Portada
Hace 9 años | Por aiounsoufa a elladodelmal.com
Publicado hace 9 años por aiounsoufa a elladodelmal.com
¿Se deben usar passwords complejas en la web?

¿Se deben usar passwords complejas en la web?

 elladodelmal.com

Hace un tiempo escribí un artículo titulado "Hay que acabar con las passwords complejas en los servicios online" en el que venía a explicar por qué creo que el recomendar masivamente a los usuarios que pongan contraseñas complejas en cualquier página web que se registra no tiene sentido.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 8k 66

Comentarios

D

http://xkcd.com/936/

V 39
K 348
D

#24 plagio de #7

V 3
K 35
D

#24 Demasiado tarde, #7 se llevo el Karma

V 5
K 36
D

#7: Sisisisi, contraseñas de alfabeto puro empleando palabras de diccionario de una lengua. Best of the best. #anjácabol
Veo todas sus viñetas y estoy convencido de que Randall debe lanzarse besos todos los días de lo ingenioso que se cree.

V 0
K 10
D

#61 Toma, pa ti:

comment_15494683 media
V 0
K 10
cyrus

Yo siempre digo que mi tarjeta de crédito tiene un pin de cuatro números, y protege mi dinero.

V 8
K 80
Campechano

#1 El pin de cuatro números no protege tu dinero, lo protege las medidas de seguridad que el banco añade a esos cuatro números. Diez mil claves se prueban en menos de un segundo si dejas via libre para un ataque de fuerza bruta

V 48
K 429
Nildur

#2 #3 Creo que #1 sabe perfectamente cuáles son las medidas de seguridad de una tarjeta con PIN. En realidad le estáis dando la razón a él y al artículo, claro.

V 7
K 76
M

#18 Hasta que llega Apple y permite intentos ilimitados.

Creo que aquí el problema está en usar el nombre del perro o el cumpleaños como contraseña, o el 123456, como hacen muchos. Esas son contraseñas sencillas y no se deben usar porque se adivinan en nada. Pero tampoco tiene sentido poner contraseñas complejas tipo oiDIOuoi*/-*ho,i.hdpoiuo-.iyuuswe . RjsnlBordeDelAla y no repetir contraseñas estaría bien.

Para usar trucos tipo nfñfbnf.ñfu (meneame.net con las letras corridas) hay que tener cuidado porque si te pillan una, lo mismo el patrón es deducible y con él tienen el resto de contraseñas.

V 0
K 7
Nildur

#27 Desde luego, dependes enteramente del sitio que te guarda los datos.

Pero entonces te habrán jodido por un fallo de Apple, y en principio, solo en tu cuenta de Apple. Si quieres que un usuario use contraseñas complejas, va a usar una o dos como mucho, y las va a ir repitiendo en varios sitios, lo cual es sumamente peligroso.

Los métodos de creación de contraseñas complejas personalizados nunca me han convencido, porque al final, o son bastante evidentes, o no proporcionan una forma segura de saber con exactitud que la contraseña(por ejemplo, si añades una fecha, un numero contiguo) y lo mismo tienes que probar 10 veces hasta acertar tu propia contraseña). Y en todo caso, un usuario normal no va a usar métodos de ese tipo.

Y soluciones como LastPass tienen su peligro también, te petan el programa o te sacan la contraseña maestra y ya tienen el listado de contraseñas con URLs incluidas.

El escenario ideal, en mi opinion, sería uno en el que la contraseña no es la medida definitiva de protección, sería necesario un segundo factor de autentificación, como por ejemplo el que tiene Google. Eso sí, en lugar de usar el autentificador, el codigo podría enviarse por SMS o por email, lo cual sería necesario una vez por equipo cada x meses. O algo como Latch, cuyo creador es el autor de este artículo... lol

Ya sé que es una utopia esto.

V 0
K 9
anv

#2 Justamente. El artículo intenta explicar que la complejidad de la clave no da seguridad. La seguridad debe proveerse por otros medios.

V 1
K 15
D

Tiene toda la razón, ahora mismo cambio todas mis contraseñas a '1234'

#1 La tarjeta tienes que tenerla en la mano y si te equivocas de pin 3 veces, peta

V 5
K 51
D
editado

#3 No obstante se puede hacer un ataque de fuerza bruta, pero no sobre una sino sobre miles de tarjetas.

hay 10.000 pins posibles y 3 intentos, probando tres pins por ejemplo(4523, 9843, 9845) en 100.000 tarjetas malo será que no aciertes con ninguna.

V 1
K 18
D

#4 Pero tendrías que tener las 100,000 tarjetas...

Nótese que en la vida real los ladrones instalan lectores falsos para clonar las tarjetas, no hacen ataques de fuerza bruta.

V 4
K 46
D

#6
http://www.theguardian.com/technology/blog/2011/apr/29/playstation-network-hackers-credit-cards

Si hubieran hecho un ataque de fuerza bruta de 2 intentos para que no se note mucho, habrían obtenido 4400 pins válidos.

V 2
K 28
D

#8 the hackers that hacked PSN are selling off the DB [database]. They reportedly have 2.2m credit cards with CVVs

No es el mismo caso. El PIN no se usa sin la tarjeta en la mano.

V 5
K 45
D

#9 jjajaja
cierto, me he colao

V 1
K 15
D

#6 y que esas 100.000 tarjetas tengan dinero...

V 2
K 26
D

#6 Realmente es ese el problema nos empeñamos en poner cerraduras de acero en puertas de cristal. Poner algo simple o fácil es muy seguro, el problema es poner algo obvio.

V 0
K 7
Cuñado

#4 El hecho que sugieras emplear tres pins específicos como si supusiese algún cambio respecto a emplear en cada tarjeta tres aleatorios indica que no tienes ni idea de lo que estás hablando.

El problema de ir por la vida dándoselas de lo que uno no es no es tanto las chorradas que uno pueda llegar a decir como el impedimento que eso supone para aprender.

V 4
K -10
D

#37
Ya sé que desde el punto de vista de la probabilistica da igual usar siempre los mismos 3 pins que cambiarlos de cada vez, perop usar pins estáticos tiene ventajas desde otros puntos de vista:

Desde el punto de vista del algoritmo, usar tres pins hardcodeados es más cómodo y más rápido.

Desde el punto de vista de repetir el ataque dentro de un mes a las mismas tarjetas, saber que pins ya he empleado me permite no volver a probar con los que ya he probado, y coincidirás en que es más fácil y cómodo guardar el registro de 3 pins para cada ataque que 100.000

V 3
K 33
g
editado

#37 pues te equivocas, con PINs estáticos conseguirías resultados mucho antes que con aleatorios. Por ejemplo estos podrían ser 1234, 4321 y 1111 ya que son de los mas usados. Es muy bonito mostrar al mundo los cálculos de probabilidades pero cuando interviene el factor humano tienes que tener en cuenta como pensamos. Y por parte mas técnica es mucho mas rápido tener los 3 PIN estáticos que ir generandolos aleatoriamente para cada tarjeta.
Edito #39 ya te había contestado.

V 3
K 32
p

#3 1234 ya está cogida

V 2
K 29
cyrus

#3 a eso voy,eso mismo se puede implementar en una API, al de 3 intentos, bloqueo por un día a no ser que accedas al mail confirmado donde habrá un mail de desbloqueo. O algo así, no se.

V 0
K 11
D

#44
a mí me gusta la idea de un honeypot, si se detecta un ataque de fuerza bruta dejar entrar al malechor a un entorno controlado que parezca el real y tener así tiempo de detectar quién es, dónde está y que intenta hacer.

El problema es que el pato no paga la bala a no ser que sean cosas realmente importantes.

V 0
K 8
D
editado

#1 Ha habido una filtración de todos los números PIN de tarjetas bancarias, comprueba que no esté el tuyo.

http://pastebin.com/2qbRKh3R

V 10
K 89
D

#26 lol

V 0
K 8
silencer

Después de leer todos los comentarios, me habéis convencido.

Ahora mismo cambio todas mis contraseñas a MariposaVerde3

Muchas gracias a todos!!!

V 4
K 46
D

#35 qwerty tampoco está mal

V 0
K 8
luisAv
editado

#12 #13 #16 #17 #35 Otro metodo interesante que lei en su dia es cambiar las vocales (o consonantes, o lo ue te parezca) de tu password (ej: MariposaVerde) en los digitos de la fecha de tu nacimiento o una secuencia de numeros que conozcas de memoria (tu DNI me viene ahora a la cabeza, por ejemplo).
Ej: Si naciste el 15-12-80--->M1r5p1s2v8rd0.

Parece una bobada, pero por ejemplo si lo escribes en tu telefono, IPad, etc. que suele mostrar una letra cuando escribes el password, no es tan facil de deducir si alguien pudiese estar mirando.

V 4
K 38
D
editado

#48 A mi no me parece muy práctico, tampoco algunas cosas que citas. Si la contraseña es difícil de escribir es fácil que te equivoques, muy posiblemente tendrás que reintentarla, y también serás lento al escribirla si tienes que ir "pensándola". También aplica si las escribes a menudo.

Eso es importante si tienes que escribirla cerca de otras personas. Además si tu objetivo es que sea difícil de adivinar, algo más sencillo también lo es, si se trata porque sea difícil de averiguar por fuerza bruta, entonces te da igual que intercales nada.

V 0
K 7
luisAv
editado

#57 #65 Hay miles de formas de reventar una contraseña. Este metodo protege de algunas formas. desde luego que no es perfecto, pero algo ayuda.
Aunque si que es verdad, cuanto mas larga mejor (como en varios casos en la vida)

V 0
K 9
D

#48 Chorradas. Una contraseña de menos de 16 caracteres la revientan, tenga caracteres "raros" o no.

Lo mejor es una de más de 20 letras aunque sea "decuyonombrenoquieroacordarme" .

V 0
K 10
powerline

A mí ya me molestaba bastante recordar varias contraseñas complejas, para varios servicios, sin repetir y blablabla. Pero oye, desde que uso KeePass la verdad es que me he vuelto super feliz

V 4
K 42
CalifaRojo

#21 ¿y si acceden a tu keepass?¿y si no puedes entrar a keepass?

V 0
K 7
powerline

#28 ¿Y si alguien mira por encima de tu hombro cuando metes una contraseña? ¿Y si se te olvida y no puedes acceder al "Forgotten password"? ¿Y si acceden a tu banco extorsionandote en un cajero solitario? ¿Y si mueres? Mi solución ha sido esa y me ha ido estupendamente desde hace mucho tiempo, cada uno que elija la que mejor le resuelva su problema, por supuesto

V 1
K 18
CalifaRojo

#30 Sólo preguntaba por ignorancia de este método, son las dudas que me surgen y las debilidades que le veo. Yo prefiero tener varias claves distintas y cambiarlas según el sitio en el que me registro(no es tan difícil establecer un patrón).

Por cierto, lo de mirar por encima del hombro es una de las técnicas más comunes, por algo te dicen que tapes con la otra mano cuando metes la clave. Recuerdo que a un profesor de universidad le pillaron la clave así...

V 0
K 7
powerline
editado

#33 Sí, sí, no pretendía ser impertinente, sólo decirte que todo al final acaba teniendo riesgos que hay que asumir si te compensa.

Y claro que lo del hombro es común, en seguridad es bastante conocido como una de las técnicas más primitivas (que no por ello poco eficaz): http://en.wikipedia.org/wiki/Shoulder_surfing_(computer_security)

Yo creo que una buena solución es un segundo factor de autenticación. Al fin y al cabo este artículo, viniendo de quien viene, no deja de ser un intento extremadamente cansino de publicitarlo mediante su Latch. Pero es una buena solución

V 0
K 9
D

#38 Todo tiene problemas, quizás el mayor es que pones toda tu seguridad en el mismo sitio, y si falla por lo que sea, entonces falla para todo.

En ese tipo de servicios yo suelo poner contraseñas poco importantes y algunas importantes que sé que no me causarían demasiados problemas o que podría recuperar de otras formas. Algunas otras me las sé o por que son muy importantes o porque las uso demasiado, todo lo demás, una contraseña muy sencilla o una aleatoria y a guardarla en la nube.

V 0
K 7
D
editado

#28 Si alguien obtiene mi base de datos (cifrada) de KeePass... pues nada.
- Se puede divertir intentando saltarse un AES-256
- Puede intentar adivinar la contraseña de 40 caracteres (¿ataque de diccionario? sí, claro, suerte)

Si no puedo entrar a KeePass... lo veo difícil.
- Tengo algo así como 10 copias de la base de datos, incluidas varias en la nube, en pendrives, varios PCs, móviles, tabletas, etc.
- El programa es abierto y libre, con versiones para Windows, Linux, OSX, Android, etc.
- Es complicado que no tenga ninguna forma de acceder a KeePass, y al mismo tiempo necesite una de las contraseñas (ej: si no tengo internet).

Si alguien accede a la base de datos sin cifrar de KeePass después de haber metido la contraseña...
- Por eso no lo dejo abierto y desbloqueado si no lo estoy usando.
- Los plugins "LockExtensions" y "MinLock" vienen bien para estas cosas (ej: bloqueo automático por inactividad).
- En Android se cierra solo al de poco tiempo de inactividad, pero aún así lo suelo matar a mano.
- Tampoco lo uso en equipos que no controlo, para eso viene bien tenerlo en el móvil.

V 0
K 6
k

http://xkcd.com/936/

comment_15490479 media
V 6
K 38
kumo

Si tu pones como contraseña F6`gut7qa¡d Te va a cosatar recordarla cada vez. Sin embargo para una máquina es igual de compleja que MariposaVerde3 en lo que a un ataque por fuerza bruta se refiere. Si no puedes recordar tu password correctamente tampoco es segura.

No pongaís 1234, pero tampoco os matéis con algo que sea imposible de recordar.

V 3
K 36
Campechano

#12 Nadie en su sano juicio intenta un ataque por fuerza bruta. Lo habitual es hacer ataques de diccionario, y en ese caso sí que es menos segura MariposaVerde3

V 11
K 112
althanis

#12 Totalmente de acuerdo y #13 Totalmente de acuerdo... creo que lo mejor es abreviar alguna palabra. Por ejemplo: MariposaVrd3. Sigue siendo igual de fácil de recordar y por diccionario no la podrán averiguar.

V 1
K 13
kumo
editado

#13 Depende a qué estés atacando. Un ataque de diccionario a un router wifi de Telefónica, por ejemplo, no te va a buscar esas palabras. No deja de ser un ataque de fuerza bruta pero restringiendo la búsqueda.

Pero vamos, creo que se ve lo que quería decir.

V 0
K 11
natrix

#13 MariposaVerdeCon7...RojosEnElBordeDelAla y todos los diccionarios que quieras.

V 4
K 58
celyo

#12 La gente se puede crear un método propio de cifrado simple, y no es tan complejo.

Por ejemplo, MariposaVerde3 que es más fácil de recordar, la puedes aplicar un método simple, cambiarla por letra siguiente o anterior del abecedario o algo similar, la contraseña se encripta y solo tienes que recordar tu contraseña y como lo encriptas.

V 4
K 47
Nova6K0

#12 No es para nada igual para un sistema F6`gut7qa¡d que MariposaVerde3. Es más fácil encontrar la primera porque tiene 11 caracteres que la segunda con 13 incluso aunque la primera tenga otros tipo de caracteres, además de mayúsculas, minúsculas y números. Un ataque de fuerza bruta sobre la primera a un millón contraseñas por segundo y un sólo ordenador, tardaría unos 11.714.740.528.689 de años y la segunda 6.430.958.695.623.385 de años, vamos bastante más. Es más en la primera ni usando todo código ASCII daría más que en la segunda 205.195.258.022.069 de años.

Comprobado en http://lastbit.com/pswcalc.asp

Salu2

V 0
K 10
anv

#12 Yo siempre he dicho que si te obligo a poner una clave complicada, vas a terminar por anotarla en un postit y pegarla al costado del monitor.

V 0
K 6
strider

La contraseña de las puertas de Moria era sencilla, y ni el ataque de diccionario de un Istar fue capaz de abrirlas.

V 2
K 26
Gandulfo86

#45 Pero un pequeño hobbit lo consiguió

V 0
K 7
javicid

Pues yo uso LastPass y tan contento

V 2
K 23
D
editado

Desde que se puso de moda lo de pedir passwords complejas, tengo mis contraseñas escritas en un post-it.
Afortunadamente tengo confianza con el personal de limpieza.

V 1
K 21
polvos.magicos

Yo tenía un amigo que un día me dijo su contraseña y me dejó pasmada era "entrar" solo eso y nunca le había entrado nadie .

V 0
K 10
oriol18

Un amigo mío me contó su manera de hacer contraseñas:
tomaba un libro que le hubiese gustado, por ejemplo, 'Brave New World', y de ahí sacaba: AH32bravenewworld (O ah32BraveNewWorld) Es decir: AH por Aldous Huxley, el escritor. 32 por el año de publicación, y luego el título.
Me parece bastante ingenioso y no es dificil de recordar

V 0
K 9
Candidatas
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
9
meneos
tecnología La Mega Drive llega a España
12
meneos
tecnología Arranca el ejercicio internacional de ciberdefensa 'Locked Shields 2024' con la participación de 200 españoles
6
meneos
tecnología Investigadores de HKU Engineering descubren la clave para lograr células solares orgánicas eficientes y estables (eng)
23
meneos
tecnología Publicado el código fuente de DOS 4.0 (ENG)
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
19
meneos
tecnología EEUU lanza por sorpresa su primer misil hipersónico para cazas de combate
13
meneos
tecnología La fotovoltaica da el ‘sorpasso’ a los ciclos combinados: alcanza los 26.260 MW y se convierte en la segunda fuente tras la eólica
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
8
meneos
tecnología El específico proceso por el cual Google enmierdó su motor de búsqueda (eng)
9
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
9
meneos
tecnología ¿Internet está muerto?: la teoría conspirativa que podría volverse realidad en apenas unos años
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
8
meneos
tecnología TikTok: vender o cerrar
8
meneos
tecnología Black Basta, el principal sospechoso en el ciberataque a Ayesa
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
War_lothar
editado

No es cierto, con la cantidad de password que he visto robar en webs, mails y videojuegos porque pusieron algo sencillo. Simplemente es falso por experiencia. Encima dices que le dejas la seguridad a la web de turno vaya tela lol, con lo mal que están algunas . Luego para recuperar la cuenta si lo consigues te la han destrozado. No hace falta poner 20 dígitos, pero en ningún momento un password sencillo que se pueda adivinar o romper probando pocas veces, al menos de 6 o 7 dígitos y que sea algo que no puedan figurarse con facilidad. Aparte que cual es el problema para el usuario por poner un password como alcorwu38, si eres un zote lo anotas y listo. Si es una cosa que para ti no tiene importancia que te roben entonces si puedes poner lo que te de la gana, como si quieres poner en todos 1234.

V 0
K 9
D
editado

#22 Es que es muy diferente escribir algo obvio que algo simple. Hay gente que pretende que sus contraseñas parezcan aleatorias y ese no es el problema. Por ejemplo hay muchas formas de escribir tu nombre y tu fecha de nacimiento, perfectamente puede ser tu contraseña, pero no pongas la forma obvia. Si pones Pepe230878 simplemente eres idiota, nadie puede salvarte.

V 0
K 7
n

Interesante artículo pero es cierto que al final por muy compleja que sea la clave hay forma de conseguirla, aunque sea alfanumérica y no lógica. Yo suelo al menos generar claves con 1password o con http://password.es/

V 0
K 8
D

¿Qué pensais de no usar contraseña?

Los que quieran entrar por oauth, usan oauth.
Los que quieran entrar con su cuenta de correo, entran con un código de un sólo uso que se les envía cada vez.

Nos lavamos las manos y la seguridad es la del oauth o la del correo.

Así lo tengo montado yo.

V 0
K 8
delawen

#5 Que delegas todo el problema en la seguridad del correo. Como te falle, te fallan todas.

V 1
K 18
D

#20 pero eso ya es cosa del usuario y su correo, no mía.

Creo que para el usuario es mejor concentrar sus esfuerzos en la seguridad en un único punto (su correo), que en cientos de constraseñas en cientos de sitios.

V 0
K 8
D

Mis contraseñas son muy largas, letras (mayusculas y minusculas), algun simbolo y numeros, pero yo, por ejemplo no se cuan segura es, ¿alguna web que me diga como de segura es una contraseña y cuanto tardarian en pillarla?

V 0
K 7
o

Mi contraseña es "Chock_Norris"... Ningún hacker se atrevería nunca a escribir su nombre mal

V 0
K 7
c.arcediano
editado

Personalmente, según que servicio vaya a abrir y qué tipo de clave me pidan, me echa para atrás y no me creo la cuenta. Creo que se deberían conformar con decirle al usuario que la contraseña no es muy compleja y dejarle seguir con la creación de la cuenta.

V 0
K 6
D

Yo creo que la autenticacion de 2 pasos es el futuro (mientras no existan errores en la implementacion).

Para los que quieran mas seguridad en su shell remoto: https://code.google.com/p/google-authenticator/

V 0
K 6
D

El mundo será un lugar mejor cuando le quitemos las puertas al campo, suprimamos todos los passwords, y dejemos libertad de acceso y de información a absolutamente todo. Es normal que el ser humano se acabe volviendo malvado si de entrada presuponemos que lo es. Confiemos en la bondad natural de nuestra especie, y así al fin podremos trascender.

V 3
K -4