Hace 8 años | Por EGraf a youtube.com
Publicado hace 8 años por EGraf a youtube.com

John Oliver entrevista a Edward Snowden y hablan sobre la seguridad y características de una buena contraseña. "A un sistema informático le toma menos de 1 segundo romper por fuerza bruta una clave de 8 caracteres. Hay que cambiar la mentalidad y dejar de pensar en términos de palabra-clave y pasar a pensar sobre frases-clave"

Comentarios

Varlak_

#17 siempre hay un enlace a xkcd o una frase de los simpson

#34 Por algo sera. xkcd es de los comics con mas contenido de todo el interne, y Los Simpsons es posible que sea de las comedias mejor escritas de la historia.

Varlak_

#47 deberian enseñar ambas cosas en clase

Varlak_

#56 es un puto genio de las infografias. Puto genio

#64 Y no porque disegne o dibuje bien. Tiene lo que le falta al 90% de infografias que veo por ahi: CONTENIDO.

Aokromes

#20 Y ademas, tengas que cambiarla cada mes y no puedes repetirla.

forms

#22 y que sea distinta a las otras tres últimas contraseñas mientras saltas dando una voltereta

#18 yo ahora mismo para el banco son 6 números luego te dan consejos de seguridad y tal lol

forms

#26 en eso tienes razón, de echo la fuerza bruta hoy en día bloquearía mas cuentas que otra cosa... aunque el tema es que de algún modo puedan probar si la contraseña es correcta o no sin llegar a ese "bloqueo", sin enviarlo a ese control vamos.

y

#26 Por eso todos ponemos el mes y el año de nacimiento.

D

#30 ¡Juas, pringaos! La mejor contraseña es 1... 2... 3... 4. ¡Ops!

t

#26 Pero el día que se filtre algún hash, la cagaste Burt Lancaster.

Y para eso no hace falta que hackeen la web del banco. Basta que hayas usado la misma contraseña en algún otro sitio de chichinabo, y hackeen ese, y ya tienen el hash. Y si es un hash trivial de descifrar (como lo de que sólo sean números), ya tienen acceso a tu banco.

Nylo

#23 y que sea distinta a las otras tres últimas contraseñas mientras saltas dando una voltereta

¿Tres? ¡Qué suerte! A mí en el curro me piden 5. Y no vale que difieran "un poquito". Eso sí, lo de la voltereta no me lo piden (que igual si sufro un accidente les podría demandar por ello...)

Aokromes

#32 goto #22

eboke

#20, lo de la sangre de unicornio vale, pero lo del caracter no alfanumérico sí que es pasarse.

acc037

#20 Pues así es la mía, sólo que con cuatro gotas, por si acaso.

No, en serio, a mí me pasa al revés, tengo números y letras, al menos una mayúscula y un carácter no alfanumérico, por seguridad, y en algunas páginas no me deja usar esto último, por lo que no puede ser tan segura. Y como dicen, no entiendo cómo, en los bancos, no dejan ponerla más segura que cuatro numeritos...

D

#18 Efectivamente, en el banco ese de color rojo que todos conocemos no te dejan poner una contraseña que no sea numérica. Nunca he entendido el motivo por el cual no se pueden poner caracteres alfanuméricos.. imagino que debe haber alguna explicación técnica para ello.

D

#37 Teniendo en cuenta que tienen cajeros de los 90 y los banqueros usan explorer sin actualizar, no creo que gasten mucho dinero en informática.

r

#18 En el BBVA el máximo son 6 dígitos numéricos. ¡SEIS!

trivi

#18 #53 la diferencia es que los bancos bloquean el acceso tras unos 4 intentos fallidos, así que la fuerza bruta les da para probar 4 combinaciones, fin. Luego te toca llamar al banco para que reestablezcan el acceso y darles los datos que te facilitaron con el contrato.

rob3ro

No tenéis ni idea...

musg0

#31 Acabo de meter al firewall una puta IP rusa que estaba haciendo eso en un Wordpress.
Ahora con las redes de zombies que hay se ponen a hacer intentos con contraseñas conocidas a ver si suena la flauta, y les da igual que metas miles de IPs al firewall de forma automática que ellos siguen intentandolo porque les sale gratis.

ccguy

#55 Ruso-pringao que va a por lo facilito. A veces cuela porque se encuentran admins que no miran los logs jamás ni tienen snort o algún otro sistema básico de detección.

Aokromes

#55 #60 No hay nada como un buen script de Fail2ban, en mi caso, a los 3 fallos de contraseña ip baneada para siempre lol

D

#73 Total, con una buena red de zombies, digamos unos 100.000, solo tendrán 300.000 oportunidades para intentarlo

D

#31 No lo tengo claro pero una de las causas que se manejaba del calebgate de apple fue precisamente esa. Que en una de las opciones de recuperación te debajaba hacer intentos infinitos.

D

que pesao es jorso madre mia!.
Me ha hecho mucha gracia el video lol.

D

#9 Siempre he creído que Jorso está en plantilla de alguien malo, muuuy malo

D

Y donde está el sistema que te deja hacer intentos infinitos? No es tan sencillo.

ccguy

#16 Ni tan dificil, que hay más de una forma de hacer los intentos y no tiene por qué ser interactuando con el sistema. Por ejemplo puedes hacerte con la lista de las hashes de las claves primero y luego atacarlas en local.

Conseguir la lista de hashes puede hacerse con algún exploit específico de la BD o del frontend al que sí tengas acceso, o con ingenieria social...

D

#24 te lo acabas de inventar, no me jodas

amoebius

#24 A no ser que uses un Salt de cierta longitud http://en.wikipedia.org/wiki/Salt_(cryptography)

Entonces se pueden meter su Rainbow table por donde les quepa.

D

#24 Ahí ya partes de un servidor comprometido, o te he entendido mal, y si empezamos así quizás la contraseña es la última de tus preocupaciones.

ccguy

#78 Un servidor comprometido puede ser uno al que tiene acceso un empleado cabreado... o que tiene software con bugs conocidos.

En general hay que trabajar con la premisa de que todo puede estar comprometido.

D

#93 Sí, pero es que si estamos en el peor caso, ya estamos en el peor caso, si el servidor está comprometido lo que pase con mi contraseña es meramente anecdótico. En ese caso, lo mismo ni hace falta mi contraseña porque ya tienen mis datos.

De hecho, recuerdo que algo así ya pasó con gmail, que tenían a un trabajador cabreado con acceso a los correos de ciertas personas.

Tampoco tiene sentido perder el sueño por eso.

ccguy

#94 Si un usuario con mala leche te la puede liar de verdad tienes un problema de configuración o de arquitectura. Los sistemas deben estar diseñados contando con esa clase de usuarios.

p

#97 Esto es como lo del avion. La azafata es dificil que te la lie, pero si es el piloto es dificil de evitar. La seguridad absoluta no existe.

Es dificil que le borren a alguien la cuenta de Gmail. Tendran redundancia y si no un backup, pero pueden extraer datos, salvo que tengan todos los datos encriptados y necesiten un permiso especial para acceder.

a

#59 Para eso tienes soluciones.

Por ejemplo, la más antigua es pwdhash (https://www.pwdhash.com/) Es un javascript que se ejecuta en tu navegador. Si no te fías (que parece razonable no fiarse en estos tiempos que corren) te lo puedes instalar tú mismo en un servidor. Pero, aún más fácil, hay apps para android y para escritorio.

Consiste en lo siguiente: en el campo "site address" pones algo que identifique la cuenta, el sitio web, etc Obviamente, tienes que saber cómo lo identificas y hacerlo siempre de la misma manera. En el campo "site password" pones tu tocho-contraseña de verdad, obtenida con diceware o lo que quieras. Y te genera una contraseña específica para el sitio/cuenta/servicio que has identificado en "site address"; cortas, pegas y limpias el portapapeles; y ya "estás hecho", como dicen los ingleses

La contraseña generada es dura por ser bastantes caracteres de un alfabeto amplio que siguen el principio de oráculo aleatorio (vamos, que parecen generadas al azar).

Hay soluciones similares a esta. La filosofía es muy sencilla: acuérdate sólo de una (o varias) contraseñas realmente fuertes y la aplicación te genera las contraseñas específicas.

p

#65 Yo no he encontrado el algoritmos para sacar la contraseñña manualmente. Me gustaria por si falla el sistema. Tambien puedo recurrir la correo. Hay otra extension Hashpwd que no da los mismo resultados.

Esto deberia ser de serie en los navegadores y que no salga la contraseña del navegado. El servidor envia un salt y la procesa el navegador y se la envia salteada. Aporta muchas ventajas
- Si el servidor se compromete, se puede refrescar con la misma contraseña, el servidor debe cambiar el salt y no se enteraria que no es la misma contraseña.
-No da pistas si las contraseñas son animales, nombres de chica, maquinaria de combate o lo que sea. Cada uno tiene su tendencia.
-Si pusiese contraseñas del Tipo Web-contraseña, eso no transcenderia al servidor.

Deberia tener dos Salt una para cada servidor diferente y que repetiria siempre con ese servidor y otra para la sesion que cambiaria en cada sesion.

S

En una auditoria que hice no hace mucho ... las contraseñas hasheadas sin salt y encima eran de 6 caracteres... conclusion 0 segundos tirando de hashkiller.co.uk

a

#52 Nada de eso. Es justamente lo que se pretende evitar.

Parece fácil porque "sólo" son 7666 palabras. Eso te lo recorres en un pis pas. Pero es que no hay una única palabra en la contraseña, sino varias.

Piensa que tu contraseña estuviera formada por 2 palabras siguiendo este método. El atacante tiene que probar todas las combinaciones de 2 palabras contenidas en esa lista de 7666. Esto es 7666^2 = 58767556. Sigue siendo fácil.

Pero la dificultad se incrementa exponencialmente con el número de palabras de la contraseña. En mi caso de 7 palabras las posibles combinaciones son:
(7666)^7 = 1555900084649503124446512256 ~ 1500 billones de billones (españoles) de posibilidades.

Eso ya es más chungo

Guetta

#54 vale si, no parece malo, el problema que veo es que si tienes 20 cuentas, te tienes que acordar de 20*7 = 140 palabras aleatorias para los distintos sitios y además si quieres ser un poco riguroso deberías cambiarles cada cierto tiempo, es cierto que con reglas nemotecnicas puedes aprenderte una hostoria con esas 7 palabras pero aún así lo veo un poco dificil la verdad

Lo suyo sería que metieran verificación en 2 pasos o Latch a todos los sitios y no dejaramos de complicar tanto la vida con contraseñas

Sofrito

Todo eso está muy bien, pero yo he llegado a una conclusión importante: la vida es más bella si usas contraseñas cortas.

Por ejemplo, imaginad que vuestra contraseña es: "borriquito como tú, que no sabe ni la u" (very strong password).

sudo su (borriquito como tú, que no sabe ni la u)
desbloquear móvil (borriquito como tú, que no sabe ni la u)
entrar en hotmail (borriquito como tú, que no sabe ni la u)
...

los muertos del borriquito.

D

#66 Además que depende donde la uses, la tendrás que escribir varias veces delante de otras personas porque será fácil equivocarte.

Y por cierto, me acabo de acordar que yo tenía una contraseña muy larga para mi cuenta de hotmail hace muchos años. Sin embargo me dejo de funcionar cuando cambiaron la web, me costó un poco (fue casualidad) darme cuenta de que antes el campo solo te permitía poner como 30 caracteres, y el resto de mi contraseña no se escribía. Luego lo ampliaron, y la contraseña fallaba por los caracteres extra. lol

D

#74 "...podría haber usado desde el principio."

Salvo porque no deberías usar la misma contraseña en más de un sitio a la vez... más que nada por aquello de que nunca puedes estar seguro de cómo guardan tu contraseña en cada sitio, ni de si no habrá algún capullo que la use para ver si puede entrar en otros servicios en los que estés registrado.

Pero si no quieres acceder a "tooooodas" tus contraseñas con la misma contraseña maestra, siempre puedes crear varias bases de datos (al menos en KeePass) para grupos de contraseñas, cada una con su contraseña maestra diferente. Sin tener que compartirla con varias webs a la vez.

t

#86 Si al final tenemos que usar sistemas de claves externas, de autenticación en dos pasos, o biométricos, da igual si en todas partes usamos el mismo esquema, porque la clave la llevamos nosotros "puesta", no se guarda en ningún sitio.

Ahora mismo no se hace por farragoso, pero visto el percal, no va a quedar más remedio que autenticarse en los sitios así.

D

#88 Da igual cuántos pasos (o factores) utilices para autenticarte, el resultado de todos ellos tiene que estar guardado en el sitio contra el que te autenticas.

O sea, que por mucho que uses dos pasos, biométricos, etc., si tienes que hacerlo en 10 webs diferentes, TODAS ELLAS tienen que tener los datos para verificar que tu autenticación es válida. Por tanto, todas ellas podrán replicar esa autenticación ante cualquiera de las otras sin tu intervención, da igual la cantidad de factores o pasos que utilices.

Un gestor de contraseñas, y usar contraseñas diferentes en cada web, impide eso... y ya que no tienes que recordar las contraseñas, puedes usar tranquilamente unas aleatorias de 128bit, que por fuerza bruta no las saca nadie.

t

#89 Eso no es así.

Lo que tú describes es un sistema de clave simétrica, donde hay una contraseña para identificarse, que debe ser conocida por las dos partes de la comunicación. Pero hay sistemas de doble clave, en los que cada parte tiene dos claves: una clave privada, y otra pública. La privada sólo la sabe él, y la pública la sabe todo el mundo, y tienen la particularidad de que lo que cifras con la privada sólo se puede descifrar con la pública, y viceversa.

¿Cómo hacemos funcionar el cotarro? Tú te registras a tu GMail/loquesea, dándoles tu clave pública, que es la que guardan. La privada la llevas en una tarjeta o un USB. Cuando quieres entrar, GMail te da una cadena de texto, tú la cifras con tu clave privada, y ellos la descifran con tu clave pública, con lo que les demuestras que eres tú y te dejan entrar. Tu clave privada nunca ha salido de tu ordenador, y ni mucho menos se guarda en los servidores de nadie.

Este esquema es más viejo que el cagar (de hecho es el que usa HTTPS, el DNIe y otras hierbas), pero en la práctica no se utiliza porque es algo farragoso eso de andar con la tarjetita continuamente. Pero cada vez vamos más hacia allí.

D

#90 "es más viejo que el cagar [...] pero en la práctica no se utiliza"

Ese es el tema, no se utiliza no solo porque el usuario no quiera, sino porque la mayoría de servicios ni siquiera lo permiten (hoy en día).

Salvo honrosas excepciones como Google, que ya soporta llaves FIDO:
https://support.google.com/accounts/answer/6103523?hl=en
https://fidoalliance.org/

p

#90 Tambien se puede usar con claves recordables, aunque en el registro habra que enviar la contraseña simetrica de alguna forma aunque se encriptada.

El servidor te manda un Salt, se lo aplicas a tu contraseña, le mandas el resultado y el hace lo mismo con la contraseña que tienen guardada, si le da lo mismo que es que los dos conocen las contraseña. Se ha podido hacer sin enviarla al login.

El https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange se puede usar para intercambiar la clave.

Supongo que la asimetrica tiene sus ventajas, pero el que explico evita tener que guardar una clave de 500bit o mas y que es imposible de recordar.

Tambien lo explico en #105

ecam

#46 Si es un algoritmo que tu puedes hacer "de cabeza", un ordenador lo podra relacionar.
Y si aplicas variaciones o el algoritmo es complejo, al final es tan dificil como recordar claves del tipo dsSDEdxcvdiD$%!dfsd.

zeodryen

Mis contraseñas se generan mediante algoritmo aplicado a la URL del site. Ejemplo chorra: si el site es meneame.net, el pass sería m2n21m2.n2t
Así ningún password es igual y es facil acordarse de todos

ecam

#43 Y solo hace falta conocer el algoritmo para romperlas todas

zeodryen

#45 Si pones un algoritmo complejo es probable que no lo relacionen con la URL. Además, aplico distintas variaciones del algoritmo según la temática de la página

Guetta

#43 hago lo mismo, pero a veces surgen incompatibilidades, por ejemplo en algunas tiene un minimo de cracteres variante, o tienes que añadir un simbolo especial, o solo pueden ser numeros

¿qué haces para acordarte en esos casos que se debe aplicar un algoritmo distinto?

timonoj

Estoy con #43. Yo uso unas palabrejas que tienen sentido para mi, seguidas de un algoritmo de la página donde estoy. Suelen ser contraseñas largas, pero fáciles de recordar. Y son todas diferentes...y chungas si no eres yo.

Guetta

#58 ¿y que haces cuando a veces surgen incompatibilidades?, por ejemplo en algunas tiene un minimo de caracteres variante, o tienes que añadir un simbolo especial(o no se puede añadirlo), o solo pueden ser numeros, etc..

timonoj

#61 en mi caso hago excepciones...Tengo como dos o tres excepciones por el momento, no es un problema serio. Por el momento no me he metido a usar símbolos en general por el problema de que en algunos sitios no te los tragan, y no quería tener que cambiar el formato y luego recordar en qué sitios aplican reglas diferentes.

t

#62 Eso va muy bien para el correo y el Facebook. Pero luego tienes que entrar a ese servicio al que accedes poco y te diste de alta hace tiempo... y resulta que ya no te acuerdas muy bien de cuál era el algoritmo que usaste. O resulta que tenía alguna restricción que te obligaba a hacer una excepción, pero como no te acuerdas ni de que la tenía, pues no hay manera de sacar el password. Y acabas bloqueando la cuenta, o reseteando el password cada vez que quieres entrar, o apuntando los passwords en algún sitio, por lo que volvemos a estar como al principio.

SpanishPrime

#43 B52n1 4d21!

D

#3 Joder con la prepotencia de algunos que se creen dioses de menéame con enormes karmas (egos).

a

8 caracteres auténticamente aleatorios entre un alfabeto amplio (> 64 caracteres) son más de 48 bits de entropía. No es un récor pero no se destripan en 1 segundo, sea cual sea la máquina que usen.

Una frase larga pero predecible es más fácil de reventar (tipo "los Lannister siempre pagan sus deudas").

Una buena forma de construir una clave larga, relativamente fácil de memorizar y con un mínimo de entropía garantizado, es el método de "diceware" (http://world.std.com/~reinhold/diceware.html). Mediante 5 dados (normales, de 6 caras) y una lista de 7666 palabras comunes (palabras o conjunto de caracteres tipo "42") de entre 2 y 8 letras te puedes construir una contraseña todo lo potente que quieras. Eso sí, tienes que memorizarla.

Cada palabra de contraseña añade 13 bits (~ log2(7666) ) de entropía. Yo uso una de 7 palabras que dan ~ 90 bits. Tienen que pasar generaciones de ordenadores para craquear eso.

Hay listas de palabras en varios idiomas. También español.

Guetta

#48 pero el problema de eso es que te hagan un ataque por diccionario y te la revienten más rapido incluso, no?

D

#48 El problema sería saber que es una frase predecible, sin información suficiente hasta podría pensar que la frase es aleatoria, ya que es posible (aunque poco probable) que aleatoriamente salga una frase con sentido.

Es que podría ser una frase predecible, el nombre de un familiar, una fecha obvia (con los muchos formatos que pueda tener), la primera letra de una frase predecible, etc. Y cada caso contará con distintos ataques que tengan mejor resultado en ese caso.

BillyTheKid

Me encanta el John Oliver

D

#7: A mí me parece que aquí se excede intentando dar grima.
Normalmente no hace tan de estúpido (me refiero a la entrevista en conjunto).

BillyTheKid

#3 tiene razon #0. Yo sigo a John Oliver. En la pagina de hbo oficial lo dice claro, son unos minutos oficiales al otro video oficial
http://m.hbo.com/last-week-tonight-with-john-oliver/
Ver en discussion

o

Lo mejor es poner la contraseña "Chuck Norris". Ningún hacker se atrevería a vulnerar una contraseña así.

D

Snowden=Grafeno=Linux

Fisionboy

Pfff. A mi estas cosas me dan igual, yo siempre pongo la misma contraseña: ************

D

1 segundo para 8 caracteres? Será en un supercomputador no?

I

#10 habla de permutaciones en palabras comunes, lo que viene siendo un ataque por diccionario con variaciones.

De todas formas, un segundo se me antoja poco para un ordenador doméstico, quizás dos

D

El problema de las contraseñas es que al principio no hay problema. Una contraseña compleja, que sea fácil de recordar y cambiarla cada uno o dos meses. Poco a poco se van acumulando contraseñas y ya no es tan fácil recordarlas todas. Después pasas a tener una tonelada de contraseñas y acabas hasta las narices de tener que reiniciar las que se te van olvidando y lo mandas todo a la mierda.

La solución: utilizar un gestor de contraseñas como LastPass.

t

#42 Pero entonces todo depende de una contraseña única, que te da acceso a tooooodas tus contraseñas. Y como es importante, debe ser una contraseña robusta. Y hay que rotarla de vez en cuando.

Y resulta que al final estás igual.

D

#68 LastPass Premium (12 euros al año) soporta autenticación multifactorial, de forma que tus contraseñas están protegidas por algo más que una simple contraseña. Puedes utilizar Google Authenticator o una YubiKey entre otros.

t

#72 Yo lo que veo son niveles y niveles adicionales de contraseñas. Guardo mi contraseña en un repositorio de contraseñas, que está protegido por contraseña. Pero como no es seguro, protejo el repositorio de contraseñas mediante un servicio adicional, que no es más que otra capa más en la que, en algún momento, tendré que entrar con contraseña o con algún mecanismo molón (biométrico, en 2 pasos o con llave externa), que total podría haber usado desde el principio.

D

#42 Mejor aún: KeePass, que es software libre, abierto, también multiplataforma, no te ata a un servicio de terceros, y encima es gratis.

D

#87 De forma oficial KeePass no es multiplataforma, es para Windows, lo que pasa es que hay ports para otras plataformas y estos pueden ser libres y gratuitos o no serlo. Por ejemplo, KyPass (iOS y OS X) no es ni libre ni gratuito.

Luego tienes los paquetes multiplataforma no oficiales que, como su nombre indica, no son oficiales y están soportados por terceros. Así que con KeePass en que te sales de Windows pasas a depender de terceros con lo que no tienes garantizado nada.

D

#92 Sí y no.
Oficialmente KeePass es para: Windows, Linux, OSX, BSD, etc. (cualquier cosa que soporte Mono), o sea que bastante multiplataforma.
Claro que nadie impide vender KyPass para iOS/OSX, como nadie impediría vender versiones para Windows, Linux, etc.
Ni tampoco nadie obliga a pagar por KyPass, habiendo otras 6 alternativas, al menos una de ellas gratuita (MiniKeePass) y al menos una libre (PassDrop).

javipe

El problema no es generar una password compleja, siempre las he tenido complejas y buscando cadenas largas usando frases como dice Snowden. El problema es que hoy en día tienes que hacer decenas si no quieres reutilizarlas lo cual es casi tan malo como usar una password no suficientemente compleja.
Al final he optado por uno de los muchos programas de gestión de contraseñas y mi vida es bastante más facil en ese sentido. Al final te das cuenta de que el número de contraseñas que tienes es superior a la centena a nada que hagas uso de muchos servicios.
Es curioso además que hoy en día haya servicios (y estoy hablando de bancos) cuya contraseña no permita más de 8 caracteres y no permita el suso de simbolos...

D

#75 Sin embargo esos bancos muy seguramente tendrán otras medidas de seguridad. En mi opinión se le da mucha importancia a la contraseña, mucho más de la que tiene, y pasa lo que comentan algunos terminamos usando contraseñas muy difíciles de recordar pero que igualmente son fáciles de romper.

En el caso de usar carteras de contraseñas es lo mejor para la mayoría de los casos, pero también tiene sus problemas. Yo procuro aprenderme algunas contraseñas que muy probablemente voy a necesitar, otras fáciles que no me importan tanto (no voy a llorar por mi contraseña de 4chan gold ), y todo lo demás generado aleatoriamente.

javipe

#79 hay bancos con muy buenas medidas. Algunos tienen la tarjeta de coordenadas que como usuario me parece incómoda ya que te obliga a llevarla contigo. También se ha puesto de moda la autenticación en dos pasos mediante un sms. Me gusta más porque siempre tengo el móvil conmigo.

Pero repito que también hay algunos en los que puedes operar con una triste contraseña de 8 caracteres y sin símbolos

D

#82 En esos bancos, yo no tengo cuenta. Tenía en alguno, pero ya no.

Es una de las cosas en las que me fijo para guardar más de 50€.

D

editado

h

El sistema donde guardaban las fotos las famosas del celebgate al parecer.

D

QWERTY no está mal. A nadie se le ocurriría, como tampoco mi nombre + 69. Imposible de adivinar!

Snow7

D

#83 De todas formas hay más cosas, no es un tema de centrarse solo en que inicien sesión, vale, inician sesión con tu cuenta ¿qué hacen con el dinero? si lo envían a otra cuenta están cantando de quién es, si lo envían a una cuenta rusa o algo que podamos dar por perdido será una operación con mayor retraso y seguramente salte alguna alarma. También desde el punto de vista de un usuario estás muy protegido ante robos, lo más probable es que el banco tenga un seguro y te cubra, tienes que denunciar claro. Y adivinar 8 caracteres, tampoco es que sea fácil con 3 intentos.

Aunque por supuesto que hay muy malas prácticas, recuerdo un caso de un banco en el que te autenticabas y luego podías acceder a datos de otras cuentas modificando la petición de la url manualmente. Se verificada que habías iniciado sesión, pero no que los datos a los que accedías eran tuyos.

t

frase-clave "abrete sésamo"

visualito

Las malas contraseñas son las de derecha, las buenas las de izquierda

D

#3 pero todas esas caen en una de dos categorías:
- son la que enlazas en #1 (que es diferente a ésta según #2 y además está bloqueado).
- se cerraron por ser o creerse duplicadas de la que enlazas en #1.

¡Creo! En la búsqueda salen muchas cosas que no tienen nada que ver y no sé si he visto todas.

D

#1 siempre tiene que haber un comentario chivato de mierda de este tipo

Trimax

#14 Exacto, hay algunos que sólo abren la boca para votar negativos. Este además es de los que dispara primero. Sólo hay que mirar un poco su historial de comentarios. Nunca comenta para aportar o construir. ¡Cuánto me gustaría poder bloquear los comentarios de ciertos usuarios, este sería de los primeros!

1 2