Portada
Hace 2 años | Por nereira a elperiodico.com
Publicado hace 2 años por nereira a elperiodico.com

Día Internacional de la contraseña: ¿Cómo crear una contraseña a prueba de hackers?

 elperiodico.com

Si la clave tiene 12 caracteres con mayúsculas, minúsculas, números y símbolos, los hackers podrían tardar 3.000 años en averiguarla.A pesar de que hace años los expertos en ciberseguridad predijeron un mundo futuro sin contraseñas, hoy la mayoría augura larga vida para la contraseña al considerarla muy segura si se sigue la máxima de crearla combinando símbolos, números y letras con la suficiente extensión. Y este 2 de mayo se celebra el Día Internacional de la contraseña como homenaje a un elemento trascendental para la seguridad global

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 95 34

Comentarios

Stash

Nada como esto para romper algunos mitos de contraseñas

https://imgs.xkcd.com/comics/password_strength.png

V 10
K 95
sorrillo

#1 El otro día los de Liberbank me hicieron cambiar la contraseña porque patatas. La nueva tenía que ser de 6 caracteres y me dijeron que no podía repetir las últimas 5 anteriores.

La cantidad de errores que cometen con ese planteamiento es abismal. Obviamente cambié la contraseña 6 veces en unos pocos minutos.

V 3
K 39
NoPracticante
editado

#3 En mi curro las contraseñas tienen que tener al menos 8 caracteres. Al menos un símbolo, una mayúscula y un número. Las contraseñas cambian cada tres meses y no puedes usar nunca la misma contraseña ni variaciones sencillas sobre estas.
Teniendo en cuenta que la media de edad es más de 50 años si te pasas por los cubículos después del trabajo encontrarás las contraseñas escritas en el monitor, en el teclado, en un papel... Una política de contraseñas inflexible provoca una falta de seguridad absoluta.

V 3
K 40
TardisKun

#26 En el mío igual, excepto que caducan cada 30 días... En la siguiente actualización nos pedirán sacrificar Pokémon con cada cambio.

V 0
K 7
GanaderiaCuantica
editado

Por curiosidad, ¿a qué tipo de contraseñas se refieren estos artículos? O lo que pone #1
La mayoría de sitios web (todos?) hoy en día te bloquean tras 3, 5…puede que 10 intentos, así que salvo que conozcas la contraseña de antemano poco puedes hacer.

¿Se refieren a otras cosas como equipos de red (routers, switches..)?

editado:
solo me imagino que se refieran al “jacker” intentando averiguarla por prueba/error a partir del MD5, SHA…si es que funciona…

V 2
K 28
ioxoi

#7 tu contraseña, al final estará hasheada en alguna base de datos, tarde o temprano se descubrirá un bug en cualquiera de los sitios que la usas y mediante fuerza bruta todas las que formen parte de un diccionario de contraseñas o sean lo suficientemente simples caerán en poco tiempo.
Con esto seguramente intentarán entrar en tu correo y otras cuentas para conseguir información que puedan monetizar.

V 3
K 36
D

#11 mediante fuerza bruta todas las que formen parte de un diccionario de contraseñas o sean lo suficientemente simples caerán en poco tiempo.

Para eso empezamos a salar las contraseñas hace años. roll

V 1
K 15
ioxoi
editado

#17 eso solo evita que se ataquen en grupo, pero por mucha salt que tengas como este en diccionario o sea simple, te puedes dar por jo*.
Por otra parte, la mayoría de sitios no usan salts distintos por contraseña, si no por sitio, lo que solo elimina las Rainbow tables.

V 0
K 10
WarDog77
editado

#7 Yo llevo un pendrive cifrado. Ahí el ataque por fuerza bruta es factible. Aunque lo veo difícil

comment_35596512 media
V 0
K 11
X

#1 Con un diccionario de palabras es fácil de romper.

V 0
K 12
sorrillo
editado

#10 Con un diccionario de palabras es fácil de romper.

No, no lo es.

En la propia viñeta tienes el cálculo de entropía por ese método, que es 44 bits de entropía. Lo cual es una seguridad aceptable(1) para una contraseña.

La clave está en que esas cuatro palabras han sido elegidas aleatoriamente de un grupo que puede rondar entre 20 mil posibles palabras de uso común en inglés a 170 mil según el grado de "común" que elijas(2).

Usando la fórmula de este enlace: https://www.pleacher.com/mp/mlessons/algebra/entropy.html
Entropía = Log2(Pool número de palabras) nos da una entropía de entre 57(3) y 69(4) de entropía.

Que según su propia tabla estaría dentro del nivel de seguridad aceptable(1) y fuerte(1).

No es mi especialidad, así que por si he cometido alguna metida de pata sería de agradecer que alguien lo revisase.

(1) https://www.pleacher.com/mp/mlessons/algebra/entropy.html
(2) https://englishlive.ef.com/blog/language-lab/many-words-english-language/
(3) https://www.wolframalpha.com/input?i=log2%2820000%5E4%29
(4) https://www.wolframalpha.com/input?i=log2%28170000%5E4%29

V 4
K 48
sorrillo
editado

#16 Fe de erratas, donde pongo Log2 debería poner Log2 (los cálculos no se ven afectados por esta errata).

V 1
K 24
D

#10 Un diccionario de palabras es útil con contraseñas como "patatas". "MeGustanLasPatatas" es inmune a este tipo de ataques.

V 0
K 11
D

#1 Matthew Mcconaughey gran actor,mejor contraseña.

V 5
K 72
Urasandi

#15 Y más si eres dislexico.

V 1
K 22
Urasandi

#15 Sacado de aquí (antes no lo encontraba):

comment_35581537 media
V 1
K 21
blodhemn

¿Alguién sabe que pasa si en las máquinas del DNI Electrónico de la Policia Nacional metes mal tres veces la contraseña? Es que el otro día metí mal la primera vez la contraseña y ya me empece a acojonar.

V 0
K 20
sorrillo
editado

#2 No te preocupes, puedes gastar las tres veces si no te acuerdas de la contraseña. Cuando hayas superado los intentos lo que hace la propia máquina es volver a programar el DNI como si fuera nuevo, te piden la huella dactilar un par de veces desde la propia máquina en un proceso un poco largo pero nada más.

Te acaban dando una nueva contraseña que puedes cambiar por la que tú quieras.

Cuidado con poner el DNI mal puesto (boca abajo en vez de boca arriba o como sea), que el error que da en absoluto te indica que lo has puesto mal, simplemente actúa como si nada hasta que al cabo de un rato te dice que no ha podido hacer lo que le pedías o así.

Añado que por un problema de seguridad revocaron un montón de DNIs electrónicos pero la máquina en vez de avisarte te da errores incomprensibles. Cuando te cansas de intentarlo y repetir el error y preguntas al que esté cerca de la máquina te dice que es normal, que hay que volver a hacer el DNI y te dejan hacerlo colándote por delante de los que tenían cita previa.

V 2
K 27
Stash

#2 sale un madero de antidisturbios con la defensa de madera y te arrea cuatro veces. Luego te dice como cambiar la contraseña.



Puedes volver a cambiarla en ha maquinita con tu huella digital.

V 1
K 13
guillefunk

#2 Pues diría que nada. Con la huella lo desbloqueas para regenerar pin (no sé si se destruyen los certs o se generan otros nuevos).

Si te pasa en casa tendrías q ir a la máquina pero comentas que estás allí así que sin problema jeje

fuente: https://www.google.com/url?sa=t&source=web&rct=j&url=https://www.cofb.org/es/web/certificatdigital/pin-del-dnie-bloquejat%23:~:text%3DEl%2520Pin%2520que%2520va%2520incorporado,antes%2520de%2520bloquear%2520el%2520DNIe.&ved=2ahUKEwj-jreo5rv3AhWz8LsIHZOyARQQFnoECAQQBQ&usg=AOvVaw1wPdx7_SE5ierHzYuCIkny

V 0
K 6
c

#2 En la máquina accedes con la huella dactilar

V 1
K 19
S

Mmmmmmm lo que tengo claro es que NO voy a usar los métodos de creación de contraseña que me digan que tengo que usar.

V 1
K 17
sorrillo

#27 Pues al menos un bloqueo durante 48h avisando por todos los medios conocidos (email, sms al móvil, etc.) que se va a reiniciar la contraseña y que si se quiere impedir que se acceda a tal enlace.

Pero es que con el pésimo diseño actual si alguien se hace con el control de tu móvil puede acceder a todos los sitios en los que estés registrado en cuestión de minutos.

V 0
K 13
sorrillo
editado

#19 No es necesario ofrecer ninguna solución para concluir que es una barbaridad lo que hacen.

Delegan toda su seguridad a una empresa de terceros, el gestor de correo electrónico, y no hacen ninguna verificación sobre si quién tiene acceso a ese correo es el propietario de la cuenta en su sitio web.

Dicho esto existe el concepto de preguntas de seguridad, por ejemplo. O tarjetas con códigos de un solo uso (no es necesario que sean físicas).

V 0
K 13
D

#22 El usuario se ha olvidado de la contraseña y esperas que se acuerde de la respuesta a la pregunta de seguridad o que sea más privada que el contenido de su correo electrónico.

"¿Cúal es tu canción favorita?". Vale. sé cual es mi canción favorita. Ahora la pregunta es "¿cúal era mi canción favorita cuando me creé esta cuenta, hace cinco... o fue hace diez años?" lol

V 0
K 11
O.OOЄ

Os doy mi receta:

openssl rand -base64 32

y lo que salga, al gestor de contraseñas.

V 0
K 10
a69

No hace falta recordar la contraseña, las webs tienen un boton que pone "he olvidado la contraseña"

V 0
K 10
sorrillo
editado

#8 Es la mayor barbaridad que se hace hoy en día. Pulsas ese botón y envían una contraseña nueva al correo electrónico o un enlace para poner la que quieras.

Con conseguir acceso al correo electrónico de una víctima ya se tiene acceso a todos los sitios que se esté registrado, es una barbaridad lo que hacen en términos de seguridad.

Y acceder al correo electrónico es tan sencillo como acceder a un teléfono móvil antes que salte el bloqueo por patrón, ya que el correo electrónico suele estar disponible simplemente abriendo la aplicación sin pedir ningún tipo de contraseña ni pin ni nada. Y si pide validación por SMS ... pues ya tienes el teléfono móvil de esa persona.

¿Alguien podría pararse a pensar un poquito antes de tomar ese tipo de decisiones?

V 0
K 13
D

#9 Ya me dirás entonces qué solución propones para recuperar el acceso a una web dónde los únicos datos que tienen tuyos son, básicamente, tu dirección de correo electrónico.

V 0
K 11
Candidatas
37
meneos
actualidad El nivel de miseria moral que hace falta para hacer este tipo de declaraciones con los cadáveres todavía calientes de las víctimas de la masacre de Rafah es difícilmente cuantificable
32
meneos
actualidad Estafan 23.000 euros a una persona de 80 años en Gijón mediante «venta agresiva» a domicilio
29
meneos
actualidad Indignación por artículo de The Atlantic sobre Gaza “es posible matar niños legalmente” [EN]
35
meneos
actualidad El ex concejal de Ponferrada condenado por intentar matar a su mujer vuelve al banquillo
29
meneos
actualidad ¿Cómo Singapur Resolvió Su Crisis de Vivienda? Urbanópolis
40
meneos
actualidad El profesor expedientado de Calahorra es miembro del tribunal de las próximas oposiciones de La Rioja para docentes
47
meneos
actualidad Muere asesinado el actor de 'Hospital General' Johnny Wactor a los 37 años cuando trataba de impedir un robo
35
meneos
actualidad Hallan a un bebé gateando solo de madrugada por una carretera de El Palmar mientras sus padres estaban de copas
18
meneos
actualidad Autorizan a Caputo colocar $35 billones en deuda para ayudar al BCRA a cerrar una canilla de emisión monetaria
27
meneos
actualidad Familias numerosas denuncian que Ayuso ha incumplido sus promesas de 2023: «No cumple, su credibilidad es nula»
21
meneos
actualidad El coche eléctrico barato de 10.000 euros de China amenaza a los fabricantes europeos
24
meneos
actualidad Fuga de película: un preso se escapa cuando iba a ser trasladado a la cárcel de Asturias tras una visita médica
63
meneos
actualidad Israelíes bailando y coreando lemas genocidas en un club [EN]
Nova6K0

De poco te sirve una contraseña fuerte, si luego el "experto" en seguridad de la página web de turno, las guarda en texto plano.

Saludos.

V 0
K 10
D

#13 Y esta es la razón por la que no se deben reutilizar las contraseñas.

V 1
K 15
s

Imitando la contraseña que mete Data en Star Trek nueva generación aunque sin que sea la misma.. Está un rato largo recitándola

V 0
K 7
dqenk
editado

#14 173467321476c32789777643t732v73117888732476789764376

V 1
K 13
s

#21 GRACIAS.. Genial

V 0
K 7