Menéame: comentarios [2580355]

#8 ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

Campechano — Tue, 15 Mar 2016 10:01:25 +0000

cambiar esta práctica puede hacer que a la gente le parezca que se está cuidando menos la seguridad, y eliminar este requerimiento les obligaría a dar muchas explicaciones a los menos dados a la materia

Este es el principal problema de los profesionales de IT, tener que dar explicaciones a legos que en algunas ocasiones pretenden saber más que tú

» autor: Campechano

#7 ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

--349080-- — Fri, 11 Mar 2016 16:33:27 +0000

[Usuario deshabilitado]

» autor: --349080--

#6 ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

--484360-- — Fri, 11 Mar 2016 15:37:19 +0000

#5 Las reglas que se aseguran de que haya al menos un dígito, al menos un símbolo de puntuación, al menos una minúscula y al menos una mayúscula, lo que realmente signfican es que te busques un final de tus passwords que lo cumpla. Por ejemplo podría ser ".K7h" que cumple todo lo anterior. Busca alguno que tenga sentido para tí. Lo recordarás a base de usarlo siempre, toda la vida.

Así tus passwords serán del tipo: hamster.K7h caballito.K7h ratita.K7h gatito.K7h perrito.K7h etceterita.K7h
que pasarán todos los filtros. Reusar a placer. Ningún problema para recordarlos.

y no, de ninguna manera estás mermando la seguridad de la empresa para nada.

» autor: --484360--

#5 ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

--88270-- — Fri, 11 Mar 2016 15:17:00 +0000

En mi anterior trabajo nos obligaban a cambiar la contraseña cada tres meses y al final las teníamos todos apuntadas en un postit delante del ordenador.

Otra cosa que odio es la estupidez de obligar combinaciones de mayúsculas, números y símbolos. Hablando con gente que sabe del tema, a fuerza bruta se puede romper cualquier contraseña y la seguridad está en la longitud de la cadena. Es muchísimo más difícil de romper "estaesmiclavesecretaquenadieconoce" que "m1clAv3!"

Una es fácil de recordar y la otra tienes que apuntarla o andar pidiendo que la reseteen porque no te acuerdas. Es relativamente fácil "pinchar" tu ordenador y pillar tu clave cuando se resetea.

» autor: --88270--

#4 ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

--484360-- — Fri, 11 Mar 2016 15:15:32 +0000

#2 Y es muy implantar políticas de contraseñas robustas y que sean respetadas por los usuarios.

Es muy, desde luego. Uno de los sistemas que uso a diario venía con un password de los rebuscados que se supone debía recordar de memoria. Pues no, va a ser que lo va a recordar su p... madre. Así que lo cambié por otro que ya me sabía (la única forma de asegurar que no lo vas a olvidar), un password bueno, nada facil de adivinar. Pues me lo rechazó porque tenía letras repetidas. ¡Oh, cuanta seguridad!, así que le puse otra cosa que conoce todo el mundo a mi alrededor y eso sí que me lo aceptó.

No es seguridad, son ganas de tocarle los genitales al personal. Aquí la única necesidad que hay es la de los Responsables de Seguridad de salvar su culo si pasa algo, demostrando que ellos han hecho todo lo posible. Puro postureo.

» autor: --484360--

#3 ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

--484360-- — Fri, 11 Mar 2016 15:07:22 +0000

Una verdad como una casa. Mi empleador me obliga a mantener unos cuantos passwords, que no son pocos, me obliga además a cambiarlos varias veces al año y se supone que no debo apuntarlos en ningún sitio.

¡¡JA!!

RECONTRASUPEREVIDENTEMENTE que tengo una lista de passwords sencillos, muy parecidos entre sí, que voy RE-usando con la frecuencia que el "no uses uno de los passwords anteriores" me permite. A ver si se creen que mi cabeza es una memoria de ordenador o qué. Esta lista no ha cambiado en años.

» autor: --484360--

#2 ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

llamamepanete — Fri, 11 Mar 2016 14:59:07 +0000

Hay dos problemas que no se están teniendo en cuenta en el artículo. Que además en mi experiencia (digamos que amplia) parte de un error de base: el usuario no es un experto en seguridad.

Y de eso se derivan 2 problemas.

El primer problema, relativamente subsanable, es es que la gente no crea buenas contraseñas y por eso les obligas a cambiarlas. Si la mayoría de la gente crease buenas contraseñas no tendría ningún sentido obligar a cambiarlas. Y es muy implantar políticas de contraseñas robustas y que sean respetadas por los usuarios.

El segundo problema, con una solución muy compleja, es que la gente reutiliza las contraseñas y que, obviamente, tú puedes garantizar que las transmites y las almacenas con calidad. Pero no te puedes hacer responsable de lo que hagan los otros 20 sitios donde tu usuario ha podido reutilizar la contraseña.

Mecanismos de 2FA vienen a intentar solucionar ambos problemas, pero incrementan los costes y reducen la usabilidad.

» autor: llamamepanete

#1 ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

celemin — Fri, 11 Mar 2016 14:49:39 +0000

Qué novedad...

» autor: celemin