En los ultimos meses hubo noticias de millones de usuarios y hashes de contraseñas revelados de Linkedin, eHarmony y Last.fm. También se publicaron muchos de esos passwords, que eran muy sencillos de descubrir mediante el uso de diccionarios y en pocas horas 300.000 de esas contraseñas estaban publicadas en distintos sitios.

   Tan solo un par de días después fueron publicadas también contraseñas del popular juego League of Legends.
   Como muchas de esas contraseñas también eran utilizadas para la cuenta de mail, los desarrolladores de malware no tardaron en enviar correos desde cuentas robadas, con enlaces hacia sitios de wordpress vulnerables e infectados con malware. Y hace unos días, fueron publicadas medio millón de cuentas y contraseñas por una vulnerabilidad de un servidor de Yahoo!, que también afectó a cuentas de GMail, Hotmail y docenas de empresas.
   Ante todos estos incidentes, muchas veces nos preocupa saber si nuestra cuenta de correo ha sido accedida por alguien sin autorización; GMail un tiempo agregó al final de la página un enlace casi imperceptible que nos permite checkear cuál fue la última actividad de nuestra cuenta y también nos posibilita configurar alertas si hubo algún acceso extraño.
   Una vez abierto el enlace, se despliega un pop-up con la información de las IPs desde dónde se accedió, el horario y el dispositivo desde el cuál se hizo, ya sea un teléfono móvil, un navegador o un cliente de correo POP3. También nos muestra un asterisco con la sesión actual y un botón que nos permite cerrar todas las otras sesiones que haya abiertas.

   Esto no evitara que si nuestra cuenta fue comprometida alguien pueda ingresar en ella, pero al menos nos mantendrá alertas y de alguna manera nos está avisando que es hora de cambiar la contraseña.
   Y, para los más paranoicos, que quieran agregar un factor más de seguridad a su cuenta de GMail, existe la posibilidad de "doble factor de autenticación" usando la contraseña y un código aleatorio que es enviado por SMS o una llamada de voz a nuestro celular (hay que brindar el número de teléfono) o la generación del código via Google Authenticator para Android, Iphone o Blackberry en caso de no tener acceso a Internet o cobertura en el móvil y puede configurarse para que lo pida solo cada 30 días en la computadora que usemos habitualmente, pero lo requerirá cada vez que lo hagamos en una computadora distinta a la habitual.
   En este enlace tenemos detallado paso a paso cómo configurarlo. También se puede configurar desde aquí donde nos pedirá que ingresemos nuestra contraseña y nos guiara en la configuración.

Artículo de segu-info escrito por Adolfo Fioranelli Instructor de la Academia de la Red Proydesa, UTN sede Centro.