EDICIóN GENERAL
384 meneos
17711 clics

Los funcionarios que emitieron la alerta de misil en Hawái posan para una entrevista... con su contraseña en un post-it

En julio del año pasado una reportera de Associated Press acudió a la hoy famosa oficina de gestión de emergencias y tomó varias imágenes de los operadores que se encargarían de alertar sobre cualquier lanzamiento de misil. En una de las imágenes, ocurre esto...

| etiquetas: facepalm , hawaii , eeuu
Comentarios destacados:                          
#25 A ver, os lo explico: sistema con gestión de usuarios (LDAP) centralizado con los siguientes añadidos:
- Minimo 12 caracteres.
- Mayúsculas, minúsculas, números y símbolos.
- Caducidad de contraseña: 1 mes.
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas.
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco.
- Check de diccionario y complejidad, para acabar de tocar los huevecillos.

Y listo amigos! Ya habéis forzado a vuestros operadores 24/7 a apuntar la contraseña en un post-it.

Ni que decir que esto se define a nivel de requisitos por el jefe de seguridad del proyecto. Un saludo!
#1 jajsjkazjjss el PP hawaiano xD
Y luego se quejan que si los rusos y los norcoreanos les están jaqueando continuamente ...
#3 me jakiaron!
Y yo me pregunto, porque si a un trabajador que deja el vehículo de la empresa abierto y con las llaves puestas, es muy probable que le despidan, pero si deja acceso libre a los datos de la empresa poniendo la contraseña en el monitor no pasa absolutamente nada.
#4 porque son funcionarios, anda que hay que explicártelo todo
#18 No creo que en EEUU tengan problema alguno en despedir funcionarios sin temblarles el pulso.
#4 Porque

"♪ esto no es Hawai, qué guay! ♪"
#4 porque sus jefes serán los primeros que lo hacen, así que no les extraña ni les preocupa.
#4 pasar si pasó al parecer:

"..El funcionario que emitió la alerta no ha sido despedido, pero sí trasladado a otro departamento."

...... EN LA ESTACIÓN METEOROLÓGICA MAS AL NORTE DE ALASKA!!!!! xD
Rompiendo los límites de la inutilidad..
Parecen de un chiste de leperos.
Otra ley universal: los funcionarios, sean del país que sean, son todos iguales
#7 y muchos de ellos unos cracks.
#7 Esos mismos funcionarios pusieron al hombre en la luna o son tu medico, profesor o el de tu hijo, es lo que pasa hay veces que la luz brilla tanto que solo notas la oscuridad.
#27 Mi médico tuvo poca ayuda de EEUU, mi profesor tampoco. Los rusos siempre fueron un paso por delante de EEUU en la carrera espacial, y los primeros cohetes de EEUU que subieron al espacio lo hicieron con tecnología alemana. :-)
#44 tecnología alemana... Si de 0 emisiones. Manda huevos.
#47 Sí, los primeros los hicieron con tecnología que pudieron robar a los nazis.
#48 Si bueno un motor de combustion, la forma del pepino y la aerodinamica en la estratosfera. El ordenador de guiado, la tecnologia de acoplamiento, los motores hipergolicos, las comunicaciones, la gestion de recursos, los trajes, y la capacidad de encuentro en orbita terrestre y lunar ya tal.
#99 Un punto de partida sólido, casi nada.
De todas formas, Wernher von Braun ya sabía como guiar los cohetes, porque los cohetes ya habían sido lanzados y ya habían sido dirigidos. Y la terminología "hipergólico" fue acuñada por el Dr. Wolfgang Nöggerath, de la Universidad Técnica de Braunschweig, Alemania, lo que hace suponer que Von Braun tenía amplios conocimientos sobre ello.
#44 Me he perdido.

¿que tiene que ver tu respuesta con lo que te dice #27?

xD xD
#50 Creí que se refería a los EEUU, no había visto el comentario al que él estaba respondiendo.
#44, #27 habla de los funcionarios en general, no de los EEUU.

Edit: ahora veo que ya te habías dado cuenta en 52.
#7: Claro, se equivoca uno y resulta que la culpa la tienen todos.

Porque en la empresa privada no hay errores similares.
No se como el mundo no se va a la mierda.
#9 Tranquilo, ten paciencia.
#9 Se va, pero muy lentamente y de forma casi inapreciable a ojo humano.
#13 hombre... con abrirlos un poco se aprecia bastante
#9 Se va, pero vivimos demasiado poco para verlo
#9: ¿Por qué crees que muchas personas creen en la figura del Ángel de la guarda? ;)
Yo ya he dicho en varios sitios que si quieren tener la contraseña apuntada, que no sea a la vista de los clientes. Ponedlo dentro de un cajón, debajo del teclado, pero que no lo veas desde el mostrador...
Y eso en empresas que manejan datos de miles de personas.
#11 La contraseña apuntada por todas partes es la consecuencia inevitable de esas políticas de inseguridad que obligan a poner passwords tan complicados que es imposible recordarlos y a cambiarlos cada mes, por lo que tampoco te merece la pena aprendertelo.
#15

enero1
enero2
enero3
enero4
...
#23 Hay algoritmos de "passwords buenos" que te cazan eso. Yo tengo una lista de palabras, siempre las mismas, que voy utilizando circularmente. Para que cumplan con los criterios de caracteres raros, mayúsculas, números, etc. tengo un sufijo, siempre el mismo.
#23 Te falta una mayúscula y ser mayor o igual a 8 :-) :
Febrero1
Febrero2
Febrero3
Febrero4
...
#23 #39
Enero1
Febrero2
Marzo3
...
:roll:
#54
Orene1
2Orerbef
Ozram3

...
#23 goto #25

Sin ser tan exigentes, con que tengan activada la política de que el password tiene que variar X caracteres, ya estás jodido.
#89 Jodido no, lo que estoy es usando post-its :troll:
#15 Hasta hace nada una gran cantidad de usuarios de una multinacional usaban el mismo password: era el que enviaba por defecto el helpdesk cuando pedian un reset y no se molestaban en cambiarlo.

Lo se porque ahora tengo que usar un password aleatorio cada vez que mando uno
#35 Las políticas de passwords aleatorios y similares lo complican tanto todo que siempre acaban con todos los usuarios de un departamento utilizando el mismo código de usuario y password, por lo que no se saben ni el suyo. Así pueden preguntarlo, por lo menos. Este usuario acaba por ser alguien que ya dejó ese departamento. Si pones políticas de recertificación, lo que consigues es que lo borren y todo el mundo se quede sin poder entrar, hasta que alguien consigue un password que pasa a ser el password común del departamento otra vez.
#38 o todo el departamento usa el mismo "estándar" para las contraseñas y no hay ni que pensar para saber la del jefe...
#38 Tambien lo he vivido, con todo un departamento de atencion al publico usando el mismo codigo de usuario y bloqueandose cada 5 minutos porque alguien ha guardado mal la clave del correo en uno de los multiples equipos
#35 'qwerty' era el estándar casi seguro, en 5 empresas que he estado es el que envía helpdesk xD xD
#41 Uno que usabamos mucho en una de las aplicaciones (no en directorio activo) era 1q2w3e4r
No serían españoles de Erasmus? :troll:
Interfases menos confusas que estas han causado accidentes de aviación.
Foto del interfecto  media
Aquí todo el mundo muy listo pero yo he visto a parejas intercambiarse las contraseñas, y no precisamente en un descuido.
A ver, os lo explico: sistema con gestión de usuarios (LDAP) centralizado con los siguientes añadidos:
- Minimo 12 caracteres.
- Mayúsculas, minúsculas, números y símbolos.
- Caducidad de contraseña: 1 mes.
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas.
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco.
- Check de diccionario y complejidad, para acabar de tocar los huevecillos.

Y listo amigos! Ya habéis forzado a vuestros operadores 24/7 a apuntar la contraseña en un post-it.

Ni que decir que esto se define a nivel de requisitos por el jefe de seguridad del proyecto. Un saludo!
#25 veo el postit y subo a fichero txt con todas las contraseñas en texto plano.
#29 jeje por supuesto. Que si el túnel vpn, el citrix, el mail, la wiki, el slack: cada uno con sus reglas y, por supuesto, distinto periodo de caducidad para que sea imposible tenerlos alineados. Un clásico.

Un compañero mío lo tenía (bueno, todos lo teníamos lol) y sus passwords eran todas insultos, blasfemias y similares:

password: mecaguensuputamadre

:-D xD
#29 Hey, yo tengo un txt con todas mis contraseñas en texto plano... pero sólo una aplicación de (des)encriptación de la reh*stia es capaz de traducirlo, en función de una contraseña y otros parámetros que determinan conjuntamente la manera en que está todo encriptado.
#70 si está cifrado entonces no está en texto plano
#72 depende de lo que entiendas por texto plano. Es un txt que no contiene más que caracteres ASCII. Puedes abrirlo con un bloc de notas, aunque no entenderás nada. Pero es texto y es plano (sin formatear, o sea, no contiene indicadores de formato).
#79 Revisate tu concepto de texto plano
#81 es.wikipedia.org/wiki/Archivo_de_texto
Un archivo de texto simple, texto sencillo o texto sin formato (también llamado texto llano o texto simple; en inglés «plain text»), es un archivo informático que contiene únicamente texto formado solo por caracteres que son legibles por humanos, careciendo de cualquier tipo de formato tipográfico.

Estos archivos están compuestos de bytes que representan caracteres ordinarios como letras, números y signos de puntuación

…   » ver todo el comentario
#83 "En el proceso de cifrado/descifrado se establecen una serie de términos y convenios para facilitar referirse a los distintos elementos que intervienen:

El texto en claro o texto plano (en inglés, plain text) es el mensaje que se cifra.
El criptograma o texto cifrado es el mensaje resultante una vez que se ha producido el cifrado, es decir, el mensaje cifrado."
es.wikipedia.org/wiki/Cifrado_(criptografía)
#95 Interesante ver cómo se le da a un mismo término significados diferentes en función del contexto. Los dos teníamos razón. Ha sido com discutir si una muñeca es una parte del cuerpo o un juguete.
#25 a mi me la hacen cambiar cada 6 meses creo que es. Tengo dos contraseñas, y voy alternando.
#51, suerte tienes de que no te diga "esa contraseña ya ha sido usada".
#25 Pero podrás apuntarlo en una tarjetita que lleves en la cartera, no tienes por qué dejar el post It a la vista de la señora de la limpieza, del pizzero....

Estoy de acuerdo en lo de las políticas de "extrema seguridad" que acaban incitando a que el usuario adopte atajos que acaban haciendo el sistema mucho más inseguro que si se hubiesen adoptando unas medidas no tan extremas. Al final se consigue justo lo contrario de lo que se busca.
#74 Si es una cuenta a la que tiene que acceder varias personas, como le comunicas la nueva password al que viene en el siguiente turno?

Por supuesto, los turnos tienen un tiempo de 'overlap', pero es muy posible que se olvide hacer la 'transmision oral de conocimiento' xD y ya la tienes montada.

Por supuesto habria formas de hacer esto bien, pero por algun motivo todavia no he visto implementado en ningun sitio un sistema razonable de gestion de usuarios en estos entornos (centros de control / mision).
#78 ¿Y tanta seguridad para usar una misma cuenta 20 personas?, Las contraseñas, cuentas, etc... seguras suelen ir acompañadas de los calificativos "personal e intransferible".

El problema de fondo, que es de lo que hablaban antes (yo incluido) es que los administradores no crean una política de seguridad adecuada, solo suman medidas de seguridad pensando que ésta es la suma de aquellas y sin pensar en las características del grupo al que esas medidas van dirigidas. Tampoco se le da a los usuarios una explicación mínima de que es lo que se protege, como y por qué. El usuario no es consciente de los riesgos que hay.
#25 ¿Qué puede haber más importante que cambiar la contraseña cada mes a una base de datos a la que accedemos las mismas 5 personas desde hace 10 años?
#77 pues igual asegurarte que el usuario no la comparte ni la deja apuntada en post-its. Cuando subes el nivel de complejidad de las contraseñas esto es lo que co sigues, que el usuario acabe hasta los cojones y la apunte, que es precisamente lo que no se tiene que hacer con una contraseña.
#25 Bravo!!!! No puede ser más cierto. Yo en mi empresa sufro exactamente todas esas restricciones más las siguientes:
- Diferentes sistemas de información con logins distintos. Es decir, para trabajar, no sólo necesitas recordar tu login y password, sino tu login y password en mínimo 5 plataformas distintas, en las que a veces, ni el login coincide.
- Tan solo 3 intentos después de los cuales, la contrasenya se bloquea y hay que resetearla.
- Puedes resetearla tú, pero tienes que solicitar…   » ver todo el comentario
#25

- Minimo 12 caracteres. vale
- Mayúsculas, minúsculas, números y símbolos. vale
- Caducidad de contraseña: 1 mes. vale
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas. vale
- Check de diccionario y complejidad, para acabar de tocar los huevecillos. vale

- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco. ¿Como haces esto en un sistema seguro?
#84 Pues no lo es, simple y llanamente. Esto lo sufro yo en el curro, e indica que en algún sitio están todas las contraseñas de todo dios en algún formato recuperable...
Zoquete + paranoico de la seguridad = menos seguridad.
#84 ostia me has dado que pensar y efectivamente, como dice #85 para poder hacer esto tienes que tener las contraseñas en algún sitio para poder compararlas, vaya cagada!
#87
Exacto.
La forma en que un sistema seguro puede comprobar que no andas reutilizando contraseñas es comparando las contraseñas una vez cifradas (pepper/salt+algoritmo de cifrado), no en texto plano. Para comparar distancias necesitas el original y un sistema serio NUNCA deberia de guardar la contraseña original.
#87 #91 O simplemente preguntando por la contraseña actual al momento de cambiarla, como hace Windows. Ahí tienes la anterior y la nueva para compararlas.
#93 pero no 30 contraseñas como sugería el comentario original.
#94 En ese caso, desconozco la técnica empleada, pero se me ocurren dos soluciones, así pensando rápido (ambas inseguras):

a. Guardar las últimas 30 contraseñas en un almacén cifrado.
b. Guardar en dicho almacén, solo indicios de dichas contraseñas, cosas como el número de vocales usadas, si empieza por mayúscula, números usados, etc. Si la nueva contraseña coincide en muchos indicios, no se acepta.

Aunque, sin ser un experto en seguridad informática, en mi opinión me parece una regla de seguridad muy compleja, que ofrece más problemas que soluciones. Supongo que ahí el meneante exageró un poco.
#91 Solo compara con la contraseña vigente, que a su vez se comparó con la anterior, a su vez con la anterior...
#84 usando un cifrado reversible por ejemplo?
#84 - Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco. ¿Como haces esto en un sistema seguro?

Creo que no podrías hacerlo para todas las contraseñas, pero sí para la que estás poniendo ahora y la anterior. Típicamente tienes que meter ambas en el formulario de cambio de contraseña, así que el ordenador del usuario las tiene en texto plano durante el relleno del formulario y puede hacer esa comparación vía javascript o similar (si es un formulario web)…   » ver todo el comentario
#25 Pero ese es el motivo por el que apareció la falsa alarma?

Alguien uso esa contraseña?

Pregunto, porque en el envío no dicen nada.
¿La aplicación funciona vía web?

Si es así, sólo nos falta la URL. :troll:
Yo utilizo KeePass para guardar las contraseñas del trabajo, mano de santo.
#28 Y KeePassDroid en el móvil. Comparto la misma base de datos en ambos.
#42 Yo usaba ése mismo, pero no gestiona los adjuntos de la base de datos (como capturas de tarjetas de coordenadas o similar), así que me pasé a Keepass2Android, también gratuito.
Le queda poco ya a las contraseñas tradicionales. Sensores biométricos por todas partes, tokens, smartcards, etc.
Hay que eliminar cuanto antes el lastre de depender del eslabón más débil de la cadena. Por más que se esfuerce IT siempre habrá algún luser que fuerce el fallo de seguridad. Si no es con un postit es compartiendo por emule.
#30 Los sensores biométricos nos pueden costar un ojo de la cara, literalmente.

Y respecto a smartcards, tokens, etc. únicamente ofrecen suficiente seguridad asociados con una contraseña. Ya que la smartcard es eso que dejas en el cajón cuando vas a tomar un café.

Por ahora las contraseñas siguen siendo la mejor solución, hasta que lo sustituyan por una IA que te reconozca sin que tenga nadie ni idea de como lo hace.
#40 uff... No. Ni de lejos.
En cualquier empresa mediana ya se usa 2fa. Por resumir mucho, básicamente hay 3 formas de autenticarse como usuario: lo que eres (biométricos), lo que tienes (tokens, smarts) y lo que sabes (contraseñas) ninguna es válida como factor único. Por lo que en cualquier entorno medianamente seguro se combinan. La tendencia es a dejar de usar las contraseñas usando el resto de factores. Por ejemplo smart + otp|bio|etc
No cuesta ningún ojo de la cara en ningún sentido,…   » ver todo el comentario
#53 Siempre que lo biométrico sea como alternativa; y se pueda elegir entre tokens, contraseñas o una combinación de ambas. No veo por qué ninguna empresa haya de forzar a registrar datos biométricos de empleados. Afortunadamente todavía expiden tarjetas de acceso y no nos obligan a ceder nuestra huella.
#53 "...además de ser inocuo a tu salud el coste de un sensor de huellas dactilares es irrelevante"

No van por ahí los tiros de #40 , el quid está en ese "literalmente", todo depende del valor de lo que proteja tu ojo.
"Es el mercado, amigo" :-P
#53 El problema de los datos biometricos es que no los puedes cambiar, y si se descubre alguna forma de 'robar' tu dedo (ya sea cortandotelo como deja intuir @sorrillo o a traves de alguna vulnerabilidad o metodo de copia) pues estas jodido. Por eso no es una buena idea usar identificadores biometricos por comodo que fuera.

Las smartcards, lo mismo. En mi caso:
- En un antiguo trabajo me dieron la smartcard con un password e instrucciones de no cambiarlo porque si se me olvidaba o…   » ver todo el comentario
#80 eso es como decir que tú no te pones el cinturón de seguridad en el coche por qué es un incordio y pierdes tiempo y te sientes incómodo.

Lógicamente la única forma de luchar contra ese tipo de usuario es reforzando su educación y en el peor de los casos sanción o despido.

Por otro lado si vamos a entrar al peliculeo de que te cortan un dedo... En fin. También van a torturarte si quieren que cantes tu password, que quieres que te diga, como argumento es como poco ridículo. ( CC #40 )

Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.
#86 Por otro lado si vamos a entrar al peliculeo de que te cortan un dedo... En fin. También van a torturarte si quieren que cantes tu password

Prefiero dar gustosamente mi contraseña que dar "gustosamente" mi ojo.

Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.

Lo intentan, suelen fracasar estrepitosamente.
No te olvides de quitar el pass al posar para la foto...

Tendrían que sacar una canción similar a No te olvides de poner el WHERE en el DELETE FROM.
¿Alguna vez te ha parecido poco realista que en los videojuegos te encuentres las contraseñas en la misma sala?
Sabéis cual es la MAYOR vulnerabilidad de cualquier sistema informático? El usuario. SIEMPRE.
Da una gran tranquilidad saber que la seguridad mundial está en manos de gente tan competente
Recreación de los hechos: imgur.com/gallery/NRYdOSn
Mira que son burros. Con lo fácil que es poner alguna de estas y así no haría falta post-it:
qwerty
abcdef
1234
password
...
Peor seria :

Redtube pasword: Qfsbc
Pornhub: "
viejos y animales: "
Bundle of genius!!!
es que ni tan siquiera le pusieron color rojo al texto del link jajajaja, cutres hawaianos.
voy a hacer lo mismo en el trabajo :troll:
«12
comentarios cerrados

menéame