Microsoft finalmente se está dando cuenta de una máxima que los expertos en seguridad han aceptado casi universalmente durante años: es probable que los cambios periódicos de contraseña hagan más daño que bien. En una publicación en gran parte pasada por alto publicada a fines del mes pasado, Microsoft dijo que estaba eliminando los cambios periódicos de contraseña de la configuración básica de seguridad que recomienda para clientes y auditores.
Comentarios
Contraseña que hay que cambiar 1 vez al mes debe contener mayúsculas, minúsculas, símbolos y números.
Enero_2021
Febrero_2021
Marzo_2021
...
#2 o al menos 2 de cada y mas de 10 caracteres:
Mes_Enero_2021
Mes_Febrero_2021
Mes_Marzo_2021
#2 Acabas de hackear mi cuenta del trabajo
Siempre se ha dicho que el cambio periódico de contraseña obliga a la gente a apuntarsela... y si tenemos en cuenta que hoy en día solemos gestionar una docena (como mínimo) los cambios provocan que la gente las acabe tratando como una hoja con "cosas" y las acaba guardando en cualquier lado.
#11 Para mogollon de gente su "Gestor de Contraseñas" es una libreta en el mejor de los casos. El post-it debajo del teclado es un clasico tambien.
#15 El post-it en el marco del monitor es ya la repera (visto con mis propios hojos).
#44 yo ahí tengo mi número de teléfono, que no me sé el del trabajo y siempre lo tenía que estar buscando jaja, pero seguro que la gente se piensa que es una contraseña.
#74 ¡Qué buena idea! Poner una contraseña falsa, escrita a mano con algún caracter que no se entienda. Si un día te encuentras que se ha bloqueado el acceso a tu cuenta es que alguien ha estado trasteando.
#80 y en la tarjeta de crédito escrito con rotulador indeleble pones cuatro dígitos que puedan leerse de derecha a izda o viceversa y que no se entiendan muy bien, en plan 1658 -> 8291 -> 8297 -> 7658... o metes varios números tipo 4 + 3 (del CCV) y por supuesto el CCV original arrancado con navaja.
Con un poco de suerte, te llaman de algún banco porque uno de sus cajeros se tragó tu tarjeta extraviada
#44 Lo corroboro. Visto en una noticia de un periódico hace ya muchos años. Hablaban de unos productos financieros de un banco acompañada de una foto con una persona sentada frente a su ordenador. En primer plano el Post-It con las credenciales de acceso al sistema. Por supuesto me faltó tiempo para probar
#44 Qué antiguo.
windows ofrece la notas rápidas, ideales para tener todos los pwd a mano
#15 Al menos esa libreta exige acceso físico. Mucho más seguro que un word en Dropbox.
#47 yo he visto ficheros txt en el escritorio, que abrían mientras compartían pantalla con los clientes
#66 ¡La virgen santa!
#66 A mi un usuario me llego a mandar ese TXT con todas sus contraseñas al pedirle que necesitaba un usuario y contraseña para probar el funcionamiento de un servicio web.
- Necesito acceder a la web para ver si funciona correctamente.
- Claro que si guapi, aquí tienes todas mis contraseñas
#47 espero que ese word en Dropbox no sea donde se guarde la contraseña de Dropbox.
#47 peor, delante de un auditor PCI
#11 y si tenemos en cuenta que hoy en día solemos gestionar una docena (como mínimo)
La mayoría de la gente usa la misma contraseña para todo.
#26 Pero son diferentes contraseñas para diferentes cosas. Le estás diciendo a tu proveedor de correo electrónico cual es la contraseña de tu red social y de la VPN del trabajo.
#39 No, si ya, pero es lo que hay, generalmente es lo que hace casi todo el mundo.
#49 Yo alguna vez lo tengo hecho también en algún sitio, lo malo es que si hay una filtración y alguien ve que tu contraseña es MENEAME123456, igual le da por probar en otros lados con ello
#52 Con respecto a la contraseña MENEAME123456 manualmente probaría en gmail tu dirección de correo y la ontraseña GMAIL123456, pero obviamente en una herramienta automatizada no funcionaría.
Si un hacker malicioso hiciese un ataque dirigido en lugar de uno al tun tun a lo bestia a ver que sale usaría el método manual, ya que primero hubiera filtrado en los ficheros de claves tus direcciones conocidas de correo electrónico o algo que identificase a su víctima deseada y quizás dedujese el patrón.
#60 Sí, al final esos ataques suelen ser automáticos y en la mayoría de los casos estarías a salvo. Pero la duda ahí queda
#26 Y eso sí que es un problema...
#43 Pues sí, pero es como los números de teléfono, ¿cuántos se sabe la gente hoy en día de memoria? Al final le das a recordar contraseña y te tiras meses sin tener que meterla otra vez, si la usan distinta no suelen acordarse.
#26 Hace poco que un amigo me sugirió un algoritmo para generar contraseñas diferentes peros según un mismo patrón, que además tienen que ver con el nombre del sitio al que pertenecen. De esa manera te tienes que acordar solo de una palabra y un patrón, pero tienes una pass distinta y personalizada para cada servicio
#49 y no es ContrasenaDeFacebook1, ContasenaDeGmail1
#73 hombre, digo yo que #49 (como aclara en #51) se refiere a algo más complejo, es decir, que no se note que es un patrón
Y que tampoco sea una función que cambia una letra por la siguiente
Yo he pensado algo similar muchas veces, pero me da pereza cambiar mis contraseñas ahora...
#49 el problema de las contraseñas con patron es que si te piratean una pueden intentar:
usar esa misma en otros sitios.
probar a cambiar la parte que huela a patron.
#26 Sería buena idea sino ocurrirera que:
- El sitio a pide cambio de contraseña cada mes, el b cada 6 meses, el c si llevas sin conectarte más de 3 meses, el d cuando lo decide la dirección...
- El sitio a requiere más de 6 digitos con una mayuscula, una minuscula, un simbolo y un número, el sitio b requiere exactamente 8 digitos, el sitio c requiere 10 caracteres y ninguno puede ser un simbolo, el stio d requiere una contraseña númerica de 6 posiciones...
#11 ¿una docena solo?
#11 por eso es mejor el single sing on o aplicaciones como keepass o similares. Hace tiempo que se va en esa dirección, pero en Microsoft se han dado cuenta algo más tarde.
Cambio de password cada X meses vía Active Directory, rutina de empresa . Al final son:
Passwordmanolo_&001&
Passwordmanolo_$002$
Passwordmanolo_+003+
Passwordmanolo_-004-
Etc...
#1
Conocí a una persona que como no se podía repetir ninguna de las 10 últimas claves cada vez que había que cambiar tenía un algoritmo para generar 10 distintas y luego dejaba la original. Eso sí, se pasaba un buen rato cambiando claves cada vez, pero se salía con la suya.
#5
Pass_temporal_1
Pass_temporal_2
Pass_temporal_3
Pass_temporal_4
Pass_temporal_5
Pass_temporal_6
Pass_temporal_7
Pass_temporal_8
Pass_temporal_9
Pass_temporal_10
Pass_Viejo_JDT
#8 El emoticono al final me ha matado. ¿Cuántos años tienes?
#13 ¿Por qué te interesa su edad? ¿Le vas a pedir rollo?
#29 rollo bollo
#29 Simplemente como curiosidad sobre qué clase de persona aporta un comentario tan tan profundo, constructivo e interesante como #8
Si hasta deja el emoticono de malote para el final. Lo que no entiendo es por qué me votan negativo. Ni que hubiera insultado.
#88 El menosprecio es peor que un insulto.
Lo que tiene tela es que encima llores por los negativos.
#98 lo que es innegable es que menéame está lleno de críos que no tienen dinero ni contactos para meterse en ForoCoches a soltar las gilipolleces de turno de milenial.
#95 no es que llore, sino que me asombra con qué facilidad se juzga un comentario con tan poco contexto, solo porque alguien se ha ofendido y le ha votado negativo. ¿Ya no es políticamente correcto no querer leer en cada noticia decenas de comentarios basura?
Encima algunos preguntándome que si quiero rollo por preguntar la edad. Joder cómo está el nivel y cómo han cambiado los foros desde 2005 😵
#88 Eres un caso digno de estudio. Eso es innegable
#88 una clase de persona con sentido del humor. Para todo lo demás come fibra, independientemente de la edad.
#13
43
#8 Es un clásico.
Y si no se puede repetir y cambia una vez al mes también he visto:
Abril_20
Mayo__20
Junio_20
Julio_21
O directamente:
Nacho041
Nacho042
Nacho043
A veces algún sistema te pide que cambien varias posiciones para evitar estas secuencias y entonces nuestro sujeto iba alternando:
Nacho044
045Nacho
Nacho046
047Nacho
Y pensaba que había derrotado al sistema, pero lo que de verdad ocurría era que al final para según que cosas todos los nuevos usaban sus claves, porque les faltaban algunos perfiles y mientras les daban de alta o lo que fuera o si algún día tenían la clave bloqueada usaban la de nuestro sujeto, porque era muy fácil de averiguar sabiendo cual tenía el año pasado.
#35 jaja, y para los sistemas que tienen control para que no pongas contraseñas parecidas:
Juan1uno
Juan2dos
Juan3tres
Juan4cuatro
Juan5cinco
...
#5 Cool!
#5 Antes era habitual eso y mas de uno lo hacia; hoy en día la mayoría de sistemas no te permiten cambiar la contraseña mas de 3 o 5 veces en un mismo día y te hace esperar otras 24 horas o contactar con el admin/soporte si se diera el caso.
Yo lo que mas veo es cosas del tipo:
Veracruz01!
Veracruz02!
Vera....
Cuando llega a veintetrentaitantos o se cansa vuelta a empezar.
#18 ¿Guardando contraseñas en texto claro?
#5 para hacerlo bien, el administrador no debe dejar cambiar lacontraseña como minimo pasadas 48 horas. De esta manera se tiraría 20 dias para volver a tener la “original”. No sale a cuenta
#5 Ostias, qué jáquer
#5 Yo hago eso. ¿Te conozco?
#5 por eso se suele configurar una edad mínima de la contraseña de 24 horas, para que mínimo esa rotación dure 10 dias y no tenga sentido
#5 pero eso es un sistema mal diseñado porque no debe dejarte realizar tantos cambios de la misma contraseña en poco tiempo
#5 Lo mejor es un texto de la Biblia, hay millones de combinaciones
Juan 16:3
Genesis2:4
Apocalipsis 21:4
#5 te deja cambiar a la décima por la que tenías ?
#1 Yo en una empresa para la que trabajaba hace años llevaba la cuenta del número de meses que llevaba trabajando con el numerito que añadía a la contraseña 😅 En aquel sitio no nos dejaban instalar nada así que no podía usar un gestor de contraseñas.
#1¡ JAjajajajajajaja ojalá mis usuarios utilizasen esa!.
Abril2021, NombreDeLaEmpresa2021 son las oficiales homologadas para todos. Siempre me dicen que no se van a acordar, y yo siempre les digo, "dejate de numeros y simbolos raros, ¿te acordarías de MiHijoNuncaHaceLosDeberes ?
#61 al final, poner una frase, es bastante seguro.
#61 te falta al final un $1 o un 01.
#1 ¿Estás diciendo que más gente lo hace?
#1 Bajo ningún concepto deberías tú saber las contraseñas de tus usuarios.
Me da a mí que tu empresa tiene agujeros más importantes que la rutina de cambiar el pwd cada mes.
El cambio periódico de contraseñas viene de una publicación de NIST que la gente entendió mal. De hecho, el propio NIST tuvo que sacar otra publicación explicando que no se referían a eso, pero el daño ya estaba hecho.
Y en realidad, a nivel de seguridad tiene poco sentido y a nivel de negocio, menos aún. El cambio de contraseña tiene que estar motivado por un incidente de seguridad, en el que tengas seguro que una contraseña ha sido comprometida. Cambiarlas "por si acaso" lo único que genera es problemas a tus usuarios, que cada vez elegirán contraseñas que tengan que pensar menos, ergo la seguridad del acceso a tus sistemas será cada vez más débil.
#42 “Hay que cambiar las contraseñas cada 30 días en caso de que alguien nos robe las contraseñas y decida usarlas el mes que viene.”
1234
Acabo de revelar el password de millones de personas.
Mamá, soy jaker
#3
Bueno, si usar la contraseña 00000000 era suficientemente segura para código de lanzamiento de misiles de USA, tampoco nos pongamos exquisitos.
https://en.m.wikipedia.org/wiki/Permissive_Action_Link
#6 bueno, para introducir esa contraseña tenias que atravesar un ejercito, buena suerte.
#9
Salvo que ya fueras un militar de esos medio zumbado que llevan la biblia hasta para cagar y creas que hay que destruir al anticristo.
#9 O que fueras el personal de limpieza. Como hubiera una mancha en el cero que no acabara de salir
#3 la mía, sólo por joder a los jaquers, es 1235
#7 me da TOC
#7 Versión pro (también con TOC #23): qwerth
#41 ERES EL DIABLO EN PERSONA!
#7 Uff, muy astuto, me has jodido!
#3 Imposible, la mía son **
vaya, una noticia de 2019
#16 y desde entonces los de IT han obligado a la gente a cambiar por lo menos 5 veces la contraseña...
Pero sí, aunque la noticia sea vieja, la obligación de cambiar contraseña a día de hoy es señal de que quien está detrás de los sistemas es una consultora.
#22 Lo mismo para los que obligan a que tenga sus filias personales (símbolo, número, minúscula, mayúscula, número de la bestia, etc.).
#24 bueno, eso se hace para generar robustez en las contraseñas, pero sí es cierto que con pedir alguna mayúscula y algún número no hace falta pedir caracteres extraños que, por otra parte, si cambia el idioma del teclado es muy complicado acertar.
#28 "Esta es mi contraseña y por mis cojones que por mucho que me pidas caracteres y mierdas no va a ser mejor que esta".
Traducción libre de algunos puntos importantes:
"Los investigadores han llegado al consenso de que las mejores claves tienen al menos 11 caracteres, están generadas al azar, y están formadas por mayúsculas, minúsculas, símbolos y números."
"Los mismos investigadores han avisado de que cambiarlas cada 30, 60 o 90 días puede ser perjudicial en muchos sentidos [...] y produce pocos beneficios de seguridad porque las claves se deberían cambiar inmediatamente después de un evento de seguridad en lugar de después de un tiempo concreto fijado por políticas"
#19 Después de un incidente de seguridad las contraseñas deben cambiar, obviamente, pero también deben cambiar cada cierto tiempo, aunque sea en periodos largos.
Doy soporte a servidores que tienen la misma clave desde 2003. Desde entonces ha pasado mucha gente por mi departamento, entre los que despidieron, los que se fueron a otro departamento y los que se jubilaron. Es decir, demasiada gente que ya no vive aquí sigue teniendo las llaves de la casa.
#45 Totalmente de acuerdo. La cuestión es que no le damos suficiente importancia a este área, aunque hay normativas que obligan específicamente a gestionarlas, definidas en muchos ámbitos (protección de datos, esquema nacional de seguridad, ISO 2700x, etc.), y que si nos saltamos a la torera nos pueden comprometer gravemente en caso de una brecha de seguridad, porque pasaríamos de un accidente a la negligencia.
#45 primera norma de seguridad: si despides a alguien revoca las contraseñas a las que tiene acceso ANTES de despedirle.
#69 Damos soporte a sistemas legacy que llevan más años en producción que yo trabajando en esto (y posiblemente algunos tengan las contraseñas que tenían los sistemas que les precedían). Cambiar las contraseñas de administración de los sistemas es una tarea titánica. Contraseñas hardcodeadas en scripts, sistemas en los que cuando cambias la contraseña tardan quince minutos en aplicar el cambio porque la base de datos de usuarios está hecha unos zorros...
Tenemos un gestor de contraseñas, pero seguro que hay copias, además de gente que insistía en copiar las contraseñas en los procedimientos.
Lo de bloquear las cuentas personales de las personas que dejan de trabajar en la organización se hace correctamente. Lo demás no tanto.
#45 Hombre, es que una contraseña compartida ya es un riesgo gordote en si mismo.
#81 ¿Ya, pero como gestionas las contraseñas de las consolas y de los usuarios administradores genéricos en servidores?
Y lo mismo en aplicaciones que tenían un usuario administrador genérico. Teniendo un solo administrador lo resuelves, pero entonces hablamos de otro riesgo aún mayor.
#85 Sí, sí, está claro, pero precisamente... compartir contraseña es un riesgo grande, así que, si no queda otro remedio, una razón de más para tener especial cuidado en cómo gestionarlo cuando uno de los que la conocen deja la empresa.
#45 Yo entendía lo de "evento de seguridad" de una forma muy amplia, por ejemplo, una contraseña compartida tiene que cambiar cuando efectivamente cambian los administradores, incluso antes para evitar venganzas.
#90 Efectivamente los administradores nuevos deberíamos cambiar las contraseñas al llegar. En mi caso el problema es que administro un parque de cacharros muy enorme y heterogéneo. En cinco años hay dispositivos a los que aún no me he conectado nunca. Quizás el enfoque del cliente es erróneo y alguien le tiene que explicar que tener equipos de menos personas administrando cada vez más cosas es inviable, que se pierde conocimiento, que resolver problemas es cada vez más difícil y que el ahorro de costes le pone en un riesgo muy elevado.
Pero los demás competidores del sector también lo hacen.
Trabajando en un service desk, en mi vida había escuchado tanta blasfemia como cuando un usuario le ha caducado la contraseña y tiene que poner una nueva...
Microsoft dando consejos de seguridad
#64 Qué sabrán ellos
Hace un tiempo leí que era más seguro juntar cuatro palabras que un código alfanumérico corto. Algo en plan "LugarManchaQuijoteSancho" acaba por ser más segura y fácil de recordar que $1~Asc0!
#14 luego te piden puntos, guiones y números y ya estás jodido.
A mí me revienta cuando me ponen una seguridad del Pentágono en páginas sin mucha importancia. Quiero poner mi contraseña chorra en todos los sitios chorras!
#21 Chorizo_Arrogante_Culea+69
#21 Y luego hay otras páginas chorras que no permiten símbolos, con lo que tienes que andar probando...
#53 O como alguna cosa puntual que piden en la contraseña y no es habitual hace que tengas que recuperar contraseña y cuando quieres poner una nueva ¡Sorpresa! tu contraseña no puede ser la misma que quieres cambiar.
#53 o páginas con cosas importantes que no te dejan meter más de 8 caracteres y además exigen símbolos que en el algoritmo caían después del 8⁰
#53 O no puede ser más de X caracteres como microsoft. A las que hacen eso les pongo insultos.
#21 Tengo cuatro niveles de passwords
- El seguro, para abrir gestores de passwords, discos encriptados, firmar emails.
- El serio, para las cosas del trabajo y cuentas de pago
- El inseguro para las páginas de internet y cuentas de servicios que da igual
- El chorra, que es siempre la misma palabra, para donde no debería ni haberlo.
#14 https://xkcd.com/936/
#27 Venía a poner esto.
El ejemplo que ha puesto #14 no es tan seguro (ejem...), sería mejor "QuijoteRojoOVNIhuerta"
#27 Esa viñeta estuvo bien en su momento pero me da que con el machine learning va a envejecer mal. Lo mejor es tenerlo todo en un gestor de contraseñas, generar para cada cuenta un password aleatorio de 14 caracteres mínimo y olvidarse.
A mí me tienen hasta las narices con el cambio de contraseña, pero he aprendido a hacer de la necesidad virtud y meto siempre las palabras del idioma que estoy aprendiendo que más se me resisten. La anterior fue vörubill$$$...
sembrando poco a poco metodos intrusivos de identificacion... camara, reconocimiento facial, huella, etc etc..
#12 quizá dar por saco con el cambio continuo de contraseñas y obligarte a instalarte aplicaciones en el móvil lleva, a la larga, inevitablemente a obligarte a una autentificación biométrica, regalando por tu parte información vital e inmodificable, con tal de huir del calvario de calentarte la cabeza con los otros sistemas.
Por fin. Ahora sólo falta que dejen de obligarte a poner ciertos caracteres.
12345porelculotelahinco
#78 son las nuevas medidas de seguridad provenientes de la union europea.
Estoy_hasta_los_cojones_debuscar_password1234
si eso opinaban en Junio 2019... que opinaran ahora?
Cuando muchos bancos nos impusieron por la fuerza las tarjetas de coordenadas tuve unas buenas peloteras con más de un director. Mi contraseña, razonablemente segura, sin apuntar en ningún sitio (ni la de entrada ni la de firma), tenía la ventaja de que para hacer una operación había que saltarse las dos, cosa complicada (más con las medidas del banco). Pero ahora, con la tarjetita de coordenadas, una de las contraseñas reside físicamente en algún sitio: en un cajón, bajo un teclado, en una cartera, etc. Y al final estás dejando la mayor parte de la seguridad en 1) la clave de entrada al banco y 2) que no te pillen la tarjeta, cosa que no es tan difícil porque si gestionas varias cuentas no te las puedes llevar encima.
Añade a eso que la tarjeta si te la encuentran lo más inteligente es no llevársela sino fotografiarla y listos. Has incordiado al usuario para implementar un sistema que no es necesariamente más seguro.
Por cierto, súmale a esto que si tienes 5 bancos en el trabajo, son 5 tarjetas más que llevar encima. Hoy arreglado con las apps de firma del móvil... que vuelven a estar tras contraseñas, mira por dónde.
#33 la gracia de la tarjeta de coordenadas es que una parte de la contraseña sea de un solo uso (aunque se repitan cada 50 veces) y si te "ven" la contraseña (ya sea virtualmente o físicamente) no puedan entrar ellos. pero hoy en día habiendo móviles y teniendo códigos otp de 2048 bits, no hay necesidad.
#36 Si la idea de la clave múltiple es buenísima. El problema era la implementación, caso real: tener un "tocho" de tarjetas de coordenadas que usar casi a diario. ¿Cómo se compagina eso con la usabilidad? Porque realmente no es práctico tenerlas en una caja fuerte e ir cada vez a buscarlas. Pues en un caso tenían fotocopias de las tarjetas (porque eran más finas) recortaditas y metidas en un sobre pegado bajo una mesa. En otro, estaban en una carpeta de la oficina. En otro tenían fotos en el móvil.
En cualquiera de esos casos la implementación se ha cargado el propósito de la tarjeta, porque no se consigue más seguridad. La clave antigua, si era medio decente y no estaba apuntada en ningún sitio, era mucho más segura.
#62 la idea de la clave múltiple, con cierto soporte físico o en el móvil, será algo con lo que los torpes de la oficina no dejarán hacer otra cosa a los informáticos. Eso y cambiar constantemente las contraseñas.
#33 me llamó mi madre el otro día porque en una compra por internet, en una página en la que lleva años comprando, le pidieron el pin de la tarjeta. Supuse que sería la pasarela del banco pero por si acaso no la puso. Toda la vida diciendo que no hay que poner en internet el número de la tarjeta y el pin, que luego te roban y ¿hay bancos que en esta época de autenticación en 2 pasos te piden el pin? A algunos listos habría que fusilarlos
#78 creo que no es el PIN de la tarjeta sino uno para compras por internet. Que luego se ponga el mismo, es otra historia.