EDICIóN GENERAL
176 meneos
4151 clics
El creador de las contraseñas que incluyen letras, números y caracteres especiales reconoce que no son tan seguras

El creador de las contraseñas que incluyen letras, números y caracteres especiales reconoce que no son tan seguras

Bill Burr fue el encargado de escribir un informe para el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST), en el año 2003, en donde recomendaba las medidas de seguridad más efectivas para crear una contraseña. Ahora, catorce años más tarde, se ha arrepentido.

| etiquetas: contraseñas , letras , números , seguridad
Comentarios destacados:                                
#4 Viene a decir lo mismo que esta ya clásica viñeta de xkcd.
La más segura siempre será 1111. Nadie se imagina que puedas ser tan tonto como para usarla.
#2 Yo he cambiado la mía **** por ****, me parece más segura
#3 HOSTIA! así que cuando pones tu contraseña te lo reemplaza por asteriscos?{wow} Voy a probar con la mia: hunter1

:-D
#46 Hola!!! Generación IRC ¿eh?
#55 Si señor, troleo mitico donde lo haya jejeje
#59 conoces esta web?: bash.org/?top
#59 #46 O el famoso "Pulsa ALT+F4 para hacerte Op en el canal"... ¡¡jajajaja!!.
#55 Generación "abuelo cebolleta".... Que empecé en internet (e IRC) en un mainframe con terminales de fósforo verde y teclados de buckling spring...

De hecho mi cuenta de correo mas vieja (y que aún conservo) ya tiene 25 años.
#2 ¡Ja! La mía son los ocho últimos números de pi.
#11 La mayor chorrada que he leído en menéame, esos los conoce todo el mundo.
#11 #13 6295141.3

Lo sé, mi chorrada es aún mayor, pero no he podido resistirme :foreveralone:
#11 Pi es un número, serán dígitos.
#18 Cifra.
#41 #18 #11. Guarismo, que es una palabra preciosa.
(Guarismo, cifra y dígito son sinónimos)

● guarismo.-
(Cf. algoritmo).
2. m. Cada uno de los signos o cifras arábigas que expresan una cantidad.

● dígito.-
(Del lat. digĭtus, dedo).
1. m. Mat. número dígito, el que puede representarse con un sólo guarismo.

● cifra.-
(Del b. lat. cifra, este del ár. hisp. ṣífr, y este del ár. clás. ṣifr, vacío).
1. f. Número dígito.
2. f. Signo con que se representa este número.
3. f. Escritura en que se usan signos, guarismos o letras convencionales, y que solo puede comprenderse conociendo la clave.
#65 Guarismo, siempre me gustó esa palabra, por desgracia está quedando como un cultismo.
#92. Bueno, comparte raíz con "algoritmo", que también lo era hasta que se hizo popular por el mucho uso.
A veces es cuestión de proponérselo y usarlas más.
La influencia anglosajona no ayuda, impone unas voces sobre otras, si hay parecidos.
#41 no, primero pones la contraseña y después se cifra
#18 Me parece un batiburrillo matemático, son números tanto Pi como sus digitos.
#18 Bueno, no sé si lo que dije es 100% correcto pero recuerdo este artículo de Microsiervos.

www.microsiervos.com/archivo/ciencia/numeros-en-pi.html
#66 El contexto es diferente. En tu comentario, esa interpretación quedaría muy ambigua.
#11 pues no es segura, un ataque por fuerza bruta la rompe fácilmente en un plis.
#11 Yo soy más de Tau, pi lo carga el diablo.
#2 Los hackers automatizan las cosas y los diccionarios para la fuerza bruta siempre incluyen las "contraseñas tontas", también 1111. No es una cuestión de imaginación.
#29 El dia que aquel problema de ¿P=NP? sea resuelto afirmativamente, ya estamos poniendo los euros debajo del colchón.
#2 Pues aunque parezca gracioso, un programa que pruebe claves automáticamente tomando en cuenta que debe incluir al menos una letra minúscula, al menos una mayúscula, al menos un número y al menos un signo de puntuación y al menos 8 caracteres, jamás encontrará la clave "1111" ni "1234" ni "password".
#34 Cuéntanos más.
#42 Pues eso... que si vas a hacer un programa que pruebe claves y sabes que las claves tienen que contener al menos una mayúscula, probar claves que no tengan ninguna mayúscula es una pérdida de tiempo así que lo evitas.
#63 #42 Es curioso pero eso no siempre se cumple, muchos sitios actualizan su política para crear contraseñas nuevas pero no obligan a modificar las que ya existían.
#34 Si la web en cuestión exige tener una letra minúscula, al menos una mayúscula, al menos un número y al menos un signo de puntuación y al menos 8 caracteres, nunca podrás tener de clave 1111 :shit:
#63 Claro... entonces eliminas la limitación y el que quiera probar va a tener una cantidad mucho mayor de claves posibles para probar.
#73 Sí, pero entonces la gente tendería a ponerlo todo en minúsculas y las claves serían mucho más fáciles de sacar :-(
#78 No todas. Si sabes que la gente tenderá a ponerlo todo en minúsculas, seguro que tu meterás una mayúscula por ahí. Así que jamás sacarán tu clave.

El hecho de forzar unas condiciones para las claves no hace que sean más seguras. Lo que hace es reducir las claves posibles y que el que quiera usar una clave más segura que lo normal no pueda.
#80 Puedes usar una clave más segura, tan sencillo como usar una frase que tenga una mayúscula y un número y un signo por ahí. Además no se trata de lo que es mejor para una persona (el que ponga la mayúscula) sino para todos los usuarios.
#34. El caso es que tampoco le habría permitido el sistema al usuario fijar esa clave previamente, porque no hubiera sido válida.
#69 Si eres el admin si ;)
Viene a decir lo mismo que esta ya clásica viñeta de xkcd.  media
#4 Además de que ningún servicio web debería permitir nunca un número elevando de intentos. Si es cuestión de salvaguardar el hash de esas contraseñas en una base de datos (por si la hackean) hay otras formas de protegerlas que fastidiar al usuario.
#7 Si, pero a veces se pasan de cortos en el número de intentos, que ya me ha pasado un par de veces en un par de sitios tener que pedir la renovación de la contraseña por ponerla 3 veces mal (que cuando son largas siempre se te cuela una letra).

Por otra parte también es un absurdo que no te dejen repetir las contraseñas o que caduquen en periodos cortos de tiempo, ya que te obligan a generar nuevas contraseñas que llevan a errores.
#26 La gracia de la caducidad de las contraseñas es que las cambies, como van a dejar repetirlas? Es Absurdo.
O no pones caducidad de contraseñas o no permites que se repitan, pero quedarse en medio desde mi punto de vista no tiene mucha lógica.
#33 Si, pero el no dejar repetirlas implica que tienes una base de datos o lo que sea que almacena sistemáticamente TODAS las contraseñas que caen en sus manos (para que no la podamos repetir) y que puede ser "saqueada". Vamos, un peligro en toda regla si encima de tener las contraseñas de uso actual tiene las que también se usaron hace 5 años.
#75 Visto de esa forma sí, tal vez lo más "correcto" sería no permitir tener la misma contraseña que la anterior, que entonces no implica una DB, sino un contraste con la info en ese momento.
#89 Eso lleva a que los usuarios utilicen siempre las dos mismas contraseñas, que además suelen ser iguales cambiando un dígito al final (sésamo1, y cuando caduca, sésamo2, y cuando caduca vuelvo a sésamo1...).
#93 Yo siempre he sido más de abretesesamo vs sesamoabrete :roll:
#96 abreteojete. :troll:
#93 Eso es porque somos unos vagos...
Pero para alguien que no sabe las contraseñas y la ha de crackear le será igual de díficil adivinar sésamo1 que sésamo2 a no ser que tenga acceso a la BD...

PD. entonces según tú es preferible tener siempre la misma contraseña?
#93 Claro porque cambiando cada mes y con reglas complejas no usan cosas como

MeLlamo@Juan1
2
3
4
...

O
JuanEnero@
JuanFebrero@

Nunca, no lo he visto en la vida...
#75 Me parece un buen punto de vista. Yo considero que con que la nueva contraseña no coincida con la que acaba de expirar es suficiente.
#75 Bueno, realmente lo que se almacenan son los hash. Y lo suyo es que lo que se almacena como contraseñas antiguas sea un "hash del hash" aplicando una semilla (por lo de las rainbow tables).
#75 OjO que no se guarda la contraseña, sino el hash de esta,si está bien hecho el sistema no sabe que password tienes, ni el admin. Si está bien hecho...
#33 Tienes toda la razón, pero ahí se olvida mucho el factor humano, si me caducas las contraseñas cada mes (algo que he visto) al final lo que consigues es que nunca pueda aprenderlas, que las repita, o que las tenga en un postit (cosas que he visto muy a menudo). Todo eso agravado porque me impongan que la contraseña debe de tener todo tipo caracteres en ella.

Sin contar que si no admites repetirlas quiere decir que probablemente las estés guardando. No necesariamente, pero me gusta desconfiar.
#7 una cosa que nunca he entendido es porque los routers wifi permiten un número ilimitado de intentos.
#4 esto está muy bien si no hubiera tantos servicios tan cutres como para limitarte la longitud de la contraseña.

De hecho me ha pasado un par de veces que truncaran mi pass de un dia para otro por una actualización de la DB
#8 También he tenido un problema similar en el que en la aplicación web de un servicio dí de alta una contraseña larga pero en la aplicación de escritorio no la reconocía. El problema era que la aplicación solo permitía escribir 20 caracteres y a partir de ahí no aceptaba ninguno más, y todo sin dar ningún tipo de advertencia...
#12 #8 A mi me pasó con Megaupload en su día. En el registro dejaban meter ponte 15 caracteres y en el login dejaban meter 25. Yo escribí una clave de 20 al registrarme (de los cuales sólo cogió 15, no me fije que estaba tan limitado) y luego al logear, no había tu tía. Tardé un rato en darme cuenta xD
#4 Viene a decir que la gente es tonta, no que no sean seguras.
#21. Si se habla de contraseñas por sí mismas, son muy seguras.
Si se amplía el foco, y se habla de un sistema de control de accesos, donde el usuario es un agente que participa en un par de episodios del proceso y podría cometer errores, el sistema se queda en mucho menos seguro.

El exceso de seguridad teórico provoca inseguridad en la práctica.
#86 Traducido, un sistema de seguridad en el que más de la mitad del proceso recaiga en una persona es una cagada en potencia. xD
#4 Es que es algo claro pero vamos que yo siempre use varias palabras aleatorias con mayusculas, numeros y caracteres del estilo PalabraPalabra11Simbolo y hasta el momento sin problemas y la mayor parte de las contraseñas que se roban son en servidores sin encriptación, cagadas de los usuarios(como phising) o contraseñas realmente cortas o malas (menos de 10 caracteres sin simbolos ni nada raro). También en favor de este hombre tendremos que decir que la capacidad de computación comercial no era la misma en 2003 que ahora y la fuerza bruta no trabaja al nivel que tenemos ahora.
#37 El problema no está en la seguridad de tu contraseña. El problema llega cuando sale la primera noticia (seguida de varias noticias más y, finalmente, un comunicado) donde te cuentan que en tal página han robado tu nombre de usuario, tu contraseña y la de 3000000 de personas más.
Y si tenías nueve o diez contraseñas chachiguays para todos los sitios en los que estás dado de alta, ponte a buscar cuales tienes que cambiar.
#95 Que me sirva para todos los sitios que tengo cuenta y requiere un simbolo en su seguridad

#85 Suelo separar sitios sin información importante(cosas de dinero), de sitios irrelevantes como meneame donde tengo contraseñas guarreras
#37 Qué ganas anadiendo símbolos?
#4 Aquí tienes un vídeo que elabora lo descrito en la viñeta (la usa como referencia): www.youtube.com/watch?v=3NjQ9b3pgIg
Es de hace un año, pero aún válido.

Yo, además de usar Keepass, para generar/guardar mis contraseñas, + Dropbox, para tener el fichero de keepass disponible en mis dispositivos, uso 2-step authentication con una aplicación como Google Authenticator para los sitios web donde lo admiten.
Bill Burr..., da que pensar.
#5 el único Bill Burr que conozco es un cómico de Boston.
Elegir una frase como decía Snowden.
#6 esa contraseña es cojonuda.
#9 Elegir una frase como decía Snowden. 1
#9 "TuContraseñaEsUnaPutaMierda" tambien funciona xD
#51 Siempre puedes usar como contraseña "inválida", así cuando no la recuerdes pones cualquier cosa y la web o app te dirá "Tu contraseña es inválida" y listos, recordada xD
#10 ...con números, caracteres especiales, mayúsculas y minúsculas. Algún día pedirán que la contraseña contenga caracteres en sanscrito, griego y kanjis.
#14 Y buena memoria... porque a veces tienes que inventarte una que no sea igual a las anteriores.
#10 Pq son webs hechas por incompetentes que se pasan por el forro la seguridad, la de verdad
#31 Qué web no te pide que tengas simbolos, numeros o mayusculas?
#98 Muchas. Pero sobre todo no te piden que la contraseña tenga una longitud máxima.
Mi truco es utilizar Backspaces dos o tres veces en las contraseñas. Me he fijado y nadie la usa en sus contraseñas.
#15 Prueba esto ~ :troll:
#15 yo meto tabulaciones, retornos de carro en cascada y márgenes.

Y queda algo parecido a esto.

Imposible de adivinar  media
#49 escribila en un movil a ver si puedes
#70 claro que si. Copio y pego :troll:

Te crees que la escribo cada vez? xD
Lastpass (o similar)... con generador de contraseñas de la longitud que desees y sacabó el problema...
#16 Excepto cuando les pillan algún agujero de seguridad, como le pasó a LastPass precisamente hará unos meses.
#16 #19 ¿Y qué opinión os merece KeePass? Guardas el fichero cifrado con las contraseñas en Dropbox y también puedes acceder a él desde el móvil.
#25 Esa es mi solución actual y estoy super contento con ella. Bueno, yo uso KeePassX en el ordenador y KeePassDroid en el movil.
#28 Igual que yo (bueno, en mi caso el KeePass original para Windows). El único problema de KeePassDroid es que no gestiona adjuntos.

Eso sí, la sincronización de mi base de datos la hago manualmente, nada de tener mis contraseñas en Dropbox ni en ninguna "nube".
#25 Exactamente eso hago yo.
#16 LastPass ha tenido varias mierdas. Keepass como dice #25 es mejor opcion (ademas esta auditado por la UE)
#54 #19

¿Cuáles son esas 'mierdas' o problemas de seguridad de las que habláis? ¿Alguna fuente fiable de dichas noticias?

Gracias
#25 Yo también uso KeePass, eso si, con Nextcloud en lugar de Dropbox, por si las moscas.
Lo infalible es coger una frase al azar de unas declaraciones de Rajoy.

"Cuanto mejor peor para todos y cuanto peor para todos mejor, mejor para mí el suyo beneficio político"

A ver quien saca esta contraseña.
#20 El problema es que tú mismo puedes tener dificultades para recordarla. Y escribirla en la mano no parece ser muy útil.
#23 siempre puedes buscarlo en Google.
#23 Y menos si no puedes reconocer tu propia letra.
#23 no, porque no entenderás tu propia letra xD
Eso mismo dijo el que inventó el preservativo
Bueno, mejor eso que poner el nombre de mi perro.

Yo suelo usar muchas contraseñas y desde hace tiempo uso www.passwordeasy.net/ , Lo de las imágenes me gusta mucho.
#30 Pues no se si fiarme:  media
#43 A mi me sale que es seguro :-S
#45 A mi igual.Luego (cuando me haga falta) pienso probarlo.
Mi truco es generar una tan compleja que sea imposible de adivinar y luego tenerla en un post-it pegado a la pantalla para no olvidarla.

Por supuesto, para no tener que usar varios postits, uso la misma clave para el ordenador, foros de internet, cuenta bancaria y correo electrónico.
#32 mientras no te la pille un hacker analógico.
Bah, yo utilizo una combinación de 64 letras, números y caracteres que pico sin mirar al teclado, es tan segura que una vez que la meto en un sitio ni siquiera yo soy capaz de volver a entrar.
Lo bueno de mnm es que pones aquí la contraseña y se oculta automáticamente: ***********

:troll:
#39 sin dar a alt + f4? joe eso si que es un avance :troll:
#39 A ver, espera que pruebe: hunter2

No funciona.
Yo uso un método infalible: Barbacoa Password Generator.

Se basa en la letra de la canción "La Barbacoa" de Georgie Dann. A la letra le quito el estribillo, las frases del coro y las frases repetidas, y me quedan exactamente 27 frases. A cada frase, por orden, le asigno una letra de la A a la Z, y sobra una frase. Del sitio al que me quiero loguear le miro la primera letra, por ejemplo en menéame la M, y busco la frase correspondiente. Esa es mi contraseña. Si el sitio no comienza…   » ver todo el comentario
#47 La contraseña del verano. Sin duda.
#47 Genio. :clap:
#47 Me voy a hacer una lista como esa pero con el himno español, y otra con Paquito el chocolatero.
#47 probé entrar a tu cuenta de Menéame usando la contraseña "disfrutancomolocoschupándoselosdedos" y no pude entrar. Mentiroso!
Seguro que le han hackeado una cuenta y de ahí, Bill Burr ha hecho su descubrimiento.
Las claves que nos lo dicen son una gilipollez.

Y tan complejas que llegan a fallos de seguridad que no deberían ocurrir:

La causa más común de robo de contraseña es un fallo del usuario que la mete donde no debe. Así que da igual 11111 que jhgtfcbki56€hg.

La segunda causa más común es un fallo de seguridad de una empresa que permite el robo masivo de sus usuarios y contraseñas. Y aquí viene donde la matan: como nos obligan a usar claves complicados lo normal es que una persona memorice…   » ver todo el comentario
#58 Pero cómo ocurre el robo masivo de cuentas y contraseñas?

Estas están encriptadas en la base de datos por lo que necesitarás fuerza bruta para adivinarlas.
#58 Una pequeña pega para esos ladrones de cuentas es que el login sea siempre diferente (aunque nemonicamente fácil de recordar para ti)

Para eso puedes usar alias de correos(si te obligan a que el user sea un correo), sino cosas como:
si te llamas Juan
Cuando entras en la web de repsol tu user es:
repsol69juan
Cuando entras en la de Seat:
seat69juan

(con el pass puedes hacer similar, pero separando la lógica entre "sitios serios y críticos" y el resto)

(o cosas mas complejas) así tu te acuerdas pero es mas Difícil que te ataquen después de un robo, masivo. Si el ataque es dirigido eso servirá de poco, Obviamente.
Teclados individualizados con teclas y símbolos personalizados y diferentes para cada usuario.
Capacidad en el teclado (por ejemplo una pequeña memoria) para guardar dichas contraseñas y escribirlas con una sola pulsación de teclado y cifradas.
Y luego esta el invento mas infame de todos... la tarjeta de coordenadas. De tener una clave en mi cabeza a tenerla fisicamente en algun sitio... y me dicen que es mas seguro... en fin.
#61 que pasa que en la tarjeta de coordenadas acaso pone el usuario y contraseña de la web del banco? Si alguien la pillara como carajos sabe de que usuario es? Y ojo que yo las ODIO, depender de tener la tarjetita de marras encima para hacer alguna operación es muy incómodo, de hecho ya le he sacado la foto a las mías y así y todo me da hasta pereza buscarla en el móvil... Pff prefiero mil veces que envíen SMS o las claves esas en que tenias que escribir determinadas posiciones.
Esto es debido a la entropía de las contraseña, un buen artículo donde lo explican: blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-esti
Hombre, consigue que se me olviden constantemente y que por lo tanto tenga que cambiarla con mucha frecuencia, así que tan mal no estarán :-D
Yo siempre uso contraseñas con emojis {0x1f50c} {0x1f4a9} {0x1f427} {0x1f699}
Es más seguro
Es mejor una frase larga y conocida que toda esa mierda, pero claro, en todos sitios te obligan a poner los numeritos y caracteres especiales.
la próxima vez que vayas a crear una contraseña no uses “1r0nM@n” sino más bien “miavengerfavoritoestonystark”.
Vale, mi nueva contraseña será "mecagontolokesemenea" :troll:
#87 Uy, casi aciertas la de mi WiFi, voy a tener que cambiarla... xD
La primera noticia que tengo que cuando nos piden que escribamos la contraseña no hay que escribir "contraseña".
Un buen ejemplo es que muchas personas utilizan contraseñas de tipo “C0n7raseñ@$” (su nombre y apellido escrito de esta forma, nombre de su perro, etcétera), pensando que es segura.

Siguen siendo algo más seguras que obligarles a usar un galimatías impronunciable tipo ar40htj4503lof que acaban apuntando en un papelito. La otra por lo menos se la saben de memoria.
«12

menéame