Por una parte tenemos vulnerabilidades de software que pueden comprometer nuestras credenciales en determinados sitios web o servicios. Por otra una variable que siempre está presente sea cual sea la fortaleza del software: el error humano. Y en este caso según leo en el blog de seguridad Mozilla, alguien con ciertos privilegios debió despistarse al utilizar la misma contraseña para su cuenta de Bugzilla y otro sitio web. ¿Qué ocurrió? Pues que ese sitio web se vio comprometido, los atacantes obtuvieron sus credenciales y con ellas pudieron campar a sus anchas por Bugzilla, aunque podrían haberlo hecho en todos los servicios de ese usuario en los que utilizara las mismas credenciales.
La reacción de Mozilla parece haber sido rápida y consecuente: denegar accesos de la cuenta comprometida, pedir el cambio de contraseñas para el resto de usuarios y activar doble autenticación para acceder a la plataforma entre otras medidas:
We are updating Bugzilla’s security practices to reduce the risk of future attacks of this type. As an immediate first step, all users with access to security-sensitive information have been required to change their passwords and use two-factor authentication. We are reducing the number of users with privileged access and limiting what each privileged user can do.
Para mitigar estos problemas lo suyo es utilizar contraseñas únicas para cada sitio o servicio del que hagamos uso. Cierto es que entre correo electrónico, cuenta de la universidad, de foros, redes sociales… puedes encontrarte con alguna decena de cuentas y esto es tedioso de administrar. Ya lo comenté en su día -además de algunas recomendaciones más- pero vuelvo a sacar a colación el tema de los gestores de contraseñas que para este caso vienen al dedo. Tienen sus pros y contras pero llega un punto en el que se convierten prácticamente en un “must” para gestionar nuestras credenciales de manera eficiente.
Aunque hay varios para elegir, tras probar unos cuentos me he acabado decidiendo por KeePass 2. Entre otras cosas lo tengo en los repos de mi sistema Debian principal y si necesito utilizarlo en un sistema Windows, también tengo versión para el mismo. KeePass X (también multiplataforma) sacó la beta de la versión 2.0 recientemente en julio de este año, pero lleva un desarrollo y corrección de bugs mucho más lento que KeePass 2 y lo acabé descartando.
Para los que busquéis integración con el navegador, LastPass es una muy buena opción, ya que mantiene la base de datos de nuestras contraseñas en la nube y tiene extensiones para Firefox, Chrome, Safari u Opera. Además permite activar doble autenticación para acceder a nuestro almacén de contraseñas, lo que le añade una capa más de seguridad que dicho sea de paso, ya es casi un estándar mínimo a día de hoy para ofrecer un servicio fiable.