions de correus brossa. Això suposa més del 90% de tot el correu que reben els nostres clients.

Imagineu la transferència de dades i el temps de procés malgastats per aquest tipus de pràctiques. Aquest volum requereix evidentment una estructura que suporti el processat de tots aquests correus, i que ha d'anar creixent progressivament al ritme que creix l'spam a Internet. Això implica una inversió constant en equips i sistemes que siguin capaços de filtrar un volum que es va incrementant exponencial-ment any rera any.

Però... d'on arriba aquest spam? Quins mecanismes es fan servir per enviar-ho?

Un spammer per aconseguir la seva tasca necessita 2 coses fonamentalment:

  1. Comptes de correu des d'on enviar.
  2. Destinataris de correu on enviar.

Aquests son alguns dels mètodes, entre d'altres, que es fan servir per aconseguir-ho:

  1. Programes spyware que s'instal·len als nostres ordinadors i envien informació de comptes, logins i passwords al seu creador.
  2. Virus i troians instal·lats als ordinadors que envien correus indiscriminadament als nostres contactes fent servir el nostre proveïdor.
  3. Aranyes que rastregen Internet cercant adreces de correu deixades a pàgines web, fòrums, blocs, etc...
  4. Injecció a les pàgines web de codis maliciosos per tal de captar informació dels navegants.
  5. Capturant adreces fent servir les cadenes de correus.
  6. Atacs per diccionari per intentar esbrinar passwords de comptes.

Els quatre primers mètodes es poden minimitzar en gran mesura fent servir un bon programa anti-virus actualitzat, un tallafocs ben configurat i un programa anti-spayware per complementar. Evitar re-enviar les típiques cadenes de correu que parlen molt sovint de desgràcies alienes, o d'acudits, o de malediccions és imprescindible per evitar el punt 5.

No obstant, moltes vegades oblidem un dels mètodes més senzills i eficaços per evitar l'spam: Fer servir contrasenyes eficaces per contrarestar els atacs per diccionari.

Llavors, Com puc triar un bon password?

Els programes que tracten d'endevinar passwords no intenten totes les possibles combinacions, sinó que els fan sobre un gran nombre de "passwords possibles". Si el vostre password està fora de l'espai de recerca, o del "diccionari" llavors podeu estar tranquil. Vegem doncs què és el que no s'ha de fer:

  • No feu servir el nom d'usuari en cap forma. Ja sigui tal qual, invertit, en majúscules, amb un prefix, etc.
  • No feu servir de cap manera el vostre nom i cognoms, així com cap informació personal que sigui localitzable i/o deduïble: inicials, data de naixença, matrícula del cotxe, nombre de telèfon, nom de l'esposa/núvia o espòs/nuvi, nom de fills, domicili, etc.
  • Mai feu servir una paraula que pugui aparèixer en un diccionari (sigui el que sigui l'idioma), llista de paraules, noms de carrers, marques de cotxes, personatges de ficció , etc.
  • No feu servir un password amb menys de sis caràcters, o amb només caràcters alfabètics, o només dígits.
  • No utilitzeu combinacions de tecles que es troben consecutivament en el teclat, com per exemple: 123456, o asdfgh

Així doncs, els passwords haurien de complir les següents recomanacions:

  • Feu servir un password amb barreja de caràcters, dígits i signes de puntuació.
  • Feu servir passwords llargs, amb més de vuit caràcters

Però, si tinc un password difícil... No el recordaré!

Existeixen mètodes molt senzills que ajuden a triar un bon password:

  • Agafeu la lletra d'una cançó, poema o text favorit, i feu servir la primera lletra de cada paraula. Per exemple: "En Joan petit quan balla, balla amb la mà". El password seria: EJpqbbalm.
  • Barregeu entre consonants una o dues vocals, fins a un mínim de vuit caràcters. Aquest mètode proporciona paraules usualment pronunciables i recordables: gamounitos
  • Agafeu  dues o tres paraules curtes, i concateneu-les amb algun signe de puntuació: pam+pipa .
  • Recordeu, si feu servir únicament el sistema de majúscules i minúscules amb paraules comuns no utilitzeu els següents mètodes:
  1. Tot majúscules o tot minúscules
  2. Només el primer o l'últim caràcter en majúscules
  3. Només les vocals en majúscules
  4. Només les consonants en majúscules

Puc fer servir el mateix password per a totes els meus comptes?

El problema que implica usar el mateix password per a tots els comptes és que si us descobrixen el password d'un compte us han descobert el de totes. Una cosa si heu de tenir clara: no feu servir algorismes elementals per a generar els vostres passwords.

Per exemple: MhCfg101, MhCfg102, ... això no és el més idoni. Qualsevol podria deduir-los fàcilment.  Per tant, en principi es recomana fer servir diferents password per a tots els comptes, cuidant que no existeixin similituds entre ells. Si per algun motiu no us és possible tenir passwords distints, procureu canviar-los amb elevada freqüència (una vegada al mes com a mínim).