Portada
Hace 1 año | Por --682766-- a threadreaderapp.com
Publicado hace 1 año por --682766-- a threadreaderapp.com
En estos tiempos que corren es fundamental usar más factores que la contraseña para proteger nuestras cuentas online. Típicamente hay tres tipos de factores: algo que se sabe (contraseña),

En estos tiempos que corren es fundamental usar más factores que la contraseña para proteger nuestras cuentas online. Típicamente hay tres tipos de factores: algo que se sabe (contraseña),

 threadreaderapp.com

algo que se tiene (un código OTP) o algo que se es (biometría). Es conveniente usar una combinación de, al menos, dos clases: contraseñas y OTP, OTP y biometría, etc. Dentro de cada factor hay mejores y peores implementaciones. Claro ejemplo entre las cosas que se tienen: OTP y llaves de seguridad. Un OTP es un One Time Password, y representa algo que se tiene porque o bien se tiene configurado con un sistema criptográfico que los genera (una app como Google Authenticator o Authy) o se entrega a un dispositivo específico...

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 195 28

Comentarios

D
autor

#0 Hilo de Ramón Medrano Llamas, Doctor en informática y Senior SSR Engineer en Google.

V 1
K 30
BodyOfCrime

#1 Doctor en chorradas

Mi recomendación para mejorar muy sustancialmente la protección contra phishing es la siguiente:

1. Preocuparse menos por las contraseñas. Procura usar un password manager sencillo como el Keychain de macOS, o el integrado de Chrome. Es suficiente para tener diversidad.

https://nypost.com/2022/01/02/experts-warn-against-storing-passwords-in-chrome/

V 1
K 21
abnog

#5 Te respondo al comentario para que les quede claro a los que lo lean que lo que pones es una cita del autor del hilo, no algo que escribas tú. (Al no poner comillas me resultó un poco confuso hasta que leí el artículo. lol )

V 1
K 21
BodyOfCrime
editado

#16 También tienes razón de que es muy confuso tal y como lo he puesto

V 1
K 21
P

Y un detective privado? esto va siendo un coñazo. Dentro poco nos obligaran a hacer pis con una app.uff.

V 0
K 12
Socavador

#2 Un pinchacito en el dedo y ya de paso te controlan los triglicéridos y la diabetes.

V 2
K 36
pkreuzt

#3 El pinchazo en el dedo ya no se estila, ahora lo que se gasta es esto:

https://www.freestylelibre.es/libre/productos/freestylelibre3-sensores.html

Tus niveles de glucosa 24/7 en la nube (propietaria de la empresa, claro)

V 2
K 39
PauMarí

#2 empiezo ha estar hasta los mismísimos del tema este de los passwords... Y nadie se acuerda que las trajeras de crédito tienen un simple pin de 4 números
Ya se que no es lo mismo, pero es que realmente estoy muy harto de que todos los demás "sufran" tanto para que yo "proteja" mis datos...

V 4
K 51
sorrillo

#4 El PIN de la tarjeta de débito o crédito se introduce en un dispositivo propiedad del banco, por lo que pueden aplicar ellos medidas de seguridad ignorando lo imprudente que puedas ser tú con la gestión de tus dispositivos.

A su vez el PIN se valida remotamente, existen servidores lejos del dispositivo local que validan ese PIN y cuentan los intentos que se han hecho, pudiendo bloquear por completo la operativa. Con lo que se limitan drásticamente los riesgos de un ataque de fuerza bruta.

A todo ello si la tarjeta de débito o crédito es vulnerable a ataques a quien están robando es al banco y no al cliente, por lo que el nivel de seguridad con el que se sientan cómodos corresponde decidirlo a la banca.

V 0
K 14
PauMarí
editado

#7 lo siento pero no es cierto (en el caso de los cajeros), se valida localmente en lo que se llana pinpad.
Cuando fabricas un cajero vienen "dos señores" por separado, en dos días diferentes, e introducen cada uno "media llave maestra" que luego se utiliza para fabricar los teclados.
Para que hagan eso debes proporcionarles una sala sin ventanas, sin cámaras de seguridad, etc etc etc.
Si quieres también te cuanto como funciona cuando la validación es remota, necesitas un servidor que cumpla la normativa PCI y tienes que pasar una "autoauditoria" regularmente (no recuerdo cada cuanto, hace ya unos cuantos años que ya no estoy en el sector) y tienes que mandar el resultado de esa auditoría a una empresa certificada.

Se como funciona, gracias, y mi comentario no iba en ese sentido, por eso la última frase....

Fdo: una persona que trabajaba integrando centros autorizadores de terceros en sistemas de pago de entidades bancarias.

V 10
K 105
sorrillo

#9 Por lo que dices el PIN de la tarjeta de débito o crédito entiendo que está almacenado en la propia tarjeta, originalmente en la banda magnética y ahora en el chip.

Puedo entender las razones históricas para ello, dado que el diseño original se hizo cuando los cajeros seguramente no tenían comunicación alguna con el exterior. Hoy en día sospecho que lo diseñarían de tal forma que la validación fuera en la sede central del banco en cuestión. Aunque quizá al acceder a cajeros a nivel internacional eso aún podría ser problemático hoy en día, según los acuerdos y enlaces que se tengan entre bancos.

V 0
K 14
PauMarí
editado

#11 has de tener en cuenta que hay más parque de datáfonos que no de cajeros, lo digo porqué, en el diseño de todo el sistema, eso también se ha de tener en cuenta...
Sobre el PIN, está tanto en la tarjeta como en el centro autorizador.
Por cierto, cuando empecé a trabajar allí tampoco creía que el pin estuviera en ja tarjeta, lo veía bastante inseguro... Pero está, te lo aseguro.

V 1
K 21
sorrillo

#9 Perdona que abuse pero aprovecho para hacerte una pregunta al respecto. Tengo una tarjeta de débito emitida por una entidad extranjera y no hay forma de encontrar ningún cajero que me permita cambiar el PIN, a priori dicen en su servicio de soporte que debería poder hacerse pero todos los cajeros me lo deniegan.

He tenido otras tarjetas de débito de otras entidades extranjeras con el mismo problema, así que entiendo que no es de esa entidad específica ni empresa que proporciona el servicio.

¿Puedes aportar algo de luz a ello? ¿Sabes quién debería considerarse principal responsable de esa limitación de cara a reclamarle?

V 0
K 14
PauMarí
editado

#12 hay países que pueden tener hasta 6 dígitos para el pin. A parte de eso no se que más decirte, yo programaba datáfonos (principalmente Ingenico) y también el servidor de autenticacion y todo el tema de cambio de pin no permiten hacerlo.
A ver, nosotros también emitimos tarjetas propias y esas sí podría decirlo (teníamos incluso BIN propio, los primeros dígitos de la tarjeta, que tienen que otorgarlo la asociación americana de la banca, o algo así) y te podría contar en que posición de la banda magnética está el pin y cosas así pero como interconectan los cajeros con las emisoras internacionals no lo sé, lo siento.

V 1
K 21
PauMarí

#12 para ampliar la información, el "programa" del cajero/datáfono/etc nunca "ve" el pin, tu haces el programa como quieras pero para la parte de introducción del pin has de "delegarla" a un "subsistema" (lo que comentava antes del pinpad) y el simplemente te contesta si es correcto o no, por tanto nunca nunca eres consciente del pin del cliente. Partiendo de eso deduzco que en el cambio de pin será el propio pinpad (y no el software del cajero) el que connecta al centro emisor para hacer el cambio (ese es el motivo por el cual no puedes cambiar un pin 4B en un cajero Servired, por ejemplo). Supongo que tu "problema" vendrá por ahí....

V 2
K 30
h

#9 El pin se valida en la propia tarjeta. Las tarjetas tienen un EMV chip que es el que recibe el pin y devuelve si es válido o no. Si le pasas 3 pins incorrectos el chip de la propia tarjeta se invalida el mismo. No tiene nada que ver con el pinpad. Pasaría lo mismo si envío los voltajes soldando un cable.

Lo que tú cuentas es que el pinpad tiene que leer el pin y pasárselo al chip EMV de la tarjeta. Obviamente el que ha creado el pinpad podría guardarse el pin en algún sitio para usarlo después malintencionadamente y hay distintos protocolos para evitar que eso pueda ocurrir. Uno de ellos es parecido al que comentas.

V 1
K 24
PauMarí
editado

#20 a ver, que lo he simplificado... (a parte de que yo lo hacía hará como 10 años y entonces casi no había tarjetas "con chip" y esta parte sí la hacía el pinpad).

V 1
K 21
temu

#4 Las tarjetas tienen dos factores de control, uno de conocimiento como es la contraseña y otro fisico como es la propia tarjeta. Es necesario ambos para poder usarla (el pin no se a partir de que cantidad lo pide)

V 1
K 19
A

Para la cuenta del banco seguro, para la cuenta de menéame me da bastante igual, seguramente mi contraseña sea qwerty o 1234, probad!

V 0
K 9
sorrillo

Siempre me ha parecido temerario usar todos los métodos de verificación desde el mismo dispositivo. Si se accede desde el móvil y éste es vulnerable y está siendo atacado el atacante potencialmente tiene acceso a la huella dactilar (el resultado de una comprobación, no toda la huella), puede capturar el SMS o conocer/generar los códigos del Google Authenticator, y puede capturar la contraseña que se introduzca a través del teléfono móvil.

V 5
K 51
jdmf

Y así el día que nos hacken ni sabremos, ni tendremos, ni seremos.

V 0
K 11
Candidatas
39
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
11
meneos
tecnología Estados Unidos ha librado una batalla aérea con aviones con IA. Es una nueva revolución militar
10
meneos
tecnología Norcoreanos trabajaron en secreto en series animadas de Amazon y Max, como 'Invencible'
25
meneos
tecnología Desarrollan en Japón inteligencia artificial que predice las renuncias de los empleados
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
4
meneos
tecnología Intel Construye El Sistema Neuromórfico "inspirado En El Cerebro" Más Grande Del Mundo: Hala Point + Buscando Una IA Más Sostenible
8
meneos
tecnología Tiktoktives Cap.2
6
meneos
tecnología Cómo verificar la autenticidad y el origen de fotografías y vídeos
4
meneos
tecnología Mercedes no se complica la vida y abandona las pruebas de coches eléctricos con extensor de autonomía
5
meneos
tecnología La inteligencia artificial inundará las redes: Meta lanza su modelo en WhatsApp, Facebook e Instagram
26
meneos
tecnología La estafa de los SSD M2 chinos. 4TB por 40 € y tiene truco
18
meneos
tecnología El engaño de la Inteligencia Artificial: Cómo las compañías nos están engañando [ENG]
abnog

Los factores biométricos no son sustitutos de la contraseña. Es algo que muestras a todo el mundo y que cualquiera puede copiar (huellas dactilares, cara, etc...).

V 1
K 28
ContinuumST
editado

No me apetece ofrecer más información a los que la puedan guardar... biométrica, personal o de lo que sea... Una contraseña para cada cosa y contraseña larguita y con los caracteres "raros" que me permita, y ninguna ni parecida... Las contraseñas las guardo en papel... entre millones de carpetas con folios de otras cosas... el que busque se va a pasar un buen rato buscando y posiblemente no encontrando.

V 0
K 15
Fernando_x

#22 Me parece que el que tiene el interés de ponerse a rebuscar entre tus papeles, le saldría más sencillo enseñarte una navaja y obligarte a darle la contraseña.

V 0
K 10
ContinuumST

#24 Ya, pero eso ya es otra cosa de otro nivel... dentro de mi casa, con un arma, amenazando mi vida... ¿Y para qué demonios va a querer mi contraseña de algún correo? Ni que yo trabajara para el MI6. lol lol

V 2
K 42
Fernando_x

#25 Sí, creo que ya hablamos de esto hace tiempo. Es una solución bastante segura, pero como todas, se puede superar.

V 1
K 25
ContinuumST

#27 Claro, claro... nada es seguro al cien por cien... por supuesto.

V 0
K 15
t

Ya estamos culpando a los usuarios de lo que le puedan hacer los delincuentes. Un claro caso de cultura de la violación; de contraseñas en este caso.

V 1
K 19