Para evitar que su contraseña sea violada por mensajes sociales, ataques de fuerza bruta o ataques de diccionario, y para proteger su cuenta en línea, debe tener en cuenta lo siguiente:

No utilice la misma contraseña, preguntas de seguridad y respuestas para varias cuentas importantes.

Usa una contraseña de al menos 16 caracteres, al menos un número, una letra mayúscula, una letra minúscula y un símbolo especial.

No utilice el nombre de su familia, amigos o mascotas en su contraseña. Por ejemplo, en algunos casos, si tienes más de 100 bitcoins, no debes dejar que nadie conozca tu contraseña, incluso si tus padres no son lo suficientemente confiables.

No utilice código postal, número de casa, número de teléfono, fecha de nacimiento, número de identificación, número de seguridad social, etc. en su contraseña.

No utilice palabras de diccionario en su contraseña. Ejemplos de contraseñas fuertes: ePYHc~dS*) 8$+V-', qzRtC{6rXN3NRgL, zbfUMZPE6`FC%)sZ. Ejemplos de contraseñas débiles: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

No utilice dos o más contraseñas similares con la mayoría de los caracteres, como ilovefreshflowersMac, ilovefresh flowersDrop Box, ya que si una contraseña es robada, significa que todas ellas son robadas.

No use nada que pueda clonar (pero no cambiar) como contraseña, como huellas dactilares.

No dejes que tu navegador web (Firefox, Chrome, Safari, Opera, IE, Microsoft Edge) almacene tus contraseñas, ya que todas las contraseñas guardadas en tu navegador web pueden ser vulnerables.

No inicie sesión en una cuenta importante en la computadora de otra persona, ni cuando esté conectado a un punto de acceso Wi-Fi público, Tor, una VPN gratuita o un proxy de red.

No envíe información confidencial en línea a través de conexiones no cifradas (como HTTP o FTP), ya que los mensajes en estas conexiones pueden ser detectados sin esfuerzo. Siempre que sea posible, debe usar conexiones cifradas como HTTPS, SFTP, FTPS, SMTPS, IPSec, etc.

Cuando viajas, puedes cifrar tu conexión a Internet antes de salir de tu computadora portátil, tableta, teléfono o enrutador. Por ejemplo, puede configurar una VPN dedicada con WireGuard (o IKEv2, OpenVPN, SSTP, L2TP sobre IPSec) en su propio servidor (computadora doméstica, servidor dedicado o VPS) y conectarse a él. Alternativamente, puede configurar un túnel SSH cifrado entre su computadora y su propio servidor y configurar Chrome o FireFox para usar un proxy socks. Entonces, incluso si alguien usa un rastreador de paquetes para capturar sus datos mientras transfiere datos entre su dispositivo (por ejemplo, computadora portátil, iPhone, iPad) y el servidor, no podrán robar sus datos y contraseñas de los datos de transmisión cifrados.

¿Qué tan segura es mi contraseña? Tal vez pienses que tu contraseña es fuerte y difícil de descifrar. Sin embargo, si un hacker roba el hash MD5 de su nombre de usuario y contraseña de los servidores de la empresa, y la tabla del arco iris del hacker contiene este hash MD5, su contraseña se descifrará rápidamente.

　　　　　Para comprobar la fuerza de la contraseña y saber si están en la popular tabla del arco iris, puede convertir la contraseña en un hash MD5 en el generador de hash MD5 y luego descifrar la contraseña enviándola al servicio de descifrado MD5 en línea. Por ejemplo, su contraseña es "0123456789A", y con el método de craqueo de fuerza bruta, su computadora puede tardar casi un año en romper su contraseña, pero si descifró el hash MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) enviándolo al sitio web de descifrado MD5, ¿cuánto tiempo tardaría en descifrarlo? Puedes probarlo tú mismo.

Se recomienda cambiar la contraseña cada 10 semanas.

Recomendamos recordar algunas contraseñas maestras, almacenar otras en un archivo de texto sin formato y cifrar este archivo con un software de cifrado de disco como 7-Zip, GPG o BitLocker, o usar un software de administración de contraseñas para administrar sus contraseñas.

Encripta y realiza copias de seguridad de la contraseña en una ubicación diferente, y si pierde el acceso a su computadora o cuenta, puede recuperar la contraseña rápidamente.

Activar la autenticación en dos pasos siempre que sea posible.

No almacene contraseñas clave en la nube.

Acceda a sitios importantes (como Paypal, SNS.show) directamente desde los marcadores, de lo contrario, compruebe cuidadosamente su nombre de dominio, lo mejor es comprobar la popularidad del sitio con la barra de herramientas de Alexa antes de ingresar la contraseña para asegurarse de que no es un sitio de phishing.

Utilice un firewall y un software antivirus para proteger su computadora, bloqueando todas las conexiones entrantes y todas las conexiones salientes no deseadas a través del firewall. Descargue el software solo de sitios web de buena reputación y verifique la suma de comprobación MD5/SHA1/SHA256 o la firma GPG del paquete de instalación siempre que sea posible.

Mantenga actualizado el sistema operativo de su dispositivo (por ejemplo, Windows PC, Mac PC, iPhone, iPad, tabletas Android) (por ejemplo, Windows 7, Windows 10, Mac OS X, iOS, Linux) y los navegadores web (por ejemplo, Firefox, Chrome, IE, Microsoft Edge) instalando las últimas actualizaciones de seguridad.

Si tiene archivos importantes en su computadora y otras personas pueden acceder a estos archivos, compruebe si es necesario tener registradores de teclado de hardware (por ejemplo, detectores de teclado inalámbricos), registradores de teclado de software y cámaras ocultas.

Si tiene un enrutador WIFI en su casa, puede saber la contraseña que ingresó (en la casa del vecino) al detectar los gestos de los dedos y las manos, ya que la señal WIFI que reciben cambia cuando se mueven los dedos y las manos. En este caso, puede usar el teclado en pantalla para escribir la contraseña, que es más seguro si este teclado virtual (o teclado suave) cambia el diseño cada vez.

Al salir de los ordenadores y teléfonos móviles, bloquearlos.

Antes de colocar archivos importantes en el disco duro, use VeraCrypt, FileVault, LUKS o herramientas similares para cifrar todo el disco duro y, si es necesario, destruir físicamente el disco duro del dispositivo antiguo.

Visitar sitios web importantes en modo privado o anónimo, o usar un navegador web para acceder a sitios web importantes y otro navegador para acceder a otros sitios web. O visite un sitio web sin importancia e instale un nuevo software en una máquina virtual creada con VMware, VirtualBox o Parallels.

Use al menos 3 direcciones de correo electrónico diferentes, use la primera para recibir correos electrónicos de sitios web y aplicaciones importantes como Paypal, Amazon, SNS.show, use la segunda para recibir correos electrónicos de sitios web y aplicaciones sin importancia, use la tercera dirección (de diferentes proveedores de correo electrónico como Outlook y GMail) para recibir correos electrónicos de restablecimiento de contraseña cuando la primera dirección (como Yahoo Mail) es pirateada.

Usa al menos 2 números de teléfono diferentes y no le digas a nadie el número de teléfono que usaste para recibir mensajes de código de verificación.

No haga clic en enlaces en correos electrónicos o mensajes de texto, y no restablezca la contraseña haciendo clic en la contraseña a menos que sepa que los mensajes no son falsos.

No le digas a nadie tu contraseña por correo electrónico.

Un software o aplicación que ha descargado o actualizado puede haber sido modificado por piratas informáticos, y puede evitar este problema evitando instalar el software o la aplicación en primer lugar, a menos que se publique para corregir una vulnerabilidad de seguridad. Puede usar aplicaciones basadas en la web, que son más seguras y más portátiles.

Tenga cuidado al usar las herramientas de pegado en línea y las herramientas de captura de pantalla para no permitir que carguen sus contraseñas en la nube.

Si usted es un webmaster, en lugar de almacenar las contraseñas de los usuarios, las preguntas de seguridad y las respuestas en la base de datos en texto sin formato, debe almacenar los hashes saltos (SHA1, SHA256 o SHA512) de estas cadenas. Se recomienda generar una cadena de sal aleatoria única para cada usuario. Además, es mejor registrar la información del dispositivo del usuario (por ejemplo, versión del sistema operativo, resolución de pantalla, etc.) y luego, cuando él / ella intenta iniciar sesión con la contraseña correcta, pero su información del dispositivo no coincide con la contraseña guardada previamente, pedirle al usuario que verifique su identidad ingresando otro código de verificación enviado por SMS o correo electrónico.

Si usted es un desarrollador de software, debe usar GnuPG para publicar paquetes firmados con claves privadas y verificar su firma con claves públicas publicadas anteriormente.

Para garantizar la seguridad de su negocio en línea, debe registrar su propio nombre de dominio y configurar una cuenta de correo electrónico con este nombre de dominio para que no pierda su cuenta de correo electrónico y todos sus contactos, ya que puede alojar su servidor de correo electrónico en cualquier lugar y su cuenta de correo electrónico no puede ser deshabilitada por su proveedor de correo electrónico.

Si un sitio de compras en línea solo permite pagos con tarjeta de crédito, entonces usted debe usar una tarjeta de crédito virtual.

Cierra el navegador web al salir de la computadora, de lo contrario, las cookies pueden ser fácilmente interceptadas por pequeños dispositivos USB, lo que permite eludir la verificación en dos pasos e iniciar sesión en su cuenta con la cookie robada en otras computadoras.

No confíe y elimine los certificados SSL incorrectos de su navegador web, de lo contrario no podrá garantizar la confidencialidad e integridad de las conexiones HTTPS que utilizan estos certificados.

Encripta toda la partición del sistema, de lo contrario, deshabilite los archivos de paginación y la función de hibernación, ya que los documentos importantes se pueden encontrar en los archivos pagefile.sys y hiberfil.sys.

Para evitar ataques de inicio de sesión de fuerza bruta contra su servidor dedicado, servidor VPS o servidor en la nube, puede instalar un software de detección y prevención de intrusiones como LFD (Demon de fallos de inicio de sesión) o Fail2Ban.

40. Si es posible, use un software basado en la nube en lugar de instalarlo localmente en su dispositivo, ya que cada vez más ataques a la cadena de suministro instalan aplicaciones maliciosas o actualizaciones en su dispositivo para robar sus contraseñas y acceder a datos confidenciales.

41. Es mejor generar una suma de comprobación MD5 o SHA1 de todos los archivos en la computadora (usando un software como MD5Summer) y guardar los resultados, luego verificar la integridad del archivo todos los días comparando la suma de comprobación con los resultados guardados previamente (y encontrar el archivo o programa de troyano inyectado en la puerta trasera).

42. Todas las grandes empresas deben implementar y aplicar sistemas de detección de intrusiones basados en inteligencia artificial (incluyendo herramientas de detección de anomalías de comportamiento de red).

43. Solo se permite que las direcciones IP de la lista blanca se conecten o inicien sesión en servidores y computadoras importantes.

44. ¿Sabías que puedes ocultar uno o más archivos dentro de otro archivo? Por ejemplo, en Linux, puede usar el comando "cat file1.mp4 file2hide.gpg>file2.mp4" para adjuntar el archivo file2hide.gpg al final del archivo file1.mp4 y generar un nuevo archivo llamado file2.mp4. El nuevo archivo (file2.mp4) todavía se puede reproducir en todos los reproductores multimedia (como VLC), y si elige ocultarse en un archivo PDF o FLAC, el archivo de salida también se puede abrir con cualquier visor de PDF o reproductor de música sin ningún problema. Para dividir el archivo de salida, puede usar el comando "tail" y el comando "split", o puede escribir un pequeño trozo de código para hacer el trabajo.