A todos nos gustaría poder asegurar nuestra información de manera que el acceso a ella sea totalmente privado, y que ningún desconocido pueda acceder a ella, probablemente ninguno de los que lean esto, tenga los medios necesarios para crear un lugar seguro donde alojar y salvaguaradar esta información con un servidor independiente, pues esta lista de software puede que sirva de ayuda;

Muchas veces la seguridad de tus contraseñas deja mucho que desear y cualquiera que quiera conseguir acceder a tu información puede llegar a adivinar esta contraseña por "fuerza bruta"...

La mayoría de los ataques "profesionales" de fuerza bruta se hace "offline", es decir que se obtiene el archivo que contiene la lista encriptada de passwords y se trabaja desde la propia casa, sin necesidad de estar conectados. Si un password tiene cuatro números hay 10*10*10*10 combinaciones posibles, es decir solo 10.000 combinaciones. Un ataque de fuerza bruta sobre un password de este tipo es sumamente fácil ya que cualquier PC casero puede manejar con comodidad alrededor de 1.000.000 de combiunaciones por segundo.
www.bradanovic.cl

Automated Password Generator

Para evitar estos problemas y conseguir passwords realmente fuertes tenemos este programa:

APG Online (Versión Web)
Download APG (Automated Password Generator)

¿Quién no se ha preguntado alguna vez si su contraseña no es segura?, esta es una pregunta tan típica cómo obligada teniendo en cuenta que es a menudo la única puerta que separa a la gente de nuestra información más confidencial y es que cómo bien dice la wikipedia una contraseña es una forma de autenticación que utiliza información secreta para controlar el acceso hacia algún recurso.

Pero, ¿Que debemos entender por contraseñas seguras?
A mi modo de entender podemos asegurar que una contraseña es fuerte cuando contiene letras mayúsculas y minúsculas y un mínimo de 8 carácteres, sin embargo para Microsoft una contraseña segura debe tener como mínimo:

1 minúscula (a)
1 mayúscula (A)
1 número (0)
1 símbolo (@)

Y una longitud MÍNIMA de 8 carácteres
Siendo así 'P@ssw0rd' el ejemplo ideal.

* Lamentablemente en muchos de los sistemas que utilizan una contraseña no se admiten símbolos, o sólo se pueden introducir un número limitado de caracteres, como 6 ú 8, e incluso los hay de sólo 4.

Un usuario nos explicó su truco para sacar contraseñas largas y luego poder acordarte de ellas... el truco no utiliza símbolos y la longitud de las contraseñas puede ser variable por lo que reune dos de las características que necesitamos.

Hoy en día practicamente nuestra vida gira en torno a contraseñas,cuando comprobamos nuestro correo, hacemos una transferencia bancaria o encendemos el movil las contraseñas tienen su parte a jugar. Nos bombardean constantemente con historias del horror de agujeros de seguridad, del fraude, y de gente afectada.

Una contraseña fuerte es esencial para proteger datos confidenciales.

¿Por qué , entonces, los usuarios Web optan por las mismas contraseñas inseguras y muy repetidas?

Tomando una muestra de contraseñas (sobre todo del Reino Unido), podemos observar la siguiente lista de contraseñas comunes.

Manipulación de archivos

Algunos sitios tienen URLs parecidas a esto:

index.php?page=contactus.html

El archivo “index.php” incluye simplemente el archivo de “contactus.html”, y el sitio parece funcionar. Sin embargo, el usuario puede cambiar muy fácilmente el pedacito de “contactus.html” por cualquier cosa que le apetezca. Por ejemplo, si estás utilizando el mod_auth de Apache para proteger archivos y para guadar tu contraseña en el archivo llamado ” .htpasswd " (el nombre convencional), si un usuario quisiera visitar esa URL, la respuesta haría salir el nombre de usuario y contraseña:

index.php?page=.htpasswd

Cuidado con SQL

Una de las ventajas más grandes de PHP es la facilidad con la cual puede comunicarse con las bases de datos, lo más normal con MySQL . Mucha gente hace el uso excesivo de esto, y muchos grandes sitios, confía en las bases de datos para funcionar.

Sin embargo, con esa ventaja hay problemas suficientemente grandes en la seguridad a los que tendras que hacer frente. Afortunadamente, hay un montón de soluciones. El peligro más común de seguridad al que debes de hacer frente es cuando un usuario utiliza un fallo para poder atacar directamente al servidor de bases de datos con sentencias SQL.

Utilicemos un ejemplo común. Muchos sistemas utilizan un codigo muy parecido a este para comprobar el usuario y la contraseña pudiendose hacer todas las combinaciones válidas del usuario y de su contraseña, por ejemplo para controlar el acceso a un área de administración:

PHP es una lengua muy fácil a aprender, y muchos programadores lo aprenden como manera de agregar interactividad a sus Sitio Web. Desafortunadamente, eso significa a menudo los programadores de PHP, especialmente ésos más nuevos al desarrollo web, cometen ciertos riesgos de seguridad y desaprovechan el potencial que sus usos pueden contener. Aquí están algunos de los problemas mas comunes de seguridad y cómo evitarlos.

Regla número uno: Nunca, confiar en los usuarios

Nunca debes confiar en que los usuarios te van a mandar los datos que tu esperas. Mucha gente responde a esto con algo como“Oh, nadie estaría interesado en mi sitio”. Esta afirmación no podría ser mas incorrecta , siempre hay un usuario malévolo que quiere explotar un agujero de seguridad ademas los problemas pueden presentarse fácilmente debido a un usuario que hace algo mal inintencionalmente.

Por todo esto la regla de todo desarrollador web tiene que ser "Nunca, confiar en los usuarios" . Asumir que cada pieza de datos que tu sitio recoge de un usuario puede convertirse en un agujero de seguridad, siempre. Si la seguridad de tu sitio web es importante para ti, este un buen puntopara comenzar a aprender. Sería conveniente tener “una hoja de seguridad para PHP” al lado de tu escritorio con los puntos mas importantes en texto negrita grande.

Variables globales

En muchas lenguajes debes crear explícitamente un variable para utilizarlas. En PHP, hay una opción, las “register_globals”, que puedes fijar en php.ini y que permite que utilices variables globales.

Considera el código siguiente:

if ($password == "my_password") {

   $authorized = 1;

}

if ($authorized == 1) {

   echo "Mis cosas importantes ";

}