Acceder

"Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

166 respuestas
"Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.
12 suscriptores
"Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.
Página
5 / 21
#33

Re: "Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

Siempre que pueda ayudar a algún rankiano con algo que sepa, para mi nunca es una molestia.

Cualquier duda, cuenta conmigo!

Saludos Pelos sr!

#34

Re: "Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

Cada vez que te conectas a la web de un banco mediante el protocolo seguro https, el banco te envía una clave pública de sesión dentro de un certificado digital.

Toda la información que se intercambia con el banco, antes de ser enviada se cifra con un algortimo que utiliza la clave pública y viaja cifrada por internet. El único que puede descifrar la información es el poseedor de la clave privada que es el banco.

Es como si tú quieres enviarle al banco una caja, este te envía su candado que sólo se abre con una llave maestra que está en poder del banco. Tú candas la caja con el candado del banco y este es el único que puede abrirla. La clave pública es el candado y la clave privada es la llave. Esa es la idea.

¿Cómo sabe tu navegador que el certificado digital que te envía el banco es auténtico y representa a quien dice ser? Mediante las CA, Autoridades de Certificación. Una CA lo que hace es avalar a un tercero, por ejemplo la Fabrica Nacional de Moneda y Timbre es una CA.

Tanto Firefox como IE tienen una lista de CAs junto con sus certificados digitales.
Firefox -> Herramientas -> Opciones -> Avanzado -> Ver certificados
IE -> Herramientas -> Opciones de internet -> Contenido -> Certificados

Lo que sucede al acceder a la web segura de Bestinver es que el Firefox no tiene instalado el certificado de la CA que avala a Bestinver y el IE sí lo tiene.

Si en el Firefox al intentar acceder a la web le dices que entiendes los riesgos y que te cree una excepción de seguridad entonces se añadirá una entrada en la pestaña "servidores" en el apartado de "certificados". Si borras esta entrada e intentas acceder de nuevo te saltará de nuevo el aviso. Cuidado con borrar certificados a mano sin saber pero también mucho cuidado con crear excepciones de seguridad porque podrías estar confiando en un tercero que podría ser un hacker intentando atacar mediante la técnica "man in the middle".

Saludos.

#35

Re: "Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

Muy buena explicación Blitz.

Saludos!

#36

Re: "Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

Gracias Pedro, las tuyas están muy bien y sólo por el trabajo que te has tomado te mereces un premio. Si te parece bien comentaré algunas de las cuestiones para ampliar el tema de la seguridad.

True Crypt es un excelente programa que combina criptografía y estenografía. La criptografía convierte en ilegible el mensaje y la estenografía lo oculta camuflándolo.

Supongamos que trabajamos con diferentes bancos on-line. Para acceder a las distintas webs, lo recomendable es tener claves diferentes.

¿Cómo recordarlas de una forma fácil y segura? Utilizando True Crypt. Creamos un fichero de texto plano en el que figuran todas las claves o mejor aún un pdf o un word con una imagen con las claves. A continuación utilizamos True Crypt que se encarga de cifrar el fichero y además lo camufla haciendo que parezca ser por ejemplo un archivo de video.

Ahora supongamos que este archivo cayera en manos de un tercero e intentara abrirlo. Al hacerlo le daría un mensaje de error del tipo "formato desconocido" ya que no podría ser abierto por ningún reproductor de video. Si intentara abrirlo con el word, adobe reader, notepad o similar también daría error. Sólo podría ser abierto con True Crypt pero no hay forma de saberlo a priori. Si se diera el caso en que probara a abrilo con True Crypt se encontraría con que el archivo está cifrado y necesitaría la clave que sólo nosotros conocemos para descifrarlo.

¿Cómo debe ser la clave que debemos utilizar para cifrar el archivo? Debe cumplir las siguientes características: tener una longitud mínima, debe contener letras, cifras y caracteres de puntuación e incluir mayúsculas y mínusculas, no debe tener relación directa con la persona, no debe ser una palabra común ni de diccionario ni ser una frase célebre y tiene que ser fácil de recordar.

Respecto a la longitud mínima debe de ser de al menos 8 carácteres. Un pin, 4 caracteres que combina números del 0 al 9 es insuficiente porque el número de combinaciones posibles 10^4 puede ser probado por un ordenador en cuestión de segundos. Con 8 caracteres y utilizando letras y números el número de combinaciones se cuenta por billones o más. Aquí surge la duda de entonces ¿por qué algunos bancos utilizan como clave de acceso el pin? La respuesta es que al tercer intento erróneo bloquean el acceso y más si el acceso proviene desde una Ip inhabitual. De este modo evitan que el usuario pueda poner una clave complicada que pueda no ser recordada por él mismo o lo que sería peor que la apuntara en un papel o en la propia tarjeta de coordenadas.

La clave no tiene porque ser una palabra puede ser una frase que nosotros podamos recordar fácilmente y que no sea célebre, por ejemplo "alea jacta est" no vale. Un ordenador por fuerza bruta puede romper el cifrado probando con todas las palabras y frases de un diccionario en poco tiempo. Una frase buena podría ser "En 1995 curse 3º de B.U.P. y el apodo de mi profesor de algebra era Tarzan!."

Finalmente colocamos el archivo cifrado y camuflado en un Pen-drive biométrico que tiene una parte privada que sólo puede ser accedida mediante huella dactilar. Los hay de 1 o 2 Gb por unos 30 euros.

Un saludo.

#37

Re: "Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

Gracias Pedro estoy poniendo en práctica alguno de tus consejos, es muy útil tu post. Por cierto es interesante eso del pendrive con biometría que nombra Blitz... Saludos

#38

Re: "Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

Hola Pati, gracias por tus palabras.

Así es, es muy interesante, lo que nos comenta Blitz. Hay muchas cosas, en seguridad, muy interesantes.

En mi post he intentado poner cosas que sean importantes, pero que a la vez "sean sencillas" de aplicar.

Otro día tendríamos que hablar de las conexiones wifi que tenemos en casa o de las medidas de seguridad a tomar, si nos conectamos en algún sitio "desconocido": hoteles, wifis libres, etc..

Saludos!

#39

Re: "Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

Que tal Pedro, me alegro mucho del exito que ha tenido tu post, si te fijas acaban de publicarlo en titulares, ni te cuento la que te va a caer ahora en preguntas y la de gente que va a seguir recomendandotelo, jejejejej,me alegro que la iniciativa que tuve en pedirtelo haya dado este resultado

Un saludo

PD.- si me das pie y mas adelante y aprovechando tus conocimientos en informatica, te invito a que nos enseñes mas cosas de estos temas que nos puedan ser utiles para desenvolvernos en el dia a dia, o así como de cualquier otro usuario que conozca todos estos temas

#40

Re: "Tutorial" seguridad para entrar a la banca electrónica y encriptado de claves. Programas y usos.

Cuenta conmigo Selangos, este post, en si, es gracias a tu petición y me alegra mucho el éxito que está teniendo. Saber que uno es útil es gratificante.

Pero, sin duda, es mucho más lo que aprendo yo de vosotros, con cosas como: depósitos, cuentas, rentabilidades, comisiones, OTEs, etc... cosas de las que no tenía ni idea antes de ser rankiano.

Gracias siempre!

Saludos!

Guía Básica