Portada
mis comunidades
otras secciones
#3:
Cada vez que me hablan de usar caracteres especiales me acuerdo de https://xkcd.com/936/
#2:
Estoy hasta las pelotas de las chorradas esas.
Mis contraseñas son seguras de cojones, hasta que llega el típico formulario donde es obligatorio que haya una mayúscula o un carácter extraño o ¡¡¡que limita su longitud a n caracteres!!!
Lo más bochornoso es lo de los bancos.
¿¿¿como que la contraseña ha de tener 8 caracteres alfanuméricos???
Mis contraseñas son seguras de cojones, hasta que llega el típico formulario donde es obligatorio que haya una mayúscula o un carácter extraño o ¡¡¡que limita su longitud a n caracteres!!!
Lo más bochornoso es lo de los bancos.
¿¿¿como que la contraseña ha de tener 8 caracteres alfanuméricos???
#8:
#7 Tu razonamiento queda muy bien como intuición, pero no es muy certero. La portada del "elpais.com" de esta mañana tiene unos 1400 términos distintos (links -dump http://elpais.com/ | tr " " "n" | tr [A-Z] [a-z] | sort | uniq | wc -l
1441) Además, debemos apuntar que computacionalmente no es lo mismo MeGusta que megusta que Me_gusta.
Dicho esto, no está de más recordar que el espacio de búsqueda del universo [A-z][0-9][especiales] es de ~64 caracteres. Una contraseña de 64 caracteres con una longitud de 8 tiene un espacio de búsqueda de 2,8×10¹⁴. Incluso una contraseña de 12 caracteres en el universo [A-z][0-9][especiales] tiene un espacio de búsqueda de 4,7×10²¹
La elección de una frase de 10 palabras sobre un universo de 1500 (conocidas) ya tiene un espacio de búsqueda de 1,54×10²⁵
La elección de una frase de 15 palabras sobre un universo de 2000 (conocidas) ya tiene una robustez de 2,37×10³⁷. Similar a un galimatías de 23 caracteres.
Y creo que como factor de usabilidad es mucho más sencillo recordar: losdomingosporlamañanamelevantoalas8ysalgoacomprarelperiodico que AzLPplfLfLmfmE192..!Jkl
1441) Además, debemos apuntar que computacionalmente no es lo mismo MeGusta que megusta que Me_gusta.
Dicho esto, no está de más recordar que el espacio de búsqueda del universo [A-z][0-9][especiales] es de ~64 caracteres. Una contraseña de 64 caracteres con una longitud de 8 tiene un espacio de búsqueda de 2,8×10¹⁴. Incluso una contraseña de 12 caracteres en el universo [A-z][0-9][especiales] tiene un espacio de búsqueda de 4,7×10²¹
La elección de una frase de 10 palabras sobre un universo de 1500 (conocidas) ya tiene un espacio de búsqueda de 1,54×10²⁵
La elección de una frase de 15 palabras sobre un universo de 2000 (conocidas) ya tiene una robustez de 2,37×10³⁷. Similar a un galimatías de 23 caracteres.
Y creo que como factor de usabilidad es mucho más sencillo recordar: losdomingosporlamañanamelevantoalas8ysalgoacomprarelperiodico que AzLPplfLfLmfmE192..!Jkl
#5:
Que a estas alturas de la película todavía estemos dándole vueltas a este tema es cuanto menos preocupante. Las contraseñas hace tiempo que deberían haber sido sustituidas por frases de paso.
PolK!9874_ puede parecer una contraseña segura pero el hecho es que tiene una mierda de robustez cuando la comparas con algo como: megustadesayunarunvasodelechecon3galletas. Las frases, además de tener una robustez mucho mayor, también tienen mucha más usabilidad porque son más sencillas de recordar.
Por otra parte, hoy día, cualquier aplicación que deba ofrecer un mínimo de seguridad debe implementar doble factor de autenticación, bien sea mediante el uso de certificados digitales en cliente o bien sea mediante el uso de tokens físicos o virtuales.
PolK!9874_ puede parecer una contraseña segura pero el hecho es que tiene una mierda de robustez cuando la comparas con algo como: megustadesayunarunvasodelechecon3galletas. Las frases, además de tener una robustez mucho mayor, también tienen mucha más usabilidad porque son más sencillas de recordar.
Por otra parte, hoy día, cualquier aplicación que deba ofrecer un mínimo de seguridad debe implementar doble factor de autenticación, bien sea mediante el uso de certificados digitales en cliente o bien sea mediante el uso de tokens físicos o virtuales.
#4:
Cada vez que el sistema no te permite poner tus propias contraseñas, se incurre en inseguridad, porque te suele obligar a apuntarla en algún sitio. (debajo del teclado, en un notepases, un postit, etc...)
#34:
Lo más cachondo es cuando un sistema de seguridad exige que cambies la contraseña cada mes. Al final toda la empresa usaba, por ejemplo, en Enero de 2017:
usuario: nombre-apellido
Contraseña: pass012017
Y por supuesto, cuando tú no tenías permisos para algo, pero sabías quien sí, le pegabas un grito para decirle que entrabas con su usuario. No preguntabas nada más, ya sabías todo lo necesario para meterte en el sistema como él.
"Cambie la contraseña cada mes por su seguridad"
usuario: nombre-apellido
Contraseña: pass012017
Y por supuesto, cuando tú no tenías permisos para algo, pero sabías quien sí, le pegabas un grito para decirle que entrabas con su usuario. No preguntabas nada más, ya sabías todo lo necesario para meterte en el sistema como él.
"Cambie la contraseña cada mes por su seguridad"
#33:
#23 Tras registrarme en no sé qué página web de un ministerio con mi mejor y más preciada contraseña, me enviaron mi usuario y mi contraseña por correo-e en claro. Mucho https y luego mandan mi contraseña de paseo por unos cuantos servidores. Bravo, administratión electrónica. Ya si eso dentro de 10 años sacáis un dni-e que funcione.
#24:
#4 Hay gestores de contraseñas. De todas formas, es más seguro una contraseña difícil apuntada en un posit que una contraseña del tipo 123456.
Los que te quieran robar el acceso al correo electrónico o al paypal no lo van a hacer registrando tu ordenador, sino mediante ataques remoto a la base de datos de contraseñas.
#2 Los bancos suelen usar todos doble autenticación para movimientos de dinero, es lo más seguro que hay.
Los que te quieran robar el acceso al correo electrónico o al paypal no lo van a hacer registrando tu ordenador, sino mediante ataques remoto a la base de datos de contraseñas.
#2 Los bancos suelen usar todos doble autenticación para movimientos de dinero, es lo más seguro que hay.
#9:
#7 Como apunte, los cálculos del espacio de búsqueda de las frases he optado por hacerlo con combinaciones con repetición en vez de variaciones con repetición por considerar que el lenguaje tiene cierta penalización sobre la aleatoriedad en las estructuras que crea.
Pero en general, se acepta por válido (y quizá en contra de la intuición) que una frase de 10 palabras (incluso de un diccionario limitado de 500 palabras) tiene una robustez, al menos, un orden de magnitud superior a la contraseña de 10 caracteres que puedes crear con las reglas típicas [A-z][0-9][especiales]
245810588801891070000 de combinaciones con repetición te permite la frase de 10 palabras sobre un diccionario de 500.
1152921504606847000 de varaciones con repetición te permiten 10 caracteres aleatorios sobre un conjunto de 64.
Incluso aceptando el restringido cálculo que das de 300 palabras (que yo considero empíricamente erróneo) 10 palabras sobre un diccionario de 300 tendrían la misma robustez que 10 caracteres aleatorios sobre un conjunto de 64.
Pero en general, se acepta por válido (y quizá en contra de la intuición) que una frase de 10 palabras (incluso de un diccionario limitado de 500 palabras) tiene una robustez, al menos, un orden de magnitud superior a la contraseña de 10 caracteres que puedes crear con las reglas típicas [A-z][0-9][especiales]
245810588801891070000 de combinaciones con repetición te permite la frase de 10 palabras sobre un diccionario de 500.
1152921504606847000 de varaciones con repetición te permiten 10 caracteres aleatorios sobre un conjunto de 64.
Incluso aceptando el restringido cálculo que das de 300 palabras (que yo considero empíricamente erróneo) 10 palabras sobre un diccionario de 300 tendrían la misma robustez que 10 caracteres aleatorios sobre un conjunto de 64.
Comentarios
Cada vez que me hablan de usar caracteres especiales me acuerdo de https://xkcd.com/936/
Estoy hasta las pelotas de las chorradas esas.
Mis contraseñas son seguras de cojones, hasta que llega el típico formulario donde es obligatorio que haya una mayúscula o un carácter extraño o ¡¡¡que limita su longitud a n caracteres!!!
Lo más bochornoso es lo de los bancos.
¿¿¿como que la contraseña ha de tener 8 caracteres alfanuméricos???
Que a estas alturas de la película todavía estemos dándole vueltas a este tema es cuanto menos preocupante. Las contraseñas hace tiempo que deberían haber sido sustituidas por frases de paso.
PolK!9874_ puede parecer una contraseña segura pero el hecho es que tiene una mierda de robustez cuando la comparas con algo como: megustadesayunarunvasodelechecon3galletas. Las frases, además de tener una robustez mucho mayor, también tienen mucha más usabilidad porque son más sencillas de recordar.
Por otra parte, hoy día, cualquier aplicación que deba ofrecer un mínimo de seguridad debe implementar doble factor de autenticación, bien sea mediante el uso de certificados digitales en cliente o bien sea mediante el uso de tokens físicos o virtuales.
#7 Tu razonamiento queda muy bien como intuición, pero no es muy certero. La portada del "elpais.com" de esta mañana tiene unos 1400 términos distintos (links -dump http://elpais.com/ | tr " " "n" | tr [A-Z] [a-z] | sort | uniq | wc -l
1441) Además, debemos apuntar que computacionalmente no es lo mismo MeGusta que megusta que Me_gusta.
Dicho esto, no está de más recordar que el espacio de búsqueda del universo [A-z][0-9][especiales] es de ~64 caracteres. Una contraseña de 64 caracteres con una longitud de 8 tiene un espacio de búsqueda de 2,8×10¹⁴. Incluso una contraseña de 12 caracteres en el universo [A-z][0-9][especiales] tiene un espacio de búsqueda de 4,7×10²¹
La elección de una frase de 10 palabras sobre un universo de 1500 (conocidas) ya tiene un espacio de búsqueda de 1,54×10²⁵
La elección de una frase de 15 palabras sobre un universo de 2000 (conocidas) ya tiene una robustez de 2,37×10³⁷. Similar a un galimatías de 23 caracteres.
Y creo que como factor de usabilidad es mucho más sencillo recordar: losdomingosporlamañanamelevantoalas8ysalgoacomprarelperiodico que AzLPplfLfLmfmE192..!Jkl
Cada vez que el sistema no te permite poner tus propias contraseñas, se incurre en inseguridad, porque te suele obligar a apuntarla en algún sitio. (debajo del teclado, en un notepases, un postit, etc...)
Enlace directo al paper [PDF, 850 KB]: http://www.diegoceldran.es/direct-download/NDIyfGh0dHA6Ly93d3cuZGllZ29jZWxkcmFuLmVzL3dwLWNvbnRlbnQvdXBsb2Fkcy93b29jb21tZXJjZV91cGxvYWRzLzIwMTYvMTIvTGEtaW5zZWd1cmlkYWQtZGUtbGFzLWNvbnRyYXNlw7Fhcy1zZWd1cmFzLnBkZg==/
Lo más cachondo es cuando un sistema de seguridad exige que cambies la contraseña cada mes. Al final toda la empresa usaba, por ejemplo, en Enero de 2017:
usuario: nombre-apellido
Contraseña: pass012017
Y por supuesto, cuando tú no tenías permisos para algo, pero sabías quien sí, le pegabas un grito para decirle que entrabas con su usuario. No preguntabas nada más, ya sabías todo lo necesario para meterte en el sistema como él.
"Cambie la contraseña cada mes por su seguridad"
#11 Y en algún banco también, pero a los 3 intentos bloquean la cuenta.
#5 Tú quieres convertir la vida del usuario en un infierno. Certificados de cliente... joder, ¿y quién lo emite? ¿cada web el suyo? ¿o para acceder a una mierda de web voy a tener que usar un certificado de la FNMT, aunque no sea español o viva fuera? ¿un token?
Lo que pasa es que muchos montan una web y se creen que a sus usuarios nos importa una leche que nos hackeen la cuenta en su web. Y no. A mí si me cogen la cuenta de amazon me hacen un destrozo, y esa es la contraseña que yo intento que sea segura. Pero hay montones de web que me dan exáctamente igual, y no voy a tener un clave de 40 caracteres, ni activar doble autentificación, ni nada de nada.
La verdad, no sé por qué en este asunto se intenta pasar la responsabilidad al usuario. Si me hackean mi cuenta en tu web, seguramente sea culpa mía. Si hackean _todas las cuentas_, seguro que es tuya.
#2 Ojo que en miyoigo, por ejemplo, te obligan a tener 6 caracteres... NUMÉRICOS!!!!! ni diccionario ni pamplinas, bucle for, y a correr
#4 Hay gestores de contraseñas. De todas formas, es más seguro una contraseña difícil apuntada en un posit que una contraseña del tipo 123456.
Los que te quieran robar el acceso al correo electrónico o al paypal no lo van a hacer registrando tu ordenador, sino mediante ataques remoto a la base de datos de contraseñas.
#2 Los bancos suelen usar todos doble autenticación para movimientos de dinero, es lo más seguro que hay.
#5 Empecemos por no almacenar las claves en claro en las bases de datos, o con un cifrado de pena. Eso de que lleguen unos piratas y se hagan con decenas de miles de passwords a estas alturas, es increíble.
#7 Como apunte, los cálculos del espacio de búsqueda de las frases he optado por hacerlo con combinaciones con repetición en vez de variaciones con repetición por considerar que el lenguaje tiene cierta penalización sobre la aleatoriedad en las estructuras que crea.
Pero en general, se acepta por válido (y quizá en contra de la intuición) que una frase de 10 palabras (incluso de un diccionario limitado de 500 palabras) tiene una robustez, al menos, un orden de magnitud superior a la contraseña de 10 caracteres que puedes crear con las reglas típicas [A-z][0-9][especiales]
245810588801891070000 de combinaciones con repetición te permite la frase de 10 palabras sobre un diccionario de 500.
1152921504606847000 de varaciones con repetición te permiten 10 caracteres aleatorios sobre un conjunto de 64.
Incluso aceptando el restringido cálculo que das de 300 palabras (que yo considero empíricamente erróneo) 10 palabras sobre un diccionario de 300 tendrían la misma robustez que 10 caracteres aleatorios sobre un conjunto de 64.
#23 Tras registrarme en no sé qué página web de un ministerio con mi mejor y más preciada contraseña, me enviaron mi usuario y mi contraseña por correo-e en claro. Mucho https y luego mandan mi contraseña de paseo por unos cuantos servidores. Bravo, administratión electrónica. Ya si eso dentro de 10 años sacáis un dni-e que funcione.
#2, ami me jode que no en todos los sitios sea igual y no puedas usar la misma contraseña*, en algunos sitios que si al menos un número, en otros al menos 2, en algunos ciertos caracteres no valen, etc.
*Ya, es mejor usar contraseñas distintas, pero hay sitios donde no te importa demasiado que descubran tu contraseña, así que no te vas a poner a escribir una contraseña para cada sitio. Para cuentas importantes contraseñas distintas, eso sí.
#36 Un mecanismo 2FA no es para un "mínimo" de seguridad. ¿entonces qué es el máximo, un scan de cornea? Un mínimo de seguridad, que para mí significa que no puede entrar cualquiera, es un usuario / contraseña que _la web_ tiene aceptablemente bien cifrada en su BD. Y si hackean la web ese es el problema y no que yo como usuario no haya activado 2FA o elegido una contraseña de 40 caracteres.
Para algunos esta misma web será sagrada y guardarán su contraseña en el corazón y les encantaría activar 2FA si estuviera disponible, y en cambio otros usuarios que solo tienen cuanta para votar de vez en cuando usarán la misma contraseña guarra (pero que recuerdan) que en otros 50 sitios que tienen el mismo nivel de importancia, es decir, ninguno. Y esto no es que el usuario lo esté haciendo mal: Es que no le compensa la molestia de tener una clave distinta, larga, 2FA, etc, para cada sitio que visita.
Sinceramente estas webs que dicen que la contraseña hay que cambiarla cada X días porque les sale a ellos de los cojones, o que tiene que tener tal o cual formato por la misma razón, etc... me están diciendo les importa una leche mi tiempo y mi comodidad, lo importante es que ellos puedan estar tranquilos de que si les pillan la base de datos van a poder decir que sus usuarios están seguros. Que hagan bien su trabajo a mí como usuario que me dejen en paz, que si pongo de contraseña de algo "password00" es porque esa web me da exáctamente igual.
#2 ¿8 alfanuméricos? PAra el banco de Sabadell es un PIN de ¡4 números!
#2 Toda la razón. Y todo viene por la vagancia del programador de turno, de no aumentar el campo de contraseña, para poder meter unos 30 caracteres que sería una contraseña considerablemente segura. Todo sin hablar por supuesto, de que la web esté convenientemente protegida, porque de poco sirve el uso de contraseñas seguras o de gran longitud, si luego la web tiene más agujeros que un queso de gruyer.
Salu2
#30 Para eso la variante con diéresis, añade mucha fortaleza: mecagüen.
¡Mecagoentus7padres! es el nuevo 1234.
Hoy mismo he publicado este tuit
#55 Ojala fuera solo eso. Me temo que todos los woocommerce alojados en One&One son vulnerables a esto. Y dudo si están usando la ultima versión. He escrito al soporte de woocomerce para que me den un contacto de seguridad y darle los detalles. A ver si me dan CVE, que va a ser el cuarto y quedan muy bien en el CV.
#3 #5 El idioma español tiene casi trescientas mil palabras/conceptos diferentes (sin contar variaciones ni tecnicismos o regionalismos), pero en nuestra comunicación cotidiana utilizamos sólo y con suerte unas trescientas, es decir, cerca de un 0,10%.
http://factoides.com.ar/post/3031124497/usamos-solo-unas-300-palabras
No debe ser muy difícil averiguar una frase de unas cuantas palabras, de una combinación de 300 de ellas. Y más teniendo en cuenta que es muy probable que va a contener en, el, la, las, los, de, etc.
#1 Me parece utilísimo que sea un PDF, creo que a partir de ahora todos los meneos deberían ser en PDF, es el formato del futuro. Además en un paper sobre seguridad lo mejor es un formato a prueba de bombas.
Esto me recuerda mi trolleo con unas plantillas de Office protegidas con la contraseña **** (asteriscos) hay programas que sacan la contraseña, pero al ver los asteriscos creen que no.
#13 Peor aún, si en el campo de la contraseña guardas un BCRYPT como dios manda, te da igual el tamaño de la contraseña.
Si el tamaño importa para la base de datos es que la está guardando en plano
#40 Me parece estupendo tu metodo, y cuando quieras acordarte de «gMaEfNoElAcMuEanquierodololomemyíoestoEl», ya se te ha pasado que querias escribir...
#23 Se puede usar una función hash, pero con salt&pepper
La fortaza de una contraseña crece exponencialmente cuando aumentamos la longitud de la clave, pero "sólo" polinomicamente cuándo aumentamos el conjunto de caracteres usados.
Yo recomiendo claves de 12-15 caracteres de sólo letras minúsculas puramente aleatorio. Se escriben mas rápido cuándo solo hay letras minúsculas y no hay que pulsar SHIFT para escribir mayúsculas ni caracteres especiales.
Si quieres mas seguridad en un clave, aumenta la longitud, no aumentes el conjunto de caracteres usados
Muy gracioso y entretenido el "paper", pero el "hacker" debería aprender a redactar porque vaya tela...
#65 #45 #55 He contactado con woocomerce, el problema está en un plugin (direct-download). He contactado también con el creador del plugin y con Diego Celdrán. Esperando respuesta.
#47 Sí, pero el programador-listo de turno, que debe creerse un as de la seguridad, habrá programado ese formulario con cosas del tipo "la contraseña no puede empezar por un número", "debe haber al menos una minúscula" o cualquier chorrada habitual.
El resultado es que la contraseña acaba apuntada en un post-it enganchado a la pantalla del ordenador de la oficina y la seguridad es exactamente cero. Y ni te cuento lo que pasa el día que se despega el post-it y el de la limpieza lo tira a la basura.
En el mundo de la computación y la seguridad teórica todas estas cosas están muy bien, pero la gente vive en la realidad.
#7 pongamos que son sólo 4 palabras de las 300 posibles y además en orden aleatorio... Pues te va a llevar un rato encontrarlas, teniendo además en cuenta que dada palabra tiene logitud variable.
Es un "poco" más difícil que sacar los 4 números de un candado o pin que se eligen de un pool de 10 posibles. Y eso suele ser bastante seguro.
#77 igual antes si, de hecho antes dejaban poner letras, pero ahora... lo tienes facil, intenta cambiar la clave...
#94 Vaya... como pasa el tiempo. Demasiados años como cliente de Yoigo.
Ya veo que lo han cambiado. Cada vez somos más clientes de MasMovil y me temo que pronto alguna de las grandes fagocitará a esta marca.
Habrá que ir buscando alguna OMV más pequeña porque por aquí necesitamos la cobertura de la red de Movistar.
Gracias por la información.
Buen año!!
Seguridad absoluta:
"No te aferres a nada que no puedas abandonar en 30 segundos si viene la policía".
Contraseñas seguras, autenticación en dos pasos, cifrados asimétricos, etc... todo es ilusión de seguridad.
#46 sí, como ya apunta #3
#23 A lo mejor la tenían cifrada, no tiene por qué estar guardad en texto plano.
#40 . Si a ti te funciona...
1) no te sigo ni en el primer ejemplo, no se corresponde con tu propio procedimiento.
2) eso es inmanejable para el día a día, supongo que las usas en banca electrónica o así. Para accesos no-críticos...
#63 Con una frase tienes flexibilidad ilimitada, incluso puedes hacer referencias a esa página. Por ejemplo, en Menéame. YoenMeneamesoy1ReydelMambo.
#81 La seguridad de los bancos consiste en que no se andan con chorradas, y si fallas la contraseña unas pocas veces, te bloquean la cuenta y te dicen que te pases por la oficina para desbloquearla. Por eso también pueden tener PINs de 4 dígitos en las tarjetas de crédito.
Aparte de que la "entidad financiera catalana" esa que mencionas, tiene una bonita tarjeta de claves que necesitas tener además de la contraseña para poder operar con las cuentas, y eso cuando no te mandan un SMS con un código al móvil.
#84 ¿De cuántas palabras el diccionario? Si tienes uno a mano, cuéntame exactamente cuánto te costaría tirar una pass como esta: "luciendo tal pelo calavera"
#32
#106 "me refiero a que ese varchar o size debería ser 32 como mínimo"
No. Ese "varchar" debe ser del tamaño del hash, no de la contraseña, que nunca debe llegar en plano a la base de datos, mientras que el "size"... puede ser cualquier cosa, mientras no haya un "maxlength" estúpido, o como decía, de menos de unos 1024 caracteres.
Y después están empresas como Vodafone o casas de apuestas como William Hill que no te permiten usar contraseñas seguras (sin símbolos, por ejemplo) debido a que, palabras textuales del soporte técnico, no quieren que sus usuarios tengan demasiadas opciones para las contraseñas y se la olviden con frecuencia.
#26 #1 Juas, de hecho este link: http://www.diegoceldran.es/direct-download/NDIyfGh0dHA6Ly93d3cuZ29vZ2xlLmVz
Te descarga la home de google.es. Chequea ese código porque pueden usar tu server para hacer cosas maliciosas en tu nombre.
#35 a simple vista parece muy robusta, suponiendo que tiene una longitud de 40 caracteres que están en el conjunto [a-z] habrian 26^40 = 3,97 × 1056 combinaciones
Aunque tiene dos problemas:
- No es 100% aleatorio
- Se tarda demasiado en escribir
Curioso artículo... habla de contraseñas y seguridad y no menciona entropía por ningún lado... vamos... que bonita recolección de conceptos sin cita alguna a artículos científicos ni base teórica.
O dicho de otra forma, esto es un refundido de lo que se puede encontrar en la red bastante incompleto y carente de fundamentos básicos. Puede que sea de interés para quien quiera montarse una web pero no para un sistema serio.
#63 Lo suyo es para paginas chorras (foros, meneame, etc) seguramente puedas compartir variaciones.
Para amazon, gmail, paginas importantes, claves especificas para esos sitios que no se parezcan entre si.
#28 Salvo que —mientras no esté directamente sacada de un libro— siempre es mejor usar la frase directamente:
"ESdlAe1dlmpdS-20"
* mayúsculas (27 caracteres con la ñ) + minúsculas (otros 27) + dígitos (10) + caracteres especiales (digamos 10)
* 16 caracteres
* espacio de búsqueda: 74^16 = 2^99
"El Señor de los Anillos es una de las mejores películas del siglo XX"
* palabras por frecuencia: 6 160 1 17 5698 7 15 1 25 745 1812 29 1692 = máximo 5698
* números romanos: digamos que del I al XXX = 30
* 14 elementos
* espacio de búsqueda: (5698+30)^14 = 2^174
#72 A ver... que lo que he puesto es un ejemplo. Yo no uso ese algoritmo, uso otro (que implica mover los dedos sobre el teclado de una forma que ya es memoria muscular) y sí, me funciona. Lo uso en todo sitio que no sea una chorrada: bancos, email (personales y de trabajo), Paypal y similares, Github y similares, etc.
Y no, no es inmanejable. Nunca guardo contraseñas en el navegador (incluso a pesar de tener el disco cifrado y esas cosas) así que a diario uso contraseñas de este estilo al menos una docena de veces. Es perfectamente manejable. Sí, para entrar a mi banco tardo tres segundos en lugar de medio, pero ciertamente, prefiero pararme durante tres segundos y tener una contraseña gigante y única por cada sitio.
Obviamente, en sitios chorra uso una contraseña simple y corta.
#66 En cualquier caso, al mandarla por email ya viaja en claro de un servidor de correo a otro.
#6 Hace unos 2 años no me acordaba de la contraseña de segundamano, clické en el típico no me acuerdo....
Me mandaron la contraseña que tenía en texto plano por email. No me podía creer que a estas alturas de la película una empresa, y más una tan visitada, almacene las contraseñas en texto plano. No se si la LOPD dice algo al respecto, pero me parece bochornoso tener un sistema así.
Si hasta hoy en día hasta almacenar en MD5 es poco seguro, hay bastantes rainbowtables con millones de hashes para comparar y rapidamente sacar la contraseña.
#8 A menos que eso venga de una tecnica memotecnica.
Por ejemplo. El Señor de los Anillos es una de las mejores películas del siglo XX.
ESdlAe1dlmpdS-20.
Hace ya mucho que uso y recomiendo (y enseño) a usar un algoritmo en lugar de memorizar múltiples contraseñas. ¿Para qué aprenderte una, dos o quince contraseñas, si basta con que aprendas UNA forma de generarlas?
Por ejemplo, eliges una frase larga «El gato es mío y me lo follo cuando quiero». Decides que para cada sitio web vas a meter el nombre del sitio entre la frase, y además que la frase la vas a escribir pulsando "atrás,atrás" en cada palabra. Así, para Meneame, quedaría:
- Escribir cada palabra tras pulsar "atrás,atrás": «gafolcuanquierodololomemyíoestoEl»
- Pulsar Inicio, y escribir una letra en mayúscula del nombre del sitio intercalada (pulsando "derecha" tras cada letra): «gMaEfNoElAcMuEanquierodololomemyíoestoEl»
Ale, contraseña de más de 30 caracteres, sin palabras de diccionario, una diferente por cada sitio o servicio, y fácil de recordar porque no recuerdas la contraseña sino cómo la generas.
Por supuesto, este algoritmo se puede adaptar y ampliar todo lo que se quiera, por ejemplo:
- Frase con signos de puntuación e intercalando números: «3l gat0 es mí0, y... ¡m3 l0 f0ll0 cuand0 quier0!»
- Nombre del sitio intercalando números o pulsando la letra siguiente en el abecedario, para que no sea demasiado obvio
- Tener varias frases llave, y usarlas según el caso, por ejemplo: Frase1 si el sitio empieza por vocal, Frase2 si empieza por consonante, Frase3 si es de importancia (email, banco...), etc.
- Estas mejoras nos dejarían algo como: «fN0FlÑcEuBaNnFqui3!r0d0l0l0m3¡..g.aym,í03st03l»
Todo es dedicar un rato de tiempo a pensar en un algoritmo que sea tuyo propio, y hacer pruebas con varios sitios, hasta que veas que no es nada fácil que alguien viendo una contraseña tuya pueda deducir las demás.
Puede parecer una flipada al principio, pero una vez que empiezas a usar tu algoritmo, en pocos días ya te sale solo y sin pensar.
Yo actualmente uso tres frases diferentes, con un algoritmo de varios pasos, que me deja contraseñas inmensas que nunca "olvido". Vale, a la hora de iniciar sesión tardo unos segundos más, pero... también tardo unos segundos en abrir las dos cerraduras de casa, y no por ello voy a preferir cerrar la puerta solo con el resbalón.
Y si un sitio no me permite una contraseña tan larga, una de dos: o me ofrece una validación en dos pasos, o directamente paso de usar ese sitio (sí, me cambié de banco por algo así).
#26 Yo no soy el autor del paper. En su momento me funcionó el enlace. Si ahora no funciona, habrá que ir directamente a la página.
/cc #27
#41 Yo no soy ni el autor del paper ni el dueño de la página.
#45 No, no lo soy.
#63 Hay que diferenciar dos cosas:
- Las frases están para acordarse fácilmente de ellas
- Las contraseñas específicas para cada web están para que alguien (por ejemplo el propietario de la web) que tenga acceso a una contraseña, no pueda probar a usarla en otra web y acceder a ella
Lo que es mejor para un caso, no necesariamente es lo mejor para el otro. Por eso una buena solución es usar un gestor de contraseñas, con:
- Una contraseña principal que sea una frase larga, difícil de adivinar, pero fácil de recordar
- Contraseñas específicas para cada web totalmente aleatorias, de al menos 16 caracteres cada una
#100 Sí, claro. Y si te graban con un keylogger también te pueden sacar todo. Pero estás presuponiendo que haya una misma persona que consiga acceso a mis contraseñas diferentes de varios servicios diferentes, y las suficientes como para establecer un patrón. Te recuerdo que yo uso actualmente tres algoritmos diferentes según el sitio a registrarme, y son algo más enrevesados que el ejemplo que he puesto, que no era más que eso: un ejemplo.
Un atacante, para poder establecer un patrón, necesitaría varias contraseñas de cada uno de los algoritmos, y tendría que tener algunas ideas felices para extraer el algoritmo. Por ejemplo, si un webmaster (esa palabra me suena al siglo pasado ) consiguiese acceso a mi contraseña de Flickr, a la de Menéame y a la de Github, que ya es complicado, aún no podría inferir mi contraseña de email ni de Paypal porque las genero de forma diferente a las de esos sitios.
Una persona a la que le comenté esto cambia su layout de teclado a Dvorak y teclea la contraseña como si fuese un Qwerty... pero solo en uno de sus dos algoritmos. Hay que ser bastante avispado para, viendo una o dos contraseñas totalmente diferentes, inferir ese cambio de layout.
#29 wordpress y woocommerce
#69 llevas razón, los gestores de contraseñas no son fiables. Yo recomiendo escribir la contraseña a mano, y guardar el papel en un sitio seguro.
Sobre la memorización es un tema a parte, si escribes tu contraseña muchas veces acabas memorizandola aunque sean letras sin sentido. Si en algún momento, no te acuerdas puedes acudir a tu hoja de contraseñas. Para mi lo importante es que sea fácil de teclear rápidamente, por eso evito mayúsculas, números, y caracteres especiales y procuro usar solo minúsculas (siempre que sea posible)
Sobre la forma de generar la contraseña, yo uso una aplicación android que yo mismo programe (si no, no me fiaria demasiado).
#71 KeePass
GPL, gratis, offline, con versiones para Windows, OSX, Linux, Android, etc., cientos de plugins para cosas de lo más variopintas, múltiples bases de datos si no quieres guardar todas las contraseñas en una sola.
#27 #1 Contáctame por mensaje privado, tienes un error de seguridad jodidamente grave en ese código, no voy a dar más detalles por aquí...
#46 goto #3
#54 Con un gestor de contraseñas como KeePass, te la escribe solo.
#16 Creo que o no me he explicado o no has entendido el fondo de lo que he dicho.
Discutir que un mecanismo 2FA es la forma correcta de proteger una cuenta a la que se le quiera garantizar unos mínimos de seguridad en el proceso de autenticación, no creo que tenga mucho sentido.
Sobre las formas de implementación del 2FA depende del contexto. Para aplicaciones con pocos usuarios y de ámbito limitado no hay ningún problema en emitir certificados propios. En aplicaciones de ámbito público lo más razonable es el uso de claves TOTP, sean con un token físico (poco práctico) o sean con un token lógico (app móvil/sms).
Sobre qué aplicaciones/negocios deben implementar perfiles de autenticación avanzados y con mecanismos 2FA pues dependerá del perfil de riesgo del caso. Hay sectores donde es algo de-facto como en banca (o en criptomonedas) y otros donde es algo optativo como Google, AWS o similar.
Y sobre que la seguridad de la cuenta del usuario sea responsabilidad del usuario, pues como idea está muy bien. Pero en cualquier entorno empresarial, por ejemplo, esa idea por muy bonita que sea... más te vale forzar medidas que garanticen la seguridad antes de que Paco, el de contabilidad se ponga de password la misma que usa en forodemascotas.com, donde por cierto se ha registrado con el correo de empresa.
#34 o el tipico, contraseña vieja, contraseña temporal, contraseña vieja, a tirar millas.
#41 Sí es serio sí porque permite LFI.
Lo que no tengo claro es que #1 sea Diego Celdrán.
#14 Tranquilo, el próximo te lo harán en GIF. Animado.
#11 te obligan a tener 6 caracteres... NUMÉRICOS!!!!!
En realidad te obligan a tener "6 o más caracteres numéricos". Yo tengo bastantes más de 6.
#88 Lo digo porque hay webs que hacen dicha limitación en el propio código. Por ejemplo ver un "varchar (8)" o "size=8". Y me refiero a que ese varchar o size debería ser 32 como mínimo. Por mucha protección que le pongas luego.
Salu2
#6 En realidad yo creo que eso se asume, el tema es que tu base de datos, aún estando cifrada, caiga en manos de gente poco deseable y puedan armar un ataque de diccionario. Esto se ataja añadiendo una "sal" aleatoria, pero no descarta el ataque en vivo al servicio.
#26 Por curiosidad ¿qué software?
#17 Por ejemplo unacontraseña cómo "tendinitisaltramuzcontuberniomaastrichjesus" sería robusta?
#67 Mediante diccionaria se tendría que generar la frase completa de una vez, no?
#2 En el portal de una conocida entidad financiera catalana que empieza por caixa y acaba por bank (y no doy más pistas), la contraseña está limitada a (creo) 8 caracteres alfanuméricos pero,... si metes mayúsculas o minúsculas TE LO CONVIERTE TODO A MINÚSCULAS!!!!! Con un par. Total, quién necesita seguridad en la web de un banco... si los ladrones suelen estar cerca de los servidores
#3 Sí, con un diccionario tardas mucho en tirar una pass con 4 palabras...
#75 Muchisimas gracias poe tu aporte. Y si fueran palabras inventadas?
Ejemplo en vez de HOUSE OF THE HAUNTED HILL - jausofdejauntedjil.
#47 Es otra idea. Si a eso le añades "algo" que sea único en cada sitio, tipo intercalar las letras del sitio o cosas así para hacer una contraseña diferente en cada web, es parecido a lo que yo planteo
#59 Pero es que no me tengo que acordar de esa frase, sino de cómo se genera. Y no tardo nada en hacerlo, porque es algo que tengo ya interiorizado.
Como decía antes, prefiero tardar un par de segundos más en entrar en casa aunque se me olvide lo que iba a coger del frigo, que dejar la puerta casi abierta.
#81 Y eso lo cambiaron no hace mucho (2 o 3 años). Antes era un PIN de 4 números.
#107 Bueno, realmente debes recordar tres frases, tipo "El gato es mío y me lo follo cuando quiero", "He visto cosas que no creerías, he visto arder naves más allá de Orión" y "Hijo, ¿me respetarás, verdad?"
Luego, basta con saber que uso la primera en sitios personales como el email, Flickr, etc, la segunda para temas laborales como repositorios de código, portales intranet, etc y la tercera en sitios financieros como el banco o Paypal.
Otra opción es que la diferencia sea en la forma de construirla, por ejemplo, si el sitio empieza por vocal usas el atrás-atrás, y si empieza por consonante usas atrás-atrás-atrás.
Cuando llevas una semana usando las frases no te paras ni a pensar, te sale automáticamente la relación. Vas al email y piensas en el gato, vas a Github y piensas en Blade Runner.
Yo lo llevo usando años, de hecho he ido complicándolo desde una sola frase, y actualmente lo uso con total éxito: nunca olvido una contraseña, tengo diferentes en cada sitio, son muy largas...
De acuerdo en que el 99% de gente dice "si tengo que pensar más de 1 segundo no me vale, no jodas, que no estoy en el trabajo". Allá ellos. Yo planteo el método que yo uso y me resulta útil, luego que a otros les parezca útil o un coñazo, ya es cosa de cada uno.
Siempre puedes simplificarlo y usar las típicas iniciales de una frase llave e intercalar el nombre del sitio. No es tan robusto, pero al menos sí es más robusto que el 99% de contraseñas que la gente usa la misma para todos los sitios tipo "123456" o "Contraseña" (esta última es verídica, la usaba un cliente mío).
#8 Además, debemos apuntar que computacionalmente no es lo mismo MeGusta que megusta
Salvo que tu cuenta sea de blizzard.
https://eu.battle.net/forums/en/wow/topic/5035404474
En realidad no hay cultura de la seguridad por parte de los usuarios, y frases como "periquito se merece que lo hackeen" pues creo que no hacen mucho por mejorar la situación. Igual no les hemos sabido transmitir la relevancia de una gestión decente de contraseñas.
Ahora es cuando añado que Mac OS tiene un gestor de contraseñas integrado en keychain que facilita bastante la vida sin tener que buscar herramientas de terceros.
#49 Por favor, que cambie la pass de la BBDD pero ya que hay cierto archivo que está muy accesibe
#28 Duda para los que recomeindan frases:
Como las aplicas en difernetes páginas? porque esa que comentas por ejemplo no me recuerda a nada...
yo uso la misma con unas pocas letras de cada página para así acordarme facilmente y que no sea posible aplicar la misma a todas...pero se me acaban las variaciones, y tengo miedo de que descubran por ejemplo la de gmail y prueben en amazon con el mismo tipo de variación...
#21 Nadie que aprecie su cuenta de Battle.Net la tiene sin el authenticator del móvil. Pero si, menuda pifia.
#64 lo que tiene cojones, es que teoricamente si intentan acceder a tu cuenta desde otro isp o pais te bloquean la cuenta y te mandan un email, pero aun asi hay casos de cuentas robadas no se como.
#18 Entonces lo mejor es apuntarlas en un papel al lado del ordenador, eso es lo que yo hago, eso si es seguro , así no te olvidas de las contraseñas .
#7 trescientas palabras? Lo dudo, por lo menos yo y estoy seguro que la amplia mayoría también, menos los callados
#67 . Aleatoriedad pura implica máxima incomodidad; si no puedes aplicar reglas mnemotécnicas, la memorización es imposible.
Y los gestores de contraseñas en línea o/y de pago no son fiables.
#68 . Muy zorro...
A propósito de contraseñas: nunca he usado un gestor, me daban mala espina como idea, por el hecho de tener que almacenarlas todas en el mismo cesto y usando una herramienta de pago, sujeta a actualizaciones y en línea.
¿Alguien recomienda una alternativa fuera de línea, que no dependa de actualizaciones y cómoda de usar?
#74 me acabo de dar cuenta de la clave que has puesto está formada por palabras completas, en tal caso la fortaleza de la clave es proporcional al número de palabras usadas. Suponiendo que son palabras en castellano sería, mas o menos:
280000^n combinaciones donde n es el número de palabras usadas
Un atacante tendría que probar todas esas combinaciones de palabras. Bastaría combinar unas cuatro palabras para que fuese aceptablemente segura, pero haría falta que las palabras fueran elegidas aleatoriamente, si no corremos el peligro de usar palabras de uso común menguando la fortaleza de clave, y reduciendo el número de combinaciones mas o menos a 300^n
#24 No me he explicado , cada uno tiene su "algoritmo" mental de contraseñas y sus manías, si te lo fuerzan o te lo condicionan, suele pasar dos cosas:
1.- La apuntas.
2.- Se te olvida constantemente.
#81 los bancos podrían tener la excusa del COBOL, pero no cuela.
Una capa de abstracción entre la aplicación web y sus sistemas no tiene porque tragar con las limitaciones que tengan sus obsoletos lenguajes y bases de datos.
#60 ¡Uf, menos mal!... porque soy "una persona muy visual" y me vendrá bien ver a un tío leyendo el paper para entenderlo mejor
#13 No, el tamaño del campo NUNCA debería afectar a la longitud máxima de la contraseña. SIEMPRE debe guardarse solo un hash con salt, que va a tener una longitud fija. La única limitación de la longitud de la contraseña debería ser el tamaño de la petición HTTP, o algo como "máximo 1024 caracteres".
#18 Siempre puedes usar un gestor de contraseñas, sea el del navegador, o KeePass, o cualquier otro, para guardar las contraseñas únicas de cada sitio. Con KeePass puedes crear varias bases de datos, por ejemplo una para "sitios basura" y otra para "sitios importantes", y así no tener que tener la de importantes desbloqueada todo el rato.
#79 La gente es tonta, así es como se roban cuentas. Cuando vas a una web y contratas un servicio de "power-leveling", por el que no solo tienes que pagar sino que tienes que darles acceso para que jueguen con tu cuenta, probablemente desde otro país... pues eso, que hay alguna gente muy tonta.
#40 "un algoritmo que sea tuyo propio"
A menos que seas la persona más inteligente del mundo, y ese algoritmo realmente requiera de la persona más inteligente del mundo para procesarlo... cualquiera un poco listo que vea una o dos contraseñas de webs en las que te registres, y siempre debes asumir que el webmaster puede verlo todo, va a tener una alta probabilidad de sacarte el algoritmo y poder abrir las cerraduras de todos tus servicios presentes y futuros.
Dicho de otra forma: NUNCA JAMÁS uses un algoritmo más simple que los estándares de la industria, que en este momento son AES, SHA2 y parecidos.