Entrades

Tot seguit us presentem un article molt interessant publicat per Mauricio Estrella, que narra el poder que suposa una bona contrasenya per a les nostres vides, ja no només a nivell de seguretat, sinó també a nivell personal. Esperem que us resulti útil.

Com un password va canviar la meva vida

Escrit per Mauricio Estrella

“Com m’ha pogut fer una cosa així?” deia una veu dins del meu cap. Constantment. Cada dia.

L’any 2011, quan tot tenia degradats, les icones de iOS tenien sentit, i la gent utilitzava desodorants, jo vaig quedar immers en una depressió a causa del meu divorci.

Afortunadament, crec que vaig ser suficientment llest (i vaig tenir gent genial al voltant meu) que em va permetre estar sempre estable.

Un dia entrava de nou a l’oficina, i el dia va començar davant de la pantalla de l’ordinador. Tot anava bé fins que vaig llegir el següent missatge:

La teva contrasenya ha caducat. Clica “Canviar la contrasenya” per actualitzar-la.

No, merda! Pensava que prémer “Canviar la contrasenya” faria una altra cosa.

Vaig llegir l’estúpid missatge mentalment amb veu d’avi enfadat: El fotut password ha caducat.

A la meva oficina, el servidor Microsoft Exchange està configurat per demanar a milers d’usuaris arreu el planeta, que canviïn la seva contrasenya. Cada 30 dies.

Aquí ve la part bona: El servidor t’obliga a utilitzar com a mínim una MAJÚSCULA, una minúscula, un símbol i un número. Ah, i tot això, no pot ser més curt que 8 caràcters. I per si no fos poc, no puc utilitzar cap de les contrasenyes que he utilitzat els últims 3 mesos.

Aquell matí estava furiós. Dimarts a les 09:40 del matí. Feia tanta calor que ja estava suant només d’arribar a l’oficina. Feia tard. Encara portava el casc posat. Crec que vaig oblidar esmorzar. Alguna cosa tenia gust de cigarreta a la meva boca. Necessitava deixar-ho tot enllestit abans de la reunió de les 10, i davant meu, tenia aquella enorme pèrdua de temps.

Així que allà estava… Aquell camp de text amb el cursor pampalluguejant, esperant que jo escrivís la contrasenya que hauria de reescriure durant següents 30 dies. Molts cops al llarg del dia.

Llavors vaig desprendre’m de la frustració, i vaig recordar un truc que havia sentit del meu cap. D’alguna manera ell va combinar llistes de tasques amb contrasenyes, i vaig pensar utilitzar una versió millorada d’allò.

Utilitzaré una contrasenya per canviar la meva vida.

Era obvi que no em podia concentrar a fer feina amb el meu ritme de vida i estat d’ànim. Per suposat, hi havia clars indicadors del que necessitava fer o d’objectius a aconseguir, amb la finalitat de controlar la meva vida, però sovint no parem suficient atenció a aquests senyals.

La meva contrasenya es va convertir en un indicador. Em recordava que no m’havia de deixar ser víctima de la meva recent ruptura, i que sóc suficientment fort per fer alguna cosa al respecte.

El meu nou password va ser: “Forgive@h3r” (En anglès: “Perdona-la”)

Durant la reunió posterior, no podia parar de pensar en el que acabava de fer. Alguna cosa em va dibuixar un somriure a la cara.

Durant la resta de la setmana, vaig haver d’escriure la contrasenya vàries vegades al dia. Cada vegada que es bloquejava l’ordinador. Cada vegada que el protector de pantalla m’ensenyava la seva foto. Cada vegada que tornava de dinar sol.

Al meu cap, anava amb el mantra que no havia escrit un password, sinó que em recordava mentalment que l’havia de perdonar.

Aquella simple acció, va canviar la manera com mirava a la meva ex dona. Aquell recordatori constant que l’havia de perdonar, em va permetre acceptar les coses tal com eren i com van acabar amb el meu matrimoni, i em van permetre afrontar la depressió en la que estava quedant immers.

Durant els dies següents, el meu humor va millorar dràsticament. A finals de la segona setmana, vaig adonar-me com la contrasenya havia perdut potència, i començava a perdre efecte. Una petita actualització del “mantra” em va ajudar. Vaig pensar que la perdonava mentre anava escrivint-ho cada vegada. L’efecte sanador va sorgir quasi immediatament.

Un mes després, el meu estimat Exchange Server em va preguntar de nou que renovés la contrasenya. Llavors em vaig preguntar quina era la següent cosa que havia de fer.

La nova contrasenya va ser: “Quit@smoking4ever” (En anglès: “Deixa de fumar per sempre”)

I ja podeu intuir que va passar. Vaig deixar de fumar d’un dia per l’altre. Hi ha molts testimonis que encara no podeu creure que ho hagués fet. Havia provat llibres, cigarrets electrònics, pegats, etc. Res havia funcionat, però aquest truc va funcionar.

Aquesta contrasenya era de les difícils d’escriure al llarg del mes, però fer-ho em va ajudar a demanar-me a crits a mi mateix que ho aconseguís. Em va motivar a aconseguir el meu objectiu.

Un mes més tard la contrasenya va ser: “Save4trip@thailand” (En anglès: “Estalvia per un viatge a Tailàndia”)

Endevina on vaig anar 3 mesos després. Tailàndia. Amb estalvis.

Veure com aquests recordatoris m’ajudaven a materialitzar els meus objectius,  em va fer estar motivat i excitat. Admeto que és difícil preparar el proper objectiu. Algunes vegades és difícil identificar que necessites canviar, o cap a on necessites avançar.

A mi m’ha funcionat, i segur que a tu també.

[…]

Si vols llegir l’article complet de Mauricio Estrella en anglès, pots fer-ho aquí.

Molt sovint, els administradors de sistemes, tracten el Microsoft Exchange com un servidor clàssic (sense masses esforços en assegurar-lo). Només cal pensar com depenem tots del correu electrònic durant el dia a dia per veure que cal parar-hi atenció, i mantenir-ne l’estabilitat dia a dia. Tot seguit detallem les vulnerabilitats més comuns a l’hora d’assegurar Microsoft Exchange, us aconsellem de controlar-ne cada punt:

Llacunes al procés d’actualització

Sovint ens trobem amb servidors d’Exchange que han quedat obsolets o els falten Service Packs, inclús alguns que no s’han protegit en 10 anys. En casos com aquests, les probabilitats d’atacs maliciosos son altíssimes i poden provocar intrusos provinents de la mateixa xarxa física. Es llavors que correm el risc de perdre el control del sistema Exchange a nivell administratiu, fent que els atacants puguin esborrar dades, afegir comptes d’susuari, copiar informació i altres activitats perilloses.

El pitjor de tot però, és que no és fàcil ser conscient que aquestes activitats s’estan duent a terme, i requereix esforç i coneixements per detectar possbiles intrusions.

Contrasenyes febles

Les contrasenyes febles, son desgraciadament, un pas de seguretat fàcilment evitable, i no costa res generar contrasenyes complexes. Tot i això, encara existeixen moltes contrasenyes insuficients en molts entorns d’Exchange, que recolzen tota la seva seguretat en un administrador amb un contrasenya feble. Això pot provocar que amb uns simple passos, un atacant pugui aconseguir totes les nostres dades.

En servidors amb Outlook Web Access, és molt comú utilitzar aquests tipus de contrasenyes insegures, la qual cosa deixa una porta oberta a Internet, per a qualsevol amb males intencions. Només amb l’accés a una sola compta de correu, el hacker pot fer-se amb les altres bústies de l’empresa. És per això, que recomanem a tothom que revisin i facin més complexes els seus passwords de correu.

Deixar dades privades a carpetes públiques

Les carpetes públiques massa sovint serveixen per guardar informació amb la intenció de compartir-la amb els companys de feina, i amb això, fem vulnerable la informació a compartir. És per això que cal ser conscient de la informació a compartir, i controlar aquella que queda temporalment desprotegida.

Accés SMTP i POP3

Molts servidors Exchange tenen SMTO i POP3 habilitat, la qual cosa no és necessàriament dolent. Però pot ser un problema si SMTP o POP3 es transmeten sense una capa de SSL/TLS. És important utilitzar els ports segurs SMTPS (465) i POP3S (995) amb l’objectiu que els correus i les credencials d’accés s’enviïn amb seguretat a través de xarxes inal·làmbriques per exemple.

Outlook Web Access i Outlook Web App

El servei OWA és realment pràctic i necessari per a qualsevol, però no podem deixar-ho abandonat ja que te els seus riscos. Moltes vegades ens trobem amb servidors OWA que funcionen sense certificats SSL, i això pot provocar els mateixos problemes que amb l’accés SMTP i POP3 sense seguretat. Una altre forat de seguretat comú amb OWA és que els usuaris no es veuen obligats a tancar la sessió del seu compte OWA i poden deixar la compta connectada durant llargues estones, fent que sigui fàcil accedir a la compta en qüestió.

Comptes d’administrador Exchange compartits

És important saber en tot moment quins usuaris tenen drets d’administrador, ja que en situacions crítiques, aquests accessos es poden utilitzar de formes destructives.  Moltes vegades queden usuaris administradors actius després processos de canvi de personal, i aquestes comptes cauen en l’oblit però encara amb possibilitats d’administrar el sistema.

Recomanem fortament el control d’aquestes instal·lacions per part de professionals, ja que encara que no en siguem conscients, el correu electrònic és un dels principals motors de l’empresa, i en moments de caiguda del servei, es demostra que la dependència que en tenim, és més elevada del que creiem.

Tot i això, existeixen altres serveis desasistits i per subscripció, que permeten deslligar-se de les tasques de manteniment de la instal·lació, gràcies a una contractació per compta d’usuari i amb totes les cobertures incloses. Aquest tipus de servei és el correu corporatiu, un servei de correu equivalent a Microsoft Exchange, compatible amb tots els dispositius i sistemes operatius, que facilita la gestió informàtica i en sincronitza tota la informació al núvol.