Seguridad para tu correo Google Apps

Noviembre 9th, 2008

Locker2Loguearse al correo desde una computadora ajena (cyber, facultad, trabajo, etc.) es frecuente para muchos. En general no tenemos problemas pero podrían haberlos. Dos métodos sencillos para sacarnos la contraseña:

1. Keylogger. Un programita que registra lo que tecleamos, lo almacena en un archivo y puede enviarlo por internet.

2. Cabeceras HTTP. Al enviar un formulario el navegador junta la información -contraseña sin cifrar incluída- y la envía al sitio. Ese intercambio se puede ver y guardar. Para los antivirus es legal.

Propongo una solución de seguridad para quienes usan Google Apps que si bien no es definitiva, da algunas garantías al proceso:

  • Ingresar utilizando una contraseña distinta a la verdadera. Esta contraseña podría ser función de la fecha de manera que cambie diaria y automáticamente -o más perverso todavía, queda librado a su imaginación ;) -.
  • No se intercambia en las cabeceras la contraseña verdadera.
  • El acceso es restringido; no podemos ingresar a otros servicios de Google.
  • Por lo anterior y porque no conocemos la contraseña real, no es posible cambiarla. La cuenta no es automodificable.
  • Podemos llevar un control de ingresos: logueos exitosos, logueos fallidos, fechas, ips, bloqueo después de cierta cantidad de intentos, etc.
  • Podemos llevar el cuadro de ingreso al sitio/diseño que queramos -algo en principio exclusivo para cuentas Premium-.

Es un script php que dialoga con Google desde nuestro servidor utilizando curl. Una vez que la petición es aceptada, Google nos devuelve un link con un authcode. Con él ingresamos y se generan las cookies de sesión -similar al ingreso normal-. El acceso a los demás servicios de Google no se permite porque se registran una cantidad mínima de cookies; el resto quedan en el olvido y las claves son distintas (no se pueden traspasar de una a otra). Se utiliza protocolo seguro (https).

Sugiero que usen el script para ingresar desde computadoras poco fiables y el ingreso normal para computadoras seguras :)

Otras recomendaciones:

  • La contraseña del correo, la del hosting y la del registrador de dominios deben ser de máxima seguridad. No se deberían usar para otros sitios.
  • Terminen las sesiones clickeando “Salir”.

Descargar: http://martin.com.uy/sitio/index.txt (renombrar como .php)

Internet, Programación | martin

Juegos02 Juegos flash online gratis y minijuegos arcade

  1. 19 respuestas a “Seguridad para tu correo Google Apps”

  2. Por Andres el Nov 10, 2008 | Responder

    Martin, no quedo muy clara la explicación. Ya desde el primer paso donde decís de Ingresar con una contraseña distinta a la verdadera… ahí me mataste! Hay algo que falta.

  3. Por martin el Nov 10, 2008 | Responder

    Andrés, el script una de las cosas que permite es que no tengas que ingresar tu contraseña de más seguridad en una computadora poco fiable. Ingresás en cambio otra contraseña -que inclusive puede ser dinámica, ser función de la fecha u otra cosa- y tenés un acceso a la cuenta limitado.

    Saludos,
    martin.-

  4. Por Marcelo el Nov 10, 2008 | Responder

    Martin, yo tampoco entiendo :( Podrías explicarlo un poco más ?
    Si entras con cualquier clave…. cualqueira que sepa mi correo podria ?
    Como valida esa clave dinamica? No entiendo nada :(
    MArce

  5. Por martin el Nov 10, 2008 | Responder

    Con cualquier clave no! Entrás con una clave que solo vos conocés. Esa clave podría ser estática -como cualquier otra clave- o contener elementos variables como la fecha.

    Por ej:

    Contraseña real: abcdefg
    Seudo-contraseña: 123456 (el N° de día * 2)

    La idea, repito, es proteger la contraseña verdadera y tener un acceso limitado. Yo estuve hace unos meses de viaje por Bs As y me daba cosita escribir mi contraseña en esos cybers piojosos a los que iba :lol:
    Espero haber aclarado. Pueden también fijarse en el código php que es muy sencillo.

    Saludos,
    martin.-

  6. Por Alessis el Nov 10, 2008 | Responder

    Ta, no es por sumarme así nomás, pero tampoco me quedó tan claro :{

    Aparte que ta, no uso el Google Apps, aunque tenía ganas de intentarlo, pero no me animo a meter dominio y esas cosas. ¿Vos decís que vale la pena? (Supongo que vas a responder que sí :P.)

  7. Por Daniel Morales el Nov 13, 2008 | Responder

    Creo que a eso se le dice Tunneling, no?

    Muy buena la idea verdad!!

  8. Por martin el Nov 13, 2008 | Responder

    Gracias Daniel!

    No sé exactamente que es tunneling pero me parece que el espíritu es ese.

    Saludos,
    martin.-

  9. Por Gaston el Nov 17, 2008 | Responder

    Yo justo antes de ayer me puse a experimentar google apps para usar el servicio de correo y la verdad que es espectacular. lo uso para http://www.prejuicio.org, como es un proyecto para el liceo sin fin de lucro, me lo dan gratis.

    Bueno, gente cualquier consulta a las ordenes.

    Pregunta: como se usa google app para un .com.uy?

  10. Por martin el Nov 18, 2008 | Responder

    Gastón: es practicamente igual que con otro dominio. Vas a nic.anteldata.com.uy y creas un registro MX que apunte a los servidores de Google. Luego seguís el resto del proceso.

    Saludos,
    martin.-

  11. Por Fedelosa el Nov 20, 2008 | Responder

    @Gaston: Podes hacer como te dice Martin, o podes hacerlo desde el cPanel (o el panel que tengas en el hosting) si es que tenes el .com.uy alojado en algun servidor.

    saludos

  12. Por Gaston el Dic 4, 2008 | Responder

    Martin, como creas un registro MX desde el panel de anteldata? poque no lo tengo “”alojado anteldata”" el dominio.

  13. Por martin el Dic 4, 2008 | Responder

    Gastón, sea cual sea el servicio de Hosting de DNS que uses, tenés que delegarle el dominio primero. En otras palabras, no podes crear registros MX desde el Panel de Control de Anteldata a menos que lo alojes allí. Otra opción sería alojarlo en tu hosting normal y desde ahí crear los registros MX..

    No sé si soy claro, preguntame cualquier cosa.

    Saludos,
    martin.-

  14. Por Gaston el Dic 6, 2008 | Responder

    Martin, Genial muchisimas gracias, ahora entendi todo bien…

    Les recomiendo un hosting gratuito, creo que de los mejores que hay http://www.0fees.net.

    Saludos,
    Gaston

  15. Por Gaston el Dic 6, 2008 | Responder

    Geniaaaal!! ya tengo gaston@d23.com.uy funcionando!! gracias a todos!!

  16. Por Andres el Dic 17, 2008 | Responder

    Hola,

    Estaría bueno que un dia de stos hagas un post acerca de como configurar google aps y lo del mail gmail

    Graciela!

  17. Por martin el Ene 4, 2009 | Responder

    Andrés, la documentación de Google está bastante completa. Consideraré la sugerencia pero si tenés alguna duda concreta, estoy a las órdenes.

    Saludos,
    martin.-

  18. Por Francisco el Feb 9, 2009 | Responder

    Me gustaría personalizar la página de acceso al correo de Google Apps para mi dominio; tienes algún script php que permita logearse a una cuenta de correo de Google Apps?

  19. Por martin el Feb 9, 2009 | Responder

    Ese mismo script, Francisco, te permite hacer un cuadro de logueo de la forma que quieras.

    Saludos

  20. Por Nico el Oct 13, 2009 | Responder

    Y digo yo, no es mejor tener un navegador portable en un pendrive y se acaban todos los problemas de contraseñas?, es lo que yo uso. Además de un programita que me genera contraseñas al azar y las guarda. Así todas las contraseñas de mis cuentas son deferentes y casi indecifrables ^^

    Saludos.

Postear un comentario