Una de las ideas sobre seguridad en la red más implantada es que cuanto más a menudo cambiemos nuestras contraseñas mejor. Pero Lorrie Cranor, Jefa Tecnológica de la Federal Trade Commission (FTC) y profesora de Ciencias de la computación de la Universidad Carnegie Mellon en Pittsburgh, Pensilvania, asegura que esto no es así.
Una verdad como una casa. Mi empleador me obliga a mantener unos cuantos passwords, que no son pocos, me obliga además a cambiarlos varias veces al año y se supone que no debo apuntarlos en ningún sitio.
¡¡JA!!
RECONTRASUPEREVIDENTEMENTE que tengo una lista de passwords sencillos, muy parecidos entre sí, que voy RE-usando con la frecuencia que el "no uses uno de los passwords anteriores" me permite. A ver si se creen que mi cabeza es una memoria de ordenador o qué. Esta lista no ha cambiado en años.
Hay dos problemas que no se están teniendo en cuenta en el artículo. Que además en mi experiencia (digamos que amplia) parte de un error de base: el usuario no es un experto en seguridad.
Y de eso se derivan 2 problemas.
El primer problema, relativamente subsanable, es es que la gente no crea buenas contraseñas y por eso les obligas a cambiarlas. Si la mayoría de la gente crease buenas contraseñas no tendría ningún sentido obligar a cambiarlas. Y es muy implantar políticas de contraseñas robustas y que sean respetadas por los usuarios.
El segundo problema, con una solución muy compleja, es que la gente reutiliza las contraseñas y que, obviamente, tú puedes garantizar que las transmites y las almacenas con calidad. Pero no te puedes hacer responsable de lo que hagan los otros 20 sitios donde tu usuario ha podido reutilizar la contraseña.
Mecanismos de 2FA vienen a intentar solucionar ambos problemas, pero incrementan los costes y reducen la usabilidad.
#2Y es muy implantar políticas de contraseñas robustas y que sean respetadas por los usuarios.
Es muy, desde luego. Uno de los sistemas que uso a diario venía con un password de los rebuscados que se supone debía recordar de memoria. Pues no, va a ser que lo va a recordar su p... madre. Así que lo cambié por otro que ya me sabía (la única forma de asegurar que no lo vas a olvidar), un password bueno, nada facil de adivinar. Pues me lo rechazó porque tenía letras repetidas. ¡Oh, cuanta seguridad!, así que le puse otra cosa que conoce todo el mundo a mi alrededor y eso sí que me lo aceptó.
No es seguridad, son ganas de tocarle los genitales al personal. Aquí la única necesidad que hay es la de los Responsables de Seguridad de salvar su culo si pasa algo, demostrando que ellos han hecho todo lo posible. Puro postureo.
En mi anterior trabajo nos obligaban a cambiar la contraseña cada tres meses y al final las teníamos todos apuntadas en un postit delante del ordenador.
Otra cosa que odio es la estupidez de obligar combinaciones de mayúsculas, números y símbolos. Hablando con gente que sabe del tema, a fuerza bruta se puede romper cualquier contraseña y la seguridad está en la longitud de la cadena. Es muchísimo más difícil de romper "estaesmiclavesecretaquenadieconoce" que "m1clAv3!"
Una es fácil de recordar y la otra tienes que apuntarla o andar pidiendo que la reseteen porque no te acuerdas. Es relativamente fácil "pinchar" tu ordenador y pillar tu clave cuando se resetea.
#5 Las reglas que se aseguran de que haya al menos un dígito, al menos un símbolo de puntuación, al menos una minúscula y al menos una mayúscula, lo que realmente signfican es que te busques un final de tus passwords que lo cumpla. Por ejemplo podría ser ".K7h" que cumple todo lo anterior. Busca alguno que tenga sentido para tí. Lo recordarás a base de usarlo siempre, toda la vida.
Así tus passwords serán del tipo: hamster.K7h caballito.K7h ratita.K7h gatito.K7h perrito.K7h etceterita.K7h
que pasarán todos los filtros. Reusar a placer. Ningún problema para recordarlos.
y no, de ninguna manera estás mermando la seguridad de la empresa para nada.
#5 A mas cantidad de caracteres se utilicen mas dificil es que te lo saquen por fuerza bruta. Si por ejemplo solo pones numeros en una contraseña de 8 caracteres tendrías 108 contraseñas posibles. Mientras que si le metes letras tambien estamos hablando de 378. Pues tu imaginate si metes mas caracteres al juego. Precisamente a mayor numero de caracteres tenga el juego utilizado menos cantidad de caracteres tendras que memorizar para que sea segura.
Y precisamente lo que tienes que evitar son palabras reales. Si usas palabras juntas reales hay diccionarios para ello y hay software que pasandoles diferentes palabras te generan diccionarios con las diferentes posibilidades. Hay que evitar en todo lo posible que el atacante pueda usar diccionarios pequeños.
cambiar esta práctica puede hacer que a la gente le parezca que se está cuidando menos la seguridad, y eliminar este requerimiento les obligaría a dar muchas explicaciones a los menos dados a la materia
Este es el principal problema de los profesionales de IT, tener que dar explicaciones a legos que en algunas ocasiones pretenden saber más que tú
Comentarios
Una verdad como una casa. Mi empleador me obliga a mantener unos cuantos passwords, que no son pocos, me obliga además a cambiarlos varias veces al año y se supone que no debo apuntarlos en ningún sitio.
¡¡JA!!
RECONTRASUPEREVIDENTEMENTE que tengo una lista de passwords sencillos, muy parecidos entre sí, que voy RE-usando con la frecuencia que el "no uses uno de los passwords anteriores" me permite. A ver si se creen que mi cabeza es una memoria de ordenador o qué. Esta lista no ha cambiado en años.
Hay dos problemas que no se están teniendo en cuenta en el artículo. Que además en mi experiencia (digamos que amplia) parte de un error de base: el usuario no es un experto en seguridad.
Y de eso se derivan 2 problemas.
El primer problema, relativamente subsanable, es es que la gente no crea buenas contraseñas y por eso les obligas a cambiarlas. Si la mayoría de la gente crease buenas contraseñas no tendría ningún sentido obligar a cambiarlas. Y es muy implantar políticas de contraseñas robustas y que sean respetadas por los usuarios.
El segundo problema, con una solución muy compleja, es que la gente reutiliza las contraseñas y que, obviamente, tú puedes garantizar que las transmites y las almacenas con calidad. Pero no te puedes hacer responsable de lo que hagan los otros 20 sitios donde tu usuario ha podido reutilizar la contraseña.
Mecanismos de 2FA vienen a intentar solucionar ambos problemas, pero incrementan los costes y reducen la usabilidad.
#2 Y es muy implantar políticas de contraseñas robustas y que sean respetadas por los usuarios.
Es muy, desde luego. Uno de los sistemas que uso a diario venía con un password de los rebuscados que se supone debía recordar de memoria. Pues no, va a ser que lo va a recordar su p... madre. Así que lo cambié por otro que ya me sabía (la única forma de asegurar que no lo vas a olvidar), un password bueno, nada facil de adivinar. Pues me lo rechazó porque tenía letras repetidas. ¡Oh, cuanta seguridad!, así que le puse otra cosa que conoce todo el mundo a mi alrededor y eso sí que me lo aceptó.
No es seguridad, son ganas de tocarle los genitales al personal. Aquí la única necesidad que hay es la de los Responsables de Seguridad de salvar su culo si pasa algo, demostrando que ellos han hecho todo lo posible. Puro postureo.
En mi anterior trabajo nos obligaban a cambiar la contraseña cada tres meses y al final las teníamos todos apuntadas en un postit delante del ordenador.
Otra cosa que odio es la estupidez de obligar combinaciones de mayúsculas, números y símbolos. Hablando con gente que sabe del tema, a fuerza bruta se puede romper cualquier contraseña y la seguridad está en la longitud de la cadena. Es muchísimo más difícil de romper "estaesmiclavesecretaquenadieconoce" que "m1clAv3!"
Una es fácil de recordar y la otra tienes que apuntarla o andar pidiendo que la reseteen porque no te acuerdas. Es relativamente fácil "pinchar" tu ordenador y pillar tu clave cuando se resetea.
#5 Las reglas que se aseguran de que haya al menos un dígito, al menos un símbolo de puntuación, al menos una minúscula y al menos una mayúscula, lo que realmente signfican es que te busques un final de tus passwords que lo cumpla. Por ejemplo podría ser ".K7h" que cumple todo lo anterior. Busca alguno que tenga sentido para tí. Lo recordarás a base de usarlo siempre, toda la vida.
Así tus passwords serán del tipo: hamster.K7h caballito.K7h ratita.K7h gatito.K7h perrito.K7h etceterita.K7h
que pasarán todos los filtros. Reusar a placer. Ningún problema para recordarlos.
y no, de ninguna manera estás mermando la seguridad de la empresa para nada.
#5 A mas cantidad de caracteres se utilicen mas dificil es que te lo saquen por fuerza bruta. Si por ejemplo solo pones numeros en una contraseña de 8 caracteres tendrías 108 contraseñas posibles. Mientras que si le metes letras tambien estamos hablando de 378. Pues tu imaginate si metes mas caracteres al juego. Precisamente a mayor numero de caracteres tenga el juego utilizado menos cantidad de caracteres tendras que memorizar para que sea segura.
Y precisamente lo que tienes que evitar son palabras reales. Si usas palabras juntas reales hay diccionarios para ello y hay software que pasandoles diferentes palabras te generan diccionarios con las diferentes posibilidades. Hay que evitar en todo lo posible que el atacante pueda usar diccionarios pequeños.
Qué novedad...
cambiar esta práctica puede hacer que a la gente le parezca que se está cuidando menos la seguridad, y eliminar este requerimiento les obligaría a dar muchas explicaciones a los menos dados a la materia
Este es el principal problema de los profesionales de IT, tener que dar explicaciones a legos que en algunas ocasiones pretenden saber más que tú