Contraseñas y 2FA
- No re utilices contraseñas. Ni siquiera las que hayas usado en el pasado en ese primer correo de 2010. Reusar contraseñas también engloba usar una variación de la misma, no debe tener correlación y dentro de lo posible, ser totalmente distinta a las anteriores.
- Cambia todas tus contraseñas actuales, incluso las de foros y redes sociales que ya no uses (Ej: Skype)
Utiliza contraseñas complejas, combinando mayúsculas, minúsculas, números y caracteres especiales. No seamos predecibles usando información personal (DNI, número de teléfono, nombre de un familiar, etc) ni palabras relacionadas con cripto. Esto aplica para las contraseñas de plataformas y para nuestros emails.
- Así se ve una contraseña compleja: rq¿L+7!9}43BUeE*
Hay que asumir el peor de los casos. Si usamos información personal, quien esté intentando atacarnos podría apelar a nuestra información pública (Twitter, Facebook, Instagram) para tratar de descifrar nuestra contraseña.Para cuentas con información sensible, es mejor que un generador de contraseñas lo haga por nosotros
Si querés permanecer en el anonimato, no reveles tu identidad (apellido, redes sociales personales) en grupos de Telegram/Discord. Tampoco compartas links a publicaciones que hiciste simulando que lo viste en el perfil de un tercero.
Las password managers son válidas para organizarnos si contamos con múltiples contraseñas en varios servicios y aplicaciones. Cuentan con una función que puede ser de utilidad: generan contraseñas totalmente aleatorias lo suficientemente fuertes como para que alguien no las rompa por fuerza bruta.
Éstas aplicaciones mantienen de manera segura nuestras contraseñas, pero bajo ninguna circunstancia almacenes tus llaves privadas en los password managers.
Password Managers con reputación: 1Password, BitWarden.
Si no queremos usar un PM, deberemos tratar las contraseñas con el mismo cuidado con el que tratamos las seed phrases/PK. Tomarse el tiempo para anotarlas en un cuaderno y mantenerlo organizado/actualizado por sección (contraseñas para email, exchanges, 2FA, wallets, redes sociales, etc.)
Es imprescindible activar el 2FA para absolutamente TODO (exchanges, emails, redes sociales, homebanking si es posible). Hoy en día esto no es negociable, contar con un segundo factor de autenticación puede salvarnos de perder todo nuestro capital e información valiosa. Si un atacante descubre nuestra contraseña, se encontrará con una segunda barrera difícil de eludir.
Servicios de 2FA: Google Authenticator / Authy. Si estas en duda, elegí Authenticator por sobre Authy.
Cuando actives el 2FA, la aplicación te dará unos códigos, de los cuales tendrás que hacer back-up. Estos códigos deben ser tratados como si los buscase el gobierno chino después de hackear Poly Network. Si los perdemos, nos despedimos de nuestras cuentas. Debés mantenerlos a salvo, igual que con la seed phrase. Acá no vale el “ay, me olvidé dónde lo anoté”.
De ser posible, es recomendable no tener instalada la aplicación que usemos para el 2FA en nuestro teléfono personal, y así evitar un dolor de cabeza en caso de pérdida/robo. Tip: usar un celular viejo que tengamos a mano (reseteado de fábrica) y que éste no salga de nuestra casa. Si no nos queda otra que usar 2FA desde el celular personal, lo mejor es activar el bloqueo (contraseña, patrón) para entrar a la aplicación y que esta contraseña sea DISTINTA a la que usamos para desbloquear el teléfono.
Desactiva el 2FA por SMS con tu número de celular para todo, ahora mismo. Uno de los vectores de ataques más utilizados, es a través del SIM Swap. Esto no solo es válido para nosotros, sino también para nuestros amigos y contactos. Si un amigo te habla pidiendo que le envíes dinero, asumí que lo hackearon y pedile que te envíe un video verificándose.
Última actualización 1yr ago