En julio del año pasado una reportera de Associated Press acudió a la hoy famosa oficina de gestión de emergencias y tomó varias imágenes de los operadores que se encargarían de alertar sobre cualquier lanzamiento de misil. En una de las imágenes, ocurre esto...
#25:
A ver, os lo explico: sistema con gestión de usuarios (LDAP) centralizado con los siguientes añadidos:
- Minimo 12 caracteres.
- Mayúsculas, minúsculas, números y símbolos.
- Caducidad de contraseña: 1 mes.
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas.
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco.
- Check de diccionario y complejidad, para acabar de tocar los huevecillos.
Y listo amigos! Ya habéis forzado a vuestros operadores 24/7 a apuntar la contraseña en un post-it.
Ni que decir que esto se define a nivel de requisitos por el jefe de seguridad del proyecto. Un saludo!
#15:
#11 La contraseña apuntada por todas partes es la consecuencia inevitable de esas políticas de inseguridad que obligan a poner passwords tan complicados que es imposible recordarlos y a cambiarlos cada mes, por lo que tampoco te merece la pena aprendertelo.
#3:
Y luego se quejan que si los rusos y los norcoreanos les están jaqueando continuamente ...
#27:
#7 Esos mismos funcionarios pusieron al hombre en la luna o son tu medico, profesor o el de tu hijo, es lo que pasa hay veces que la luz brilla tanto que solo notas la oscuridad.
#34:
#29 jeje por supuesto. Que si el túnel vpn, el citrix, el mail, la wiki, el slack: cada uno con sus reglas y, por supuesto, distinto periodo de caducidad para que sea imposible tenerlos alineados. Un clásico.
Un compañero mío lo tenía (bueno, todos lo teníamos lol) y sus passwords eran todas insultos, blasfemias y similares:
password: mecaguensuputamadre
#32:
#7: Claro, se equivoca uno y resulta que la culpa la tienen todos.
Porque en la empresa privada no hay errores similares.
#4:
Y yo me pregunto, porque si a un trabajador que deja el vehículo de la empresa abierto y con las llaves puestas, es muy probable que le despidan, pero si deja acceso libre a los datos de la empresa poniendo la contraseña en el monitor no pasa absolutamente nada.
#29:
#25 veo el postit y subo a fichero txt con todas las contraseñas en texto plano.
A ver, os lo explico: sistema con gestión de usuarios (LDAP) centralizado con los siguientes añadidos:
- Minimo 12 caracteres.
- Mayúsculas, minúsculas, números y símbolos.
- Caducidad de contraseña: 1 mes.
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas.
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco.
- Check de diccionario y complejidad, para acabar de tocar los huevecillos.
Y listo amigos! Ya habéis forzado a vuestros operadores 24/7 a apuntar la contraseña en un post-it.
Ni que decir que esto se define a nivel de requisitos por el jefe de seguridad del proyecto. Un saludo!
#11 La contraseña apuntada por todas partes es la consecuencia inevitable de esas políticas de inseguridad que obligan a poner passwords tan complicados que es imposible recordarlos y a cambiarlos cada mes, por lo que tampoco te merece la pena aprendertelo.
#7 Esos mismos funcionarios pusieron al hombre en la luna o son tu medico, profesor o el de tu hijo, es lo que pasa hay veces que la luz brilla tanto que solo notas la oscuridad.
Y yo me pregunto, porque si a un trabajador que deja el vehículo de la empresa abierto y con las llaves puestas, es muy probable que le despidan, pero si deja acceso libre a los datos de la empresa poniendo la contraseña en el monitor no pasa absolutamente nada.
#29 jeje por supuesto. Que si el túnel vpn, el citrix, el mail, la wiki, el slack: cada uno con sus reglas y, por supuesto, distinto periodo de caducidad para que sea imposible tenerlos alineados. Un clásico.
Un compañero mío lo tenía (bueno, todos lo teníamos lol) y sus passwords eran todas insultos, blasfemias y similares:
#27 Mi médico tuvo poca ayuda de EEUU, mi profesor tampoco. Los rusos siempre fueron un paso por delante de EEUU en la carrera espacial, y los primeros cohetes de EEUU que subieron al espacio lo hicieron con tecnología alemana.
#15 Hasta hace nada una gran cantidad de usuarios de una multinacional usaban el mismo password: era el que enviaba por defecto el helpdesk cuando pedian un reset y no se molestaban en cambiarlo.
Lo se porque ahora tengo que usar un password aleatorio cada vez que mando uno
#35 Las políticas de passwords aleatorios y similares lo complican tanto todo que siempre acaban con todos los usuarios de un departamento utilizando el mismo código de usuario y password, por lo que no se saben ni el suyo. Así pueden preguntarlo, por lo menos. Este usuario acaba por ser alguien que ya dejó ese departamento. Si pones políticas de recertificación, lo que consigues es que lo borren y todo el mundo se quede sin poder entrar, hasta que alguien consigue un password que pasa a ser el password común del departamento otra vez.
#25 Bravo!!!! No puede ser más cierto. Yo en mi empresa sufro exactamente todas esas restricciones más las siguientes:
- Diferentes sistemas de información con logins distintos. Es decir, para trabajar, no sólo necesitas recordar tu login y password, sino tu login y password en mínimo 5 plataformas distintas, en las que a veces, ni el login coincide.
- Tan solo 3 intentos después de los cuales, la contrasenya se bloquea y hay que resetearla.
- Puedes resetearla tú, pero tienes que solicitar la ayuda de 2 companyeros de un departamento aprobado para resetarte a tí o bien haber configurado una serie de preguntas y respuestas de seguridad, que también tienes que recordar
Yo al final he desarrollado una estrategia defensiva. Uso una palabra central y utilizo un sufijo o prefijo numérico incremental (que tengo que ir alternando entre prefijo y sufijo o si no, no pasa el check de distancia entre constrasenya). Por ejemplo: 200Tobera, Tobera201, 202Tobera... y así.
Al final, no tengo un post-it, pero sí otro sistema para tenerlas apuntadas, porque es imposible recordar cual es la que está operativa cuando no siempre necesitas todos los servicios todos los días.
Y volver después de dos semanas de vacaciones es volverte loco recordando.
#25 ¿Qué puede haber más importante que cambiar la contraseña cada mes a una base de datos a la que accedemos las mismas 5 personas desde hace 10 años?
#87#91 O simplemente preguntando por la contraseña actual al momento de cambiarla, como hace Windows. Ahí tienes la anterior y la nueva para compararlas.
#42 Yo usaba ése mismo, pero no gestiona los adjuntos de la base de datos (como capturas de tarjetas de coordenadas o similar), así que me pasé a Keepass2Android, también gratuito.
Yo ya he dicho en varios sitios que si quieren tener la contraseña apuntada, que no sea a la vista de los clientes. Ponedlo dentro de un cajón, debajo del teclado, pero que no lo veas desde el mostrador...
Y eso en empresas que manejan datos de miles de personas.
#30 Los sensores biométricos nos pueden costar un ojo de la cara, literalmente.
Y respecto a smartcards, tokens, etc. únicamente ofrecen suficiente seguridad asociados con una contraseña. Ya que la smartcard es eso que dejas en el cajón cuando vas a tomar un café.
Por ahora las contraseñas siguen siendo la mejor solución, hasta que lo sustituyan por una IA que te reconozca sin que tenga nadie ni idea de como lo hace.
- Minimo 12 caracteres. vale
- Mayúsculas, minúsculas, números y símbolos. vale
- Caducidad de contraseña: 1 mes. vale
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas. vale
- Check de diccionario y complejidad, para acabar de tocar los huevecillos. vale
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco. ¿Como haces esto en un sistema seguro?
#78 ¿Y tanta seguridad para usar una misma cuenta 20 personas?, Las contraseñas, cuentas, etc... seguras suelen ir acompañadas de los calificativos "personal e intransferible".
El problema de fondo, que es de lo que hablaban antes (yo incluido) es que los administradores no crean una política de seguridad adecuada, solo suman medidas de seguridad pensando que ésta es la suma de aquellas y sin pensar en las características del grupo al que esas medidas van dirigidas. Tampoco se le da a los usuarios una explicación mínima de que es lo que se protege, como y por qué. El usuario no es consciente de los riesgos que hay.
#87
Exacto.
La forma en que un sistema seguro puede comprobar que no andas reutilizando contraseñas es comparando las contraseñas una vez cifradas (pepper/salt+algoritmo de cifrado), no en texto plano. Para comparar distancias necesitas el original y un sistema serio NUNCA deberia de guardar la contraseña original.
#84 Pues no lo es, simple y llanamente. Esto lo sufro yo en el curro, e indica que en algún sitio están todas las contraseñas de todo dios en algún formato recuperable...
Zoquete + paranoico de la seguridad = menos seguridad.
#99 Un punto de partida sólido, casi nada.
De todas formas, Wernher von Braun ya sabía como guiar los cohetes, porque los cohetes ya habían sido lanzados y ya habían sido dirigidos. Y la terminología "hipergólico" fue acuñada por el Dr. Wolfgang Nöggerath, de la Universidad Técnica de Braunschweig, Alemania, lo que hace suponer que Von Braun tenía amplios conocimientos sobre ello.
Le queda poco ya a las contraseñas tradicionales. Sensores biométricos por todas partes, tokens, smartcards, etc.
Hay que eliminar cuanto antes el lastre de depender del eslabón más débil de la cadena. Por más que se esfuerce IT siempre habrá algún luser que fuerce el fallo de seguridad. Si no es con un postit es compartiendo por emule.
#40 uff... No. Ni de lejos.
En cualquier empresa mediana ya se usa 2fa. Por resumir mucho, básicamente hay 3 formas de autenticarse como usuario: lo que eres (biométricos), lo que tienes (tokens, smarts) y lo que sabes (contraseñas) ninguna es válida como factor único. Por lo que en cualquier entorno medianamente seguro se combinan. La tendencia es a dejar de usar las contraseñas usando el resto de factores. Por ejemplo smart + otpbioetc
No cuesta ningún ojo de la cara en ningún sentido, además de ser inocuo a tu salud el coste de un sensor de huellas dactilares es irrelevante. Cualquier portátil y móvil de gama media lo trae de serie. Incluso tiene más coste mantener un sistema de contraseñas (como un AD) que has de andar cambiando y recordando que una bbdd de huellas, que no cambian.
Si te dejas la smartcard en el cajón, para desbloquear lo que sea necesitarás también el dedo o el ojo o lo que dispongas. No representa mucho peligro.
La IA no tiene nada que ver con esto.
#29 Hey, yo tengo un txt con todas mis contraseñas en texto plano... pero sólo una aplicación de (des)encriptación de la reh*stia es capaz de traducirlo, en función de una contraseña y otros parámetros que determinan conjuntamente la manera en que está todo encriptado.
#25 Pero podrás apuntarlo en una tarjetita que lleves en la cartera, no tienes por qué dejar el post It a la vista de la señora de la limpieza, del pizzero....
Estoy de acuerdo en lo de las políticas de "extrema seguridad" que acaban incitando a que el usuario adopte atajos que acaban haciendo el sistema mucho más inseguro que si se hubiesen adoptando unas medidas no tan extremas. Al final se consigue justo lo contrario de lo que se busca.
#74 Si es una cuenta a la que tiene que acceder varias personas, como le comunicas la nueva password al que viene en el siguiente turno?
Por supuesto, los turnos tienen un tiempo de 'overlap', pero es muy posible que se olvide hacer la 'transmision oral de conocimiento' y ya la tienes montada.
Por supuesto habria formas de hacer esto bien, pero por algun motivo todavia no he visto implementado en ningun sitio un sistema razonable de gestion de usuarios en estos entornos (centros de control / mision).
#72 depende de lo que entiendas por texto plano. Es un txt que no contiene más que caracteres ASCII. Puedes abrirlo con un bloc de notas, aunque no entenderás nada. Pero es texto y es plano (sin formatear, o sea, no contiene indicadores de formato).
#53 El problema de los datos biometricos es que no los puedes cambiar, y si se descubre alguna forma de 'robar' tu dedo (ya sea cortandotelo como deja intuirsorrillo o a traves de alguna vulnerabilidad o metodo de copia) pues estas jodido. Por eso no es una buena idea usar identificadores biometricos por comodo que fuera.
Las smartcards, lo mismo. En mi caso:
- En un antiguo trabajo me dieron la smartcard con un password e instrucciones de no cambiarlo porque si se me olvidaba o cualquier cosa era un carajal recuperar el PC (segun el IT). El password era el mismo para todos en la empresa y bueno... digamos que una sucesion incremental de numeros no es muy complicada de adivinar o ver teclear.
- En otro, la smartcard era necesaria para arrancar el PC. Todo el mundo tenia la smarcard metida dentro permanentemente. Alguno hasta se lo curro para recortarla lo que sobresalia para que no se notara.
En general si el sistema es incomodo, la gente encontrara formas (inseguras) de hacerlo comodo.
#81https://es.wikipedia.org/wiki/Archivo_de_texto Un archivo de texto simple, texto sencillo o texto sin formato (también llamado texto llano o texto simple; en inglés «plain text»), es un archivo informático que contiene únicamente texto formado solo por caracteres que son legibles por humanos, careciendo de cualquier tipo de formato tipográfico.
Estos archivos están compuestos de bytes que representan caracteres ordinarios como letras, números y signos de puntuación (incluyendo espacios en blanco), también incluye algunos pocos caracteres de control como tabulaciones, saltos de línea y retornos de carro. Estos caracteres se pueden codificar de distintos modos dependiendo de la lengua usada. Algunos de los sistemas de codificación más usados son: ASCII, ISO-8859-1 o Latín-1 y UTF-8.
Está claro por tanto que mi archivo entra de lleno en esta definición y quien tiene que revisar su concepto de texto plano eres tú. Sin acritud.
#80 eso es como decir que tú no te pones el cinturón de seguridad en el coche por qué es un incordio y pierdes tiempo y te sientes incómodo.
Lógicamente la única forma de luchar contra ese tipo de usuario es reforzando su educación y en el peor de los casos sanción o despido.
Por otro lado si vamos a entrar al peliculeo de que te cortan un dedo... En fin. También van a torturarte si quieren que cantes tu password, que quieres que te diga, como argumento es como poco ridículo. ( CC #40 )
Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.
#95 Interesante ver cómo se le da a un mismo término significados diferentes en función del contexto. Los dos teníamos razón. Ha sido com discutir si una muñeca es una parte del cuerpo o un juguete.
#84- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco. ¿Como haces esto en un sistema seguro?
Creo que no podrías hacerlo para todas las contraseñas, pero sí para la que estás poniendo ahora y la anterior. Típicamente tienes que meter ambas en el formulario de cambio de contraseña, así que el ordenador del usuario las tiene en texto plano durante el relleno del formulario y puede hacer esa comparación vía javascript o similar (si es un formulario web) antes de enviar la nueva, sin que las contraseñas estén almacenadas en ningún medio físico más que la RAM del ordenador del usuario y eso sólo brevemente. Así que al menos puedes obligar a que cada X tiempo (1 mes en este caso) la contraseña se modifique sustancialmente. O en otras palabras, de las 30 contraseñas al menos 15 de ellas estarían distantes de las otras 15.
Flipo, el colega ha puesto un mapa de corea del norte del maps y se ha dejado abierto un foro de internet. Creo que en Hawaii se vive muy pero que muy bien... y para un dia que hacen algo la lian parda.
Creo que son dignos herederos de los que confundieron 400 aviones japoneses hasta los topes de bombas y torpedos ( y muy malas intenciones) con un grupo de 8 bombarderos americanos a los que ni siquiera intentaropn contactar por radio.
#105 Para centros de control, en mi experiencia, no hay cuentas personales. Las cuentas son ‘roles’: operador, mantenimiento, administración, etc. Son cuentas para manejar software con ciertos privilegios y no hay nada individual o privado que un operador tenga que mantener con otro.
#108 y eso te da garantías de sólo 2 grupos de contraseñas realmente diferentes. Por ejemplo, un usuario podría tener esta colección de contraseñas y usarlas en este orden:
Pepito1$, Manolon1%, Pepito2$, Manolon2%, Pepito3$...
Y el chivato de diferencia de contraseñas no cantaría.
#38 Tambien lo he vivido, con todo un departamento de atencion al publico usando el mismo codigo de usuario y bloqueandose cada 5 minutos porque alguien ha guardado mal la clave del correo en uno de los multiples equipos
#94 En ese caso, desconozco la técnica empleada, pero se me ocurren dos soluciones, así pensando rápido (ambas inseguras):
a. Guardar las últimas 30 contraseñas en un almacén cifrado.
b. Guardar en dicho almacén, solo indicios de dichas contraseñas, cosas como el número de vocales usadas, si empieza por mayúscula, números usados, etc. Si la nueva contraseña coincide en muchos indicios, no se acepta.
Aunque, sin ser un experto en seguridad informática, en mi opinión me parece una regla de seguridad muy compleja, que ofrece más problemas que soluciones. Supongo que ahí el meneante exageró un poco.
#84 ostia me has dado que pensar y efectivamente, como dice #85 para poder hacer esto tienes que tener las contraseñas en algún sitio para poder compararlas, vaya cagada!
#77 pues igual asegurarte que el usuario no la comparte ni la deja apuntada en post-its. Cuando subes el nivel de complejidad de las contraseñas esto es lo que co sigues, que el usuario acabe hasta los cojones y la apunte, que es precisamente lo que no se tiene que hacer con una contraseña.
Comentarios
A ver, os lo explico: sistema con gestión de usuarios (LDAP) centralizado con los siguientes añadidos:
- Minimo 12 caracteres.
- Mayúsculas, minúsculas, números y símbolos.
- Caducidad de contraseña: 1 mes.
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas.
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco.
- Check de diccionario y complejidad, para acabar de tocar los huevecillos.
Y listo amigos! Ya habéis forzado a vuestros operadores 24/7 a apuntar la contraseña en un post-it.
Ni que decir que esto se define a nivel de requisitos por el jefe de seguridad del proyecto. Un saludo!
#11 La contraseña apuntada por todas partes es la consecuencia inevitable de esas políticas de inseguridad que obligan a poner passwords tan complicados que es imposible recordarlos y a cambiarlos cada mes, por lo que tampoco te merece la pena aprendertelo.
Y luego se quejan que si los rusos y los norcoreanos les están jaqueando continuamente ...
#7 Esos mismos funcionarios pusieron al hombre en la luna o son tu medico, profesor o el de tu hijo, es lo que pasa hay veces que la luz brilla tanto que solo notas la oscuridad.
#9 Tranquilo, ten paciencia.
Y yo me pregunto, porque si a un trabajador que deja el vehículo de la empresa abierto y con las llaves puestas, es muy probable que le despidan, pero si deja acceso libre a los datos de la empresa poniendo la contraseña en el monitor no pasa absolutamente nada.
#7: Claro, se equivoca uno y resulta que la culpa la tienen todos.
Porque en la empresa privada no hay errores similares.
Foto del interfecto
#25 veo el postit y subo a fichero txt con todas las contraseñas en texto plano.
#29 jeje por supuesto. Que si el túnel vpn, el citrix, el mail, la wiki, el slack: cada uno con sus reglas y, por supuesto, distinto periodo de caducidad para que sea imposible tenerlos alineados. Un clásico.
Un compañero mío lo tenía (bueno, todos lo teníamos lol) y sus passwords eran todas insultos, blasfemias y similares:
password: mecaguensuputamadre
#15
enero1
enero2
enero3
enero4
...
#4 porque son funcionarios, anda que hay que explicártelo todo
#7 y muchos de ellos unos cracks.
Yo utilizo KeePass para guardar las contraseñas del trabajo, mano de santo.
Parecen de un chiste de leperos.
#9 Se va, pero muy lentamente y de forma casi inapreciable a ojo humano.
#44 Me he perdido.
¿que tiene que ver tu respuesta con lo que te dice #27?
#51, suerte tienes de que no te diga "esa contraseña ya ha sido usada".
#70 si está cifrado entonces no está en texto plano
#27 Mi médico tuvo poca ayuda de EEUU, mi profesor tampoco. Los rusos siempre fueron un paso por delante de EEUU en la carrera espacial, y los primeros cohetes de EEUU que subieron al espacio lo hicieron con tecnología alemana.
Rompiendo los límites de la inutilidad..
#15 Hasta hace nada una gran cantidad de usuarios de una multinacional usaban el mismo password: era el que enviaba por defecto el helpdesk cuando pedian un reset y no se molestaban en cambiarlo.
Lo se porque ahora tengo que usar un password aleatorio cada vez que mando uno
#35 Las políticas de passwords aleatorios y similares lo complican tanto todo que siempre acaban con todos los usuarios de un departamento utilizando el mismo código de usuario y password, por lo que no se saben ni el suyo. Así pueden preguntarlo, por lo menos. Este usuario acaba por ser alguien que ya dejó ese departamento. Si pones políticas de recertificación, lo que consigues es que lo borren y todo el mundo se quede sin poder entrar, hasta que alguien consigue un password que pasa a ser el password común del departamento otra vez.
#47 Sí, los primeros los hicieron con tecnología que pudieron robar a los nazis.
#4 Porque
"♪ esto no es Hawai, qué guay! ♪"
#28 Y KeePassDroid en el móvil. Comparto la misma base de datos en ambos.
#9 Se va, pero vivimos demasiado poco para verlo
No te olvides de quitar el pass al posar para la foto...
Tendrían que sacar una canción similar a No te olvides de poner el WHERE en el DELETE FROM.
#35 'qwerty' era el estándar casi seguro, en 5 empresas que he estado es el que envía helpdesk
#25 Bravo!!!! No puede ser más cierto. Yo en mi empresa sufro exactamente todas esas restricciones más las siguientes:
- Diferentes sistemas de información con logins distintos. Es decir, para trabajar, no sólo necesitas recordar tu login y password, sino tu login y password en mínimo 5 plataformas distintas, en las que a veces, ni el login coincide.
- Tan solo 3 intentos después de los cuales, la contrasenya se bloquea y hay que resetearla.
- Puedes resetearla tú, pero tienes que solicitar la ayuda de 2 companyeros de un departamento aprobado para resetarte a tí o bien haber configurado una serie de preguntas y respuestas de seguridad, que también tienes que recordar
Yo al final he desarrollado una estrategia defensiva. Uso una palabra central y utilizo un sufijo o prefijo numérico incremental (que tengo que ir alternando entre prefijo y sufijo o si no, no pasa el check de distancia entre constrasenya). Por ejemplo: 200Tobera, Tobera201, 202Tobera... y así.
Al final, no tengo un post-it, pero sí otro sistema para tenerlas apuntadas, porque es imposible recordar cual es la que está operativa cuando no siempre necesitas todos los servicios todos los días.
Y volver después de dos semanas de vacaciones es volverte loco recordando.
#4 porque sus jefes serán los primeros que lo hacen, así que no les extraña ni les preocupa.
#44, #27 habla de los funcionarios en general, no de los EEUU.
#25 ¿Qué puede haber más importante que cambiar la contraseña cada mes a una base de datos a la que accedemos las mismas 5 personas desde hace 10 años?
#53 "...además de ser inocuo a tu salud el coste de un sensor de huellas dactilares es irrelevante"
No van por ahí los tiros de #40 , el quid está en ese "literalmente", todo depende del valor de lo que proteja tu ojo.
"Es el mercado, amigo"
No serían españoles de Erasmus?
#23 Te falta una mayúscula y ser mayor o igual a 8 :
Febrero1
Febrero2
Febrero3
Febrero4
...
#87 #91 O simplemente preguntando por la contraseña actual al momento de cambiarla, como hace Windows. Ahí tienes la anterior y la nueva para compararlas.
#25 Pero ese es el motivo por el que apareció la falsa alarma?
Alguien uso esa contraseña?
Pregunto, porque en el envío no dicen nada.
#15 que más da si luego les llega el ransomware de correos y se esfuerzan (ahí si) en abrir el adjunto hasta infectar toda la red...
#50 Creí que se refería a los EEUU, no había visto el comentario al que él estaba respondiendo.
#42 Yo usaba ése mismo, pero no gestiona los adjuntos de la base de datos (como capturas de tarjetas de coordenadas o similar), así que me pasé a Keepass2Android, también gratuito.
Yo ya he dicho en varios sitios que si quieren tener la contraseña apuntada, que no sea a la vista de los clientes. Ponedlo dentro de un cajón, debajo del teclado, pero que no lo veas desde el mostrador...
Y eso en empresas que manejan datos de miles de personas.
¿La aplicación funciona vía web?
Si es así, sólo nos falta la URL.
#30 Los sensores biométricos nos pueden costar un ojo de la cara, literalmente.
Y respecto a smartcards, tokens, etc. únicamente ofrecen suficiente seguridad asociados con una contraseña. Ya que la smartcard es eso que dejas en el cajón cuando vas a tomar un café.
Por ahora las contraseñas siguen siendo la mejor solución, hasta que lo sustituyan por una IA que te reconozca sin que tenga nadie ni idea de como lo hace.
#3
Aquí todo el mundo muy listo pero yo he visto a parejas intercambiarse las contraseñas, y no precisamente en un descuido.
#54
Orene1
2Orerbef
Ozram3
...
#25
- Minimo 12 caracteres. vale
- Mayúsculas, minúsculas, números y símbolos. vale
- Caducidad de contraseña: 1 mes. vale
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas. vale
- Check de diccionario y complejidad, para acabar de tocar los huevecillos. vale
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco. ¿Como haces esto en un sistema seguro?
No se como el mundo no se va a la mierda.
#79 Revisate tu concepto de texto plano
#78 ¿Y tanta seguridad para usar una misma cuenta 20 personas?, Las contraseñas, cuentas, etc... seguras suelen ir acompañadas de los calificativos "personal e intransferible".
El problema de fondo, que es de lo que hablaban antes (yo incluido) es que los administradores no crean una política de seguridad adecuada, solo suman medidas de seguridad pensando que ésta es la suma de aquellas y sin pensar en las características del grupo al que esas medidas van dirigidas. Tampoco se le da a los usuarios una explicación mínima de que es lo que se protege, como y por qué. El usuario no es consciente de los riesgos que hay.
Recreación de los hechos: https://imgur.com/gallery/NRYdOSn
#87
Exacto.
La forma en que un sistema seguro puede comprobar que no andas reutilizando contraseñas es comparando las contraseñas una vez cifradas (pepper/salt+algoritmo de cifrado), no en texto plano. Para comparar distancias necesitas el original y un sistema serio NUNCA deberia de guardar la contraseña original.
#93 pero no 30 contraseñas como sugería el comentario original.
Sabéis cual es la MAYOR vulnerabilidad de cualquier sistema informático? El usuario. SIEMPRE.
#23 #39
Enero1
Febrero2
Marzo3
...
#84 Pues no lo es, simple y llanamente. Esto lo sufro yo en el curro, e indica que en algún sitio están todas las contraseñas de todo dios en algún formato recuperable...
Zoquete + paranoico de la seguridad = menos seguridad.
#89 Jodido no, lo que estoy es usando post-its
#99 Un punto de partida sólido, casi nada.
De todas formas, Wernher von Braun ya sabía como guiar los cohetes, porque los cohetes ya habían sido lanzados y ya habían sido dirigidos. Y la terminología "hipergólico" fue acuñada por el Dr. Wolfgang Nöggerath, de la Universidad Técnica de Braunschweig, Alemania, lo que hace suponer que Von Braun tenía amplios conocimientos sobre ello.
Interfases menos confusas que estas han causado accidentes de aviación.
#9: ¿Por qué crees que muchas personas creen en la figura del Ángel de la guarda?
#13 hombre... con abrirlos un poco se aprecia bastante
#25 a mi me la hacen cambiar cada 6 meses creo que es. Tengo dos contraseñas, y voy alternando.
#18 No creo que en EEUU tengan problema alguno en despedir funcionarios sin temblarles el pulso.
Relacionada nueva-falsa-alarma-sobre-misiles-ahora-japon/c04#c-4
Una nueva falsa alarma sobre misiles, ahora en Jap...
nytimes.com#86 Por otro lado si vamos a entrar al peliculeo de que te cortan un dedo... En fin. También van a torturarte si quieren que cantes tu password
Prefiero dar gustosamente mi contraseña que dar "gustosamente" mi ojo.
Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.
Lo intentan, suelen fracasar estrepitosamente.
#1 jajsjkazjjss el PP hawaiano
Le queda poco ya a las contraseñas tradicionales. Sensores biométricos por todas partes, tokens, smartcards, etc.
Hay que eliminar cuanto antes el lastre de depender del eslabón más débil de la cadena. Por más que se esfuerce IT siempre habrá algún luser que fuerce el fallo de seguridad. Si no es con un postit es compartiendo por emule.
#40 uff... No. Ni de lejos.
En cualquier empresa mediana ya se usa 2fa. Por resumir mucho, básicamente hay 3 formas de autenticarse como usuario: lo que eres (biométricos), lo que tienes (tokens, smarts) y lo que sabes (contraseñas) ninguna es válida como factor único. Por lo que en cualquier entorno medianamente seguro se combinan. La tendencia es a dejar de usar las contraseñas usando el resto de factores. Por ejemplo smart + otpbioetc
No cuesta ningún ojo de la cara en ningún sentido, además de ser inocuo a tu salud el coste de un sensor de huellas dactilares es irrelevante. Cualquier portátil y móvil de gama media lo trae de serie. Incluso tiene más coste mantener un sistema de contraseñas (como un AD) que has de andar cambiando y recordando que una bbdd de huellas, que no cambian.
Si te dejas la smartcard en el cajón, para desbloquear lo que sea necesitarás también el dedo o el ojo o lo que dispongas. No representa mucho peligro.
La IA no tiene nada que ver con esto.
#29 Hey, yo tengo un txt con todas mis contraseñas en texto plano... pero sólo una aplicación de (des)encriptación de la reh*stia es capaz de traducirlo, en función de una contraseña y otros parámetros que determinan conjuntamente la manera en que está todo encriptado.
#25 Pero podrás apuntarlo en una tarjetita que lleves en la cartera, no tienes por qué dejar el post It a la vista de la señora de la limpieza, del pizzero....
Estoy de acuerdo en lo de las políticas de "extrema seguridad" que acaban incitando a que el usuario adopte atajos que acaban haciendo el sistema mucho más inseguro que si se hubiesen adoptando unas medidas no tan extremas. Al final se consigue justo lo contrario de lo que se busca.
#74 Si es una cuenta a la que tiene que acceder varias personas, como le comunicas la nueva password al que viene en el siguiente turno?
Por supuesto, los turnos tienen un tiempo de 'overlap', pero es muy posible que se olvide hacer la 'transmision oral de conocimiento' y ya la tienes montada.
Por supuesto habria formas de hacer esto bien, pero por algun motivo todavia no he visto implementado en ningun sitio un sistema razonable de gestion de usuarios en estos entornos (centros de control / mision).
#72 depende de lo que entiendas por texto plano. Es un txt que no contiene más que caracteres ASCII. Puedes abrirlo con un bloc de notas, aunque no entenderás nada. Pero es texto y es plano (sin formatear, o sea, no contiene indicadores de formato).
#53 El problema de los datos biometricos es que no los puedes cambiar, y si se descubre alguna forma de 'robar' tu dedo (ya sea cortandotelo como deja intuirsorrillo o a traves de alguna vulnerabilidad o metodo de copia) pues estas jodido. Por eso no es una buena idea usar identificadores biometricos por comodo que fuera.
Las smartcards, lo mismo. En mi caso:
- En un antiguo trabajo me dieron la smartcard con un password e instrucciones de no cambiarlo porque si se me olvidaba o cualquier cosa era un carajal recuperar el PC (segun el IT). El password era el mismo para todos en la empresa y bueno... digamos que una sucesion incremental de numeros no es muy complicada de adivinar o ver teclear.
- En otro, la smartcard era necesaria para arrancar el PC. Todo el mundo tenia la smarcard metida dentro permanentemente. Alguno hasta se lo curro para recortarla lo que sobresalia para que no se notara.
En general si el sistema es incomodo, la gente encontrara formas (inseguras) de hacerlo comodo.
#81 https://es.wikipedia.org/wiki/Archivo_de_texto
Un archivo de texto simple, texto sencillo o texto sin formato (también llamado texto llano o texto simple; en inglés «plain text»), es un archivo informático que contiene únicamente texto formado solo por caracteres que son legibles por humanos, careciendo de cualquier tipo de formato tipográfico.
Estos archivos están compuestos de bytes que representan caracteres ordinarios como letras, números y signos de puntuación (incluyendo espacios en blanco), también incluye algunos pocos caracteres de control como tabulaciones, saltos de línea y retornos de carro. Estos caracteres se pueden codificar de distintos modos dependiendo de la lengua usada. Algunos de los sistemas de codificación más usados son: ASCII, ISO-8859-1 o Latín-1 y UTF-8.
Está claro por tanto que mi archivo entra de lleno en esta definición y quien tiene que revisar su concepto de texto plano eres tú. Sin acritud.
#80 eso es como decir que tú no te pones el cinturón de seguridad en el coche por qué es un incordio y pierdes tiempo y te sientes incómodo.
Lógicamente la única forma de luchar contra ese tipo de usuario es reforzando su educación y en el peor de los casos sanción o despido.
Por otro lado si vamos a entrar al peliculeo de que te cortan un dedo... En fin. También van a torturarte si quieren que cantes tu password, que quieres que te diga, como argumento es como poco ridículo. ( CC #40 )
Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.
#95 Interesante ver cómo se le da a un mismo término significados diferentes en función del contexto. Los dos teníamos razón. Ha sido com discutir si una muñeca es una parte del cuerpo o un juguete.
#84 - Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco. ¿Como haces esto en un sistema seguro?
Creo que no podrías hacerlo para todas las contraseñas, pero sí para la que estás poniendo ahora y la anterior. Típicamente tienes que meter ambas en el formulario de cambio de contraseña, así que el ordenador del usuario las tiene en texto plano durante el relleno del formulario y puede hacer esa comparación vía javascript o similar (si es un formulario web) antes de enviar la nueva, sin que las contraseñas estén almacenadas en ningún medio físico más que la RAM del ordenador del usuario y eso sólo brevemente. Así que al menos puedes obligar a que cada X tiempo (1 mes en este caso) la contraseña se modifique sustancialmente. O en otras palabras, de las 30 contraseñas al menos 15 de ellas estarían distantes de las otras 15.
#103 No, solo hablamos de como poner el post it con la password en el monitor no es tan raro.
Eso y la falsa alarma son cosas separadas.
Flipo, el colega ha puesto un mapa de corea del norte del maps y se ha dejado abierto un foro de internet. Creo que en Hawaii se vive muy pero que muy bien... y para un dia que hacen algo la lian parda.
Creo que son dignos herederos de los que confundieron 400 aviones japoneses hasta los topes de bombas y torpedos ( y muy malas intenciones) con un grupo de 8 bombarderos americanos a los que ni siquiera intentaropn contactar por radio.
#105 Para centros de control, en mi experiencia, no hay cuentas personales. Las cuentas son ‘roles’: operador, mantenimiento, administración, etc. Son cuentas para manejar software con ciertos privilegios y no hay nada individual o privado que un operador tenga que mantener con otro.
Caso distinto son ya los PC personales.
#108 y eso te da garantías de sólo 2 grupos de contraseñas realmente diferentes. Por ejemplo, un usuario podría tener esta colección de contraseñas y usarlas en este orden:
Pepito1$, Manolon1%, Pepito2$, Manolon2%, Pepito3$...
Y el chivato de diferencia de contraseñas no cantaría.
#38 o todo el departamento usa el mismo "estándar" para las contraseñas y no hay ni que pensar para saber la del jefe...
Da una gran tranquilidad saber que la seguridad mundial está en manos de gente tan competente
Mira que son burros. Con lo fácil que es poner alguna de estas y así no haría falta post-it:
qwerty
abcdef
1234
password
...
#38 Tambien lo he vivido, con todo un departamento de atencion al publico usando el mismo codigo de usuario y bloqueandose cada 5 minutos porque alguien ha guardado mal la clave del correo en uno de los multiples equipos
#41 Uno que usabamos mucho en una de las aplicaciones (no en directorio activo) era 1q2w3e4r
voy a hacer lo mismo en el trabajo
#23 goto #25
Sin ser tan exigentes, con que tengan activada la política de que el password tiene que variar X caracteres, ya estás jodido.
Bundle of genius!!!
#94 En ese caso, desconozco la técnica empleada, pero se me ocurren dos soluciones, así pensando rápido (ambas inseguras):
a. Guardar las últimas 30 contraseñas en un almacén cifrado.
b. Guardar en dicho almacén, solo indicios de dichas contraseñas, cosas como el número de vocales usadas, si empieza por mayúscula, números usados, etc. Si la nueva contraseña coincide en muchos indicios, no se acepta.
Aunque, sin ser un experto en seguridad informática, en mi opinión me parece una regla de seguridad muy compleja, que ofrece más problemas que soluciones. Supongo que ahí el meneante exageró un poco.
¿Alguna vez te ha parecido poco realista que en los videojuegos te encuentres las contraseñas en la misma sala?
#44 tecnología alemana... Si de 0 emisiones. Manda huevos.
Peor seria :
Redtube pasword: Qfsbc
Pornhub: "
viejos y animales: "
#59 Sugiero "00000000" https://arstechnica.com/tech-policy/2013/12/launch-code-for-us-nukes-was-00000000-for-20-years/
es que ni tan siquiera le pusieron color rojo al texto del link jajajaja, cutres hawaianos.
#49
#84 ostia me has dado que pensar y efectivamente, como dice #85 para poder hacer esto tienes que tener las contraseñas en algún sitio para poder compararlas, vaya cagada!
#77 pues igual asegurarte que el usuario no la comparte ni la deja apuntada en post-its. Cuando subes el nivel de complejidad de las contraseñas esto es lo que co sigues, que el usuario acabe hasta los cojones y la apunte, que es precisamente lo que no se tiene que hacer con una contraseña.