Portada
mis comunidades
otras secciones
#3:
Cada vez que me hablan de usar caracteres especiales me acuerdo de https://xkcd.com/936/
#2:
Estoy hasta las pelotas de las chorradas esas.
Mis contraseñas son seguras de cojones, hasta que llega el típico formulario donde es obligatorio que haya una mayúscula o un carácter extraño o ¡¡¡que limita su longitud a n caracteres!!!
Lo más bochornoso es lo de los bancos.
¿¿¿como que la contraseña ha de tener 8 caracteres alfanuméricos???
Mis contraseñas son seguras de cojones, hasta que llega el típico formulario donde es obligatorio que haya una mayúscula o un carácter extraño o ¡¡¡que limita su longitud a n caracteres!!!
Lo más bochornoso es lo de los bancos.
¿¿¿como que la contraseña ha de tener 8 caracteres alfanuméricos???
#8:
#7 Tu razonamiento queda muy bien como intuición, pero no es muy certero. La portada del "elpais.com" de esta mañana tiene unos 1400 términos distintos (links -dump http://elpais.com/ | tr " " "n" | tr [A-Z] [a-z] | sort | uniq | wc -l
1441) Además, debemos apuntar que computacionalmente no es lo mismo MeGusta que megusta que Me_gusta.
Dicho esto, no está de más recordar que el espacio de búsqueda del universo [A-z][0-9][especiales] es de ~64 caracteres. Una contraseña de 64 caracteres con una longitud de 8 tiene un espacio de búsqueda de 2,8×10¹⁴. Incluso una contraseña de 12 caracteres en el universo [A-z][0-9][especiales] tiene un espacio de búsqueda de 4,7×10²¹
La elección de una frase de 10 palabras sobre un universo de 1500 (conocidas) ya tiene un espacio de búsqueda de 1,54×10²⁵
La elección de una frase de 15 palabras sobre un universo de 2000 (conocidas) ya tiene una robustez de 2,37×10³⁷. Similar a un galimatías de 23 caracteres.
Y creo que como factor de usabilidad es mucho más sencillo recordar: losdomingosporlamañanamelevantoalas8ysalgoacomprarelperiodico que AzLPplfLfLmfmE192..!Jkl
1441) Además, debemos apuntar que computacionalmente no es lo mismo MeGusta que megusta que Me_gusta.
Dicho esto, no está de más recordar que el espacio de búsqueda del universo [A-z][0-9][especiales] es de ~64 caracteres. Una contraseña de 64 caracteres con una longitud de 8 tiene un espacio de búsqueda de 2,8×10¹⁴. Incluso una contraseña de 12 caracteres en el universo [A-z][0-9][especiales] tiene un espacio de búsqueda de 4,7×10²¹
La elección de una frase de 10 palabras sobre un universo de 1500 (conocidas) ya tiene un espacio de búsqueda de 1,54×10²⁵
La elección de una frase de 15 palabras sobre un universo de 2000 (conocidas) ya tiene una robustez de 2,37×10³⁷. Similar a un galimatías de 23 caracteres.
Y creo que como factor de usabilidad es mucho más sencillo recordar: losdomingosporlamañanamelevantoalas8ysalgoacomprarelperiodico que AzLPplfLfLmfmE192..!Jkl
#5:
Que a estas alturas de la película todavía estemos dándole vueltas a este tema es cuanto menos preocupante. Las contraseñas hace tiempo que deberían haber sido sustituidas por frases de paso.
PolK!9874_ puede parecer una contraseña segura pero el hecho es que tiene una mierda de robustez cuando la comparas con algo como: megustadesayunarunvasodelechecon3galletas. Las frases, además de tener una robustez mucho mayor, también tienen mucha más usabilidad porque son más sencillas de recordar.
Por otra parte, hoy día, cualquier aplicación que deba ofrecer un mínimo de seguridad debe implementar doble factor de autenticación, bien sea mediante el uso de certificados digitales en cliente o bien sea mediante el uso de tokens físicos o virtuales.
PolK!9874_ puede parecer una contraseña segura pero el hecho es que tiene una mierda de robustez cuando la comparas con algo como: megustadesayunarunvasodelechecon3galletas. Las frases, además de tener una robustez mucho mayor, también tienen mucha más usabilidad porque son más sencillas de recordar.
Por otra parte, hoy día, cualquier aplicación que deba ofrecer un mínimo de seguridad debe implementar doble factor de autenticación, bien sea mediante el uso de certificados digitales en cliente o bien sea mediante el uso de tokens físicos o virtuales.
#4:
Cada vez que el sistema no te permite poner tus propias contraseñas, se incurre en inseguridad, porque te suele obligar a apuntarla en algún sitio. (debajo del teclado, en un notepases, un postit, etc...)
#34:
Lo más cachondo es cuando un sistema de seguridad exige que cambies la contraseña cada mes. Al final toda la empresa usaba, por ejemplo, en Enero de 2017:
usuario: nombre-apellido
Contraseña: pass012017
Y por supuesto, cuando tú no tenías permisos para algo, pero sabías quien sí, le pegabas un grito para decirle que entrabas con su usuario. No preguntabas nada más, ya sabías todo lo necesario para meterte en el sistema como él.
"Cambie la contraseña cada mes por su seguridad"
usuario: nombre-apellido
Contraseña: pass012017
Y por supuesto, cuando tú no tenías permisos para algo, pero sabías quien sí, le pegabas un grito para decirle que entrabas con su usuario. No preguntabas nada más, ya sabías todo lo necesario para meterte en el sistema como él.
"Cambie la contraseña cada mes por su seguridad"
#33:
#23 Tras registrarme en no sé qué página web de un ministerio con mi mejor y más preciada contraseña, me enviaron mi usuario y mi contraseña por correo-e en claro. Mucho https y luego mandan mi contraseña de paseo por unos cuantos servidores. Bravo, administratión electrónica. Ya si eso dentro de 10 años sacáis un dni-e que funcione.
#24:
#4 Hay gestores de contraseñas. De todas formas, es más seguro una contraseña difícil apuntada en un posit que una contraseña del tipo 123456.
Los que te quieran robar el acceso al correo electrónico o al paypal no lo van a hacer registrando tu ordenador, sino mediante ataques remoto a la base de datos de contraseñas.
#2 Los bancos suelen usar todos doble autenticación para movimientos de dinero, es lo más seguro que hay.
Los que te quieran robar el acceso al correo electrónico o al paypal no lo van a hacer registrando tu ordenador, sino mediante ataques remoto a la base de datos de contraseñas.
#2 Los bancos suelen usar todos doble autenticación para movimientos de dinero, es lo más seguro que hay.
#9:
#7 Como apunte, los cálculos del espacio de búsqueda de las frases he optado por hacerlo con combinaciones con repetición en vez de variaciones con repetición por considerar que el lenguaje tiene cierta penalización sobre la aleatoriedad en las estructuras que crea.
Pero en general, se acepta por válido (y quizá en contra de la intuición) que una frase de 10 palabras (incluso de un diccionario limitado de 500 palabras) tiene una robustez, al menos, un orden de magnitud superior a la contraseña de 10 caracteres que puedes crear con las reglas típicas [A-z][0-9][especiales]
245810588801891070000 de combinaciones con repetición te permite la frase de 10 palabras sobre un diccionario de 500.
1152921504606847000 de varaciones con repetición te permiten 10 caracteres aleatorios sobre un conjunto de 64.
Incluso aceptando el restringido cálculo que das de 300 palabras (que yo considero empíricamente erróneo) 10 palabras sobre un diccionario de 300 tendrían la misma robustez que 10 caracteres aleatorios sobre un conjunto de 64.
Pero en general, se acepta por válido (y quizá en contra de la intuición) que una frase de 10 palabras (incluso de un diccionario limitado de 500 palabras) tiene una robustez, al menos, un orden de magnitud superior a la contraseña de 10 caracteres que puedes crear con las reglas típicas [A-z][0-9][especiales]
245810588801891070000 de combinaciones con repetición te permite la frase de 10 palabras sobre un diccionario de 500.
1152921504606847000 de varaciones con repetición te permiten 10 caracteres aleatorios sobre un conjunto de 64.
Incluso aceptando el restringido cálculo que das de 300 palabras (que yo considero empíricamente erróneo) 10 palabras sobre un diccionario de 300 tendrían la misma robustez que 10 caracteres aleatorios sobre un conjunto de 64.
Comentarios
Cada vez que me hablan de usar caracteres especiales me acuerdo de https://xkcd.com/936/
#3 #5 El idioma español tiene casi trescientas mil palabras/conceptos diferentes (sin contar variaciones ni tecnicismos o regionalismos), pero en nuestra comunicación cotidiana utilizamos sólo y con suerte unas trescientas, es decir, cerca de un 0,10%.
http://factoides.com.ar/post/3031124497/usamos-solo-unas-300-palabras
No debe ser muy difícil averiguar una frase de unas cuantas palabras, de una combinación de 300 de ellas. Y más teniendo en cuenta que es muy probable que va a contener en, el, la, las, los, de, etc.
#7 Tu razonamiento queda muy bien como intuición, pero no es muy certero. La portada del "elpais.com" de esta mañana tiene unos 1400 términos distintos (links -dump http://elpais.com/ | tr " " "n" | tr [A-Z] [a-z] | sort | uniq | wc -l
1441) Además, debemos apuntar que computacionalmente no es lo mismo MeGusta que megusta que Me_gusta.
Dicho esto, no está de más recordar que el espacio de búsqueda del universo [A-z][0-9][especiales] es de ~64 caracteres. Una contraseña de 64 caracteres con una longitud de 8 tiene un espacio de búsqueda de 2,8×10¹⁴. Incluso una contraseña de 12 caracteres en el universo [A-z][0-9][especiales] tiene un espacio de búsqueda de 4,7×10²¹
La elección de una frase de 10 palabras sobre un universo de 1500 (conocidas) ya tiene un espacio de búsqueda de 1,54×10²⁵
La elección de una frase de 15 palabras sobre un universo de 2000 (conocidas) ya tiene una robustez de 2,37×10³⁷. Similar a un galimatías de 23 caracteres.
Y creo que como factor de usabilidad es mucho más sencillo recordar: losdomingosporlamañanamelevantoalas8ysalgoacomprarelperiodico que AzLPplfLfLmfmE192..!Jkl
#8 Además, debemos apuntar que computacionalmente no es lo mismo MeGusta que megusta
Salvo que tu cuenta sea de blizzard.
https://eu.battle.net/forums/en/wow/topic/5035404474
#21 Nadie que aprecie su cuenta de Battle.Net la tiene sin el authenticator del móvil. Pero si, menuda pifia.
#64 lo que tiene cojones, es que teoricamente si intentan acceder a tu cuenta desde otro isp o pais te bloquean la cuenta y te mandan un email, pero aun asi hay casos de cuentas robadas no se como.
#79 La gente es tonta, así es como se roban cuentas. Cuando vas a una web y contratas un servicio de "power-leveling", por el que no solo tienes que pagar sino que tienes que darles acceso para que jueguen con tu cuenta, probablemente desde otro país... pues eso, que hay alguna gente muy tonta.
#8 A menos que eso venga de una tecnica memotecnica.
Por ejemplo. El Señor de los Anillos es una de las mejores películas del siglo XX.
ESdlAe1dlmpdS-20.
#28 Duda para los que recomeindan frases:
Como las aplicas en difernetes páginas? porque esa que comentas por ejemplo no me recuerda a nada...
yo uso la misma con unas pocas letras de cada página para así acordarme facilmente y que no sea posible aplicar la misma a todas...pero se me acaban las variaciones, y tengo miedo de que descubran por ejemplo la de gmail y prueben en amazon con el mismo tipo de variación...
#63 Lo suyo es para paginas chorras (foros, meneame, etc) seguramente puedas compartir variaciones.
Para amazon, gmail, paginas importantes, claves especificas para esos sitios que no se parezcan entre si.
#63 Con una frase tienes flexibilidad ilimitada, incluso puedes hacer referencias a esa página. Por ejemplo, en Menéame. YoenMeneamesoy1ReydelMambo.
#63 Hay que diferenciar dos cosas:
- Las frases están para acordarse fácilmente de ellas
- Las contraseñas específicas para cada web están para que alguien (por ejemplo el propietario de la web) que tenga acceso a una contraseña, no pueda probar a usarla en otra web y acceder a ella
Lo que es mejor para un caso, no necesariamente es lo mejor para el otro. Por eso una buena solución es usar un gestor de contraseñas, con:
- Una contraseña principal que sea una frase larga, difícil de adivinar, pero fácil de recordar
- Contraseñas específicas para cada web totalmente aleatorias, de al menos 16 caracteres cada una
#28 Salvo que —mientras no esté directamente sacada de un libro— siempre es mejor usar la frase directamente:
"ESdlAe1dlmpdS-20"
* mayúsculas (27 caracteres con la ñ) + minúsculas (otros 27) + dígitos (10) + caracteres especiales (digamos 10)
* 16 caracteres
* espacio de búsqueda: 74^16 = 2^99
"El Señor de los Anillos es una de las mejores películas del siglo XX"
* palabras por frecuencia: 6 160 1 17 5698 7 15 1 25 745 1812 29 1692 = máximo 5698
* números romanos: digamos que del I al XXX = 30
* 14 elementos
* espacio de búsqueda: (5698+30)^14 = 2^174
#7 Como apunte, los cálculos del espacio de búsqueda de las frases he optado por hacerlo con combinaciones con repetición en vez de variaciones con repetición por considerar que el lenguaje tiene cierta penalización sobre la aleatoriedad en las estructuras que crea.
Pero en general, se acepta por válido (y quizá en contra de la intuición) que una frase de 10 palabras (incluso de un diccionario limitado de 500 palabras) tiene una robustez, al menos, un orden de magnitud superior a la contraseña de 10 caracteres que puedes crear con las reglas típicas [A-z][0-9][especiales]
245810588801891070000 de combinaciones con repetición te permite la frase de 10 palabras sobre un diccionario de 500.
1152921504606847000 de varaciones con repetición te permiten 10 caracteres aleatorios sobre un conjunto de 64.
Incluso aceptando el restringido cálculo que das de 300 palabras (que yo considero empíricamente erróneo) 10 palabras sobre un diccionario de 300 tendrían la misma robustez que 10 caracteres aleatorios sobre un conjunto de 64.
#7 pongamos que son sólo 4 palabras de las 300 posibles y además en orden aleatorio... Pues te va a llevar un rato encontrarlas, teniendo además en cuenta que dada palabra tiene logitud variable.
Es un "poco" más difícil que sacar los 4 números de un candado o pin que se eligen de un pool de 10 posibles. Y eso suele ser bastante seguro.
#7 trescientas palabras? Lo dudo, por lo menos yo y estoy seguro que la amplia mayoría también, menos los callados
#46 sí, como ya apunta #3
#46 goto #3
#3 Iba a poner eso mismo, y luego me he acordado de sitios como Hotmail, que antes te dejaban poner todos los caracteres que quisieses pero solo contaban los 12 (o 16 no recuerdo) primeros....
#3 Sí, con un diccionario tardas mucho en tirar una pass con 4 palabras...
#84 ¿De cuántas palabras el diccionario? Si tienes uno a mano, cuéntame exactamente cuánto te costaría tirar una pass como esta: "luciendo tal pelo calavera"
Estoy hasta las pelotas de las chorradas esas.
Mis contraseñas son seguras de cojones, hasta que llega el típico formulario donde es obligatorio que haya una mayúscula o un carácter extraño o ¡¡¡que limita su longitud a n caracteres!!!
Lo más bochornoso es lo de los bancos.
¿¿¿como que la contraseña ha de tener 8 caracteres alfanuméricos???
#2 Ojo que en miyoigo, por ejemplo, te obligan a tener 6 caracteres... NUMÉRICOS!!!!! ni diccionario ni pamplinas, bucle for, y a correr
#11 Y en algún banco también, pero a los 3 intentos bloquean la cuenta.
#11 te obligan a tener 6 caracteres... NUMÉRICOS!!!!!
En realidad te obligan a tener "6 o más caracteres numéricos". Yo tengo bastantes más de 6.
#77 igual antes si, de hecho antes dejaban poner letras, pero ahora... lo tienes facil, intenta cambiar la clave...
#94 Vaya... como pasa el tiempo. Demasiados años como cliente de Yoigo.
Ya veo que lo han cambiado. Cada vez somos más clientes de MasMovil y me temo que pronto alguna de las grandes fagocitará a esta marca.
Habrá que ir buscando alguna OMV más pequeña porque por aquí necesitamos la cobertura de la red de Movistar.
Gracias por la información.
Buen año!!
#2 Toda la razón. Y todo viene por la vagancia del programador de turno, de no aumentar el campo de contraseña, para poder meter unos 30 caracteres que sería una contraseña considerablemente segura. Todo sin hablar por supuesto, de que la web esté convenientemente protegida, porque de poco sirve el uso de contraseñas seguras o de gran longitud, si luego la web tiene más agujeros que un queso de gruyer.
Salu2
#13 Peor aún, si en el campo de la contraseña guardas un BCRYPT como dios manda, te da igual el tamaño de la contraseña.
Si el tamaño importa para la base de datos es que la está guardando en plano
#13 No, el tamaño del campo NUNCA debería afectar a la longitud máxima de la contraseña. SIEMPRE debe guardarse solo un hash con salt, que va a tener una longitud fija. La única limitación de la longitud de la contraseña debería ser el tamaño de la petición HTTP, o algo como "máximo 1024 caracteres".
#88 Lo digo porque hay webs que hacen dicha limitación en el propio código. Por ejemplo ver un "varchar (8)" o "size=8". Y me refiero a que ese varchar o size debería ser 32 como mínimo. Por mucha protección que le pongas luego.
Salu2
#2, ami me jode que no en todos los sitios sea igual y no puedas usar la misma contraseña*, en algunos sitios que si al menos un número, en otros al menos 2, en algunos ciertos caracteres no valen, etc.
*Ya, es mejor usar contraseñas distintas, pero hay sitios donde no te importa demasiado que descubran tu contraseña, así que no te vas a poner a escribir una contraseña para cada sitio. Para cuentas importantes contraseñas distintas, eso sí.
#18 Entonces lo mejor es apuntarlas en un papel al lado del ordenador, eso es lo que yo hago, eso si es seguro , así no te olvidas de las contraseñas .
#18 Siempre puedes usar un gestor de contraseñas, sea el del navegador, o KeePass, o cualquier otro, para guardar las contraseñas únicas de cada sitio. Con KeePass puedes crear varias bases de datos, por ejemplo una para "sitios basura" y otra para "sitios importantes", y así no tener que tener la de importantes desbloqueada todo el rato.
#4 Hay gestores de contraseñas. De todas formas, es más seguro una contraseña difícil apuntada en un posit que una contraseña del tipo 123456.
Los que te quieran robar el acceso al correo electrónico o al paypal no lo van a hacer registrando tu ordenador, sino mediante ataques remoto a la base de datos de contraseñas.
#2 Los bancos suelen usar todos doble autenticación para movimientos de dinero, es lo más seguro que hay.
#24 No me he explicado , cada uno tiene su "algoritmo" mental de contraseñas y sus manías, si te lo fuerzan o te lo condicionan, suele pasar dos cosas:
1.- La apuntas.
2.- Se te olvida constantemente.
#2 ¿8 alfanuméricos? PAra el banco de Sabadell es un PIN de ¡4 números!
#2 En el portal de una conocida entidad financiera catalana que empieza por caixa y acaba por bank (y no doy más pistas), la contraseña está limitada a (creo) 8 caracteres alfanuméricos pero,... si metes mayúsculas o minúsculas TE LO CONVIERTE TODO A MINÚSCULAS!!!!! Con un par. Total, quién necesita seguridad en la web de un banco... si los ladrones suelen estar cerca de los servidores
#81 los bancos podrían tener la excusa del COBOL, pero no cuela.
Una capa de abstracción entre la aplicación web y sus sistemas no tiene porque tragar con las limitaciones que tengan sus obsoletos lenguajes y bases de datos.
#81 La seguridad de los bancos consiste en que no se andan con chorradas, y si fallas la contraseña unas pocas veces, te bloquean la cuenta y te dicen que te pases por la oficina para desbloquearla. Por eso también pueden tener PINs de 4 dígitos en las tarjetas de crédito.
Aparte de que la "entidad financiera catalana" esa que mencionas, tiene una bonita tarjeta de claves que necesitas tener además de la contraseña para poder operar con las cuentas, y eso cuando no te mandan un SMS con un código al móvil.
#81 Y eso lo cambiaron no hace mucho (2 o 3 años). Antes era un PIN de 4 números.
Que a estas alturas de la película todavía estemos dándole vueltas a este tema es cuanto menos preocupante. Las contraseñas hace tiempo que deberían haber sido sustituidas por frases de paso.
PolK!9874_ puede parecer una contraseña segura pero el hecho es que tiene una mierda de robustez cuando la comparas con algo como: megustadesayunarunvasodelechecon3galletas. Las frases, además de tener una robustez mucho mayor, también tienen mucha más usabilidad porque son más sencillas de recordar.
Por otra parte, hoy día, cualquier aplicación que deba ofrecer un mínimo de seguridad debe implementar doble factor de autenticación, bien sea mediante el uso de certificados digitales en cliente o bien sea mediante el uso de tokens físicos o virtuales.
#5 Empecemos por no almacenar las claves en claro en las bases de datos, o con un cifrado de pena. Eso de que lleguen unos piratas y se hagan con decenas de miles de passwords a estas alturas, es increíble.
#6 En realidad yo creo que eso se asume, el tema es que tu base de datos, aún estando cifrada, caiga en manos de gente poco deseable y puedan armar un ataque de diccionario. Esto se ataja añadiendo una "sal" aleatoria, pero no descarta el ataque en vivo al servicio.
#6 Hace unos 2 años no me acordaba de la contraseña de segundamano, clické en el típico no me acuerdo....
Me mandaron la contraseña que tenía en texto plano por email. No me podía creer que a estas alturas de la película una empresa, y más una tan visitada, almacene las contraseñas en texto plano. No se si la LOPD dice algo al respecto, pero me parece bochornoso tener un sistema así.
Si hasta hoy en día hasta almacenar en MD5 es poco seguro, hay bastantes rainbowtables con millones de hashes para comparar y rapidamente sacar la contraseña.
#23 Tras registrarme en no sé qué página web de un ministerio con mi mejor y más preciada contraseña, me enviaron mi usuario y mi contraseña por correo-e en claro. Mucho https y luego mandan mi contraseña de paseo por unos cuantos servidores. Bravo, administratión electrónica. Ya si eso dentro de 10 años sacáis un dni-e que funcione.
#23 A lo mejor la tenían cifrada, no tiene por qué estar guardad en texto plano.
#66 En cualquier caso, al mandarla por email ya viaja en claro de un servidor de correo a otro.
#23 Se puede usar una función hash, pero con salt&pepper
#5 Tú quieres convertir la vida del usuario en un infierno. Certificados de cliente... joder, ¿y quién lo emite? ¿cada web el suyo? ¿o para acceder a una mierda de web voy a tener que usar un certificado de la FNMT, aunque no sea español o viva fuera? ¿un token?
Lo que pasa es que muchos montan una web y se creen que a sus usuarios nos importa una leche que nos hackeen la cuenta en su web. Y no. A mí si me cogen la cuenta de amazon me hacen un destrozo, y esa es la contraseña que yo intento que sea segura. Pero hay montones de web que me dan exáctamente igual, y no voy a tener un clave de 40 caracteres, ni activar doble autentificación, ni nada de nada.
La verdad, no sé por qué en este asunto se intenta pasar la responsabilidad al usuario. Si me hackean mi cuenta en tu web, seguramente sea culpa mía. Si hackean _todas las cuentas_, seguro que es tuya.
#16 Creo que o no me he explicado o no has entendido el fondo de lo que he dicho.
Discutir que un mecanismo 2FA es la forma correcta de proteger una cuenta a la que se le quiera garantizar unos mínimos de seguridad en el proceso de autenticación, no creo que tenga mucho sentido.
Sobre las formas de implementación del 2FA depende del contexto. Para aplicaciones con pocos usuarios y de ámbito limitado no hay ningún problema en emitir certificados propios. En aplicaciones de ámbito público lo más razonable es el uso de claves TOTP, sean con un token físico (poco práctico) o sean con un token lógico (app móvil/sms).
Sobre qué aplicaciones/negocios deben implementar perfiles de autenticación avanzados y con mecanismos 2FA pues dependerá del perfil de riesgo del caso. Hay sectores donde es algo de-facto como en banca (o en criptomonedas) y otros donde es algo optativo como Google, AWS o similar.
Y sobre que la seguridad de la cuenta del usuario sea responsabilidad del usuario, pues como idea está muy bien. Pero en cualquier entorno empresarial, por ejemplo, esa idea por muy bonita que sea... más te vale forzar medidas que garanticen la seguridad antes de que Paco, el de contabilidad se ponga de password la misma que usa en forodemascotas.com, donde por cierto se ha registrado con el correo de empresa.
#36 Un mecanismo 2FA no es para un "mínimo" de seguridad. ¿entonces qué es el máximo, un scan de cornea? Un mínimo de seguridad, que para mí significa que no puede entrar cualquiera, es un usuario / contraseña que _la web_ tiene aceptablemente bien cifrada en su BD. Y si hackean la web ese es el problema y no que yo como usuario no haya activado 2FA o elegido una contraseña de 40 caracteres.
Para algunos esta misma web será sagrada y guardarán su contraseña en el corazón y les encantaría activar 2FA si estuviera disponible, y en cambio otros usuarios que solo tienen cuanta para votar de vez en cuando usarán la misma contraseña guarra (pero que recuerdan) que en otros 50 sitios que tienen el mismo nivel de importancia, es decir, ninguno. Y esto no es que el usuario lo esté haciendo mal: Es que no le compensa la molestia de tener una clave distinta, larga, 2FA, etc, para cada sitio que visita.
Sinceramente estas webs que dicen que la contraseña hay que cambiarla cada X días porque les sale a ellos de los cojones, o que tiene que tener tal o cual formato por la misma razón, etc... me están diciendo les importa una leche mi tiempo y mi comodidad, lo importante es que ellos puedan estar tranquilos de que si les pillan la base de datos van a poder decir que sus usuarios están seguros. Que hagan bien su trabajo a mí como usuario que me dejen en paz, que si pongo de contraseña de algo "password00" es porque esa web me da exáctamente igual.
#5 Aqui lo que dices, mejorado
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html
#5 Tener que escribir esa contraseña desde el móvil debe ser un suplicio...
#54 Con un gestor de contraseñas como KeePass, te la escribe solo.
Cada vez que el sistema no te permite poner tus propias contraseñas, se incurre en inseguridad, porque te suele obligar a apuntarla en algún sitio. (debajo del teclado, en un notepases, un postit, etc...)
Enlace directo al paper [PDF, 850 KB]: http://www.diegoceldran.es/direct-download/NDIyfGh0dHA6Ly93d3cuZGllZ29jZWxkcmFuLmVzL3dwLWNvbnRlbnQvdXBsb2Fkcy93b29jb21tZXJjZV91cGxvYWRzLzIwMTYvMTIvTGEtaW5zZWd1cmlkYWQtZGUtbGFzLWNvbnRyYXNlw7Fhcy1zZWd1cmFzLnBkZg==/
#1 Me parece utilísimo que sea un PDF, creo que a partir de ahora todos los meneos deberían ser en PDF, es el formato del futuro. Además en un paper sobre seguridad lo mejor es un formato a prueba de bombas.
#14 Tranquilo, el próximo te lo harán en GIF. Animado.
#60 ¡Uf, menos mal!... porque soy "una persona muy visual" y me vendrá bien ver a un tío leyendo el paper para entenderlo mejor
#1 Para ser hacker, creo que es un error que tu link contenga en base64 una ruta que apunta a cierto software instalado en tu server.
Base64 decoded: 422|http://www.diegoceldran.es/wp-content/uploads/woocommerce_uploads/2016/12/La-inseguridad-de-las-contraseñas-seguras.pdf
#26 #1 Juas, de hecho este link: http://www.diegoceldran.es/direct-download/NDIyfGh0dHA6Ly93d3cuZ29vZ2xlLmVz
Te descarga la home de google.es. Chequea ese código porque pueden usar tu server para hacer cosas maliciosas en tu nombre.
#27 #1 Contáctame por mensaje privado, tienes un error de seguridad jodidamente grave en ese código, no voy a dar más detalles por aquí...
#41 Estás usando una versión actualizada del woocommerce? Creo que he encontrado algo por lo que se debería abrir un CVE. Y es algo muy simple...
#41 Sí es serio sí porque permite LFI.
Lo que no tengo claro es que #1 sea Diego Celdrán.
#45 Efectivamente, LFI. Y parece algo relacionado con el software que auto instala one&one dada cierta configuración que he visto.
#49 Por favor, que cambie la pass de la BBDD pero ya que hay cierto archivo que está muy accesibe
#55 Ojala fuera solo eso. Me temo que todos los woocommerce alojados en One&One son vulnerables a esto. Y dudo si están usando la ultima versión. He escrito al soporte de woocomerce para que me den un contacto de seguridad y darle los detalles. A ver si me dan CVE, que va a ser el cuarto y quedan muy bien en el CV.
#58 Confirmo que hay LFI, se puede acceder al archivo Passwd del server (y no he buscado más). Reportad eso.
#65 #45 #55 He contactado con woocomerce, el problema está en un plugin (direct-download). He contactado también con el creador del plugin y con Diego Celdrán. Esperando respuesta.
#26 Yo no soy el autor del paper. En su momento me funcionó el enlace. Si ahora no funciona, habrá que ir directamente a la página.
/cc #27
#41 Yo no soy ni el autor del paper ni el dueño de la página.
#45 No, no lo soy.
#26 Por curiosidad ¿qué software?
#29 wordpress y woocommerce
Lo más cachondo es cuando un sistema de seguridad exige que cambies la contraseña cada mes. Al final toda la empresa usaba, por ejemplo, en Enero de 2017:
usuario: nombre-apellido
Contraseña: pass012017
Y por supuesto, cuando tú no tenías permisos para algo, pero sabías quien sí, le pegabas un grito para decirle que entrabas con su usuario. No preguntabas nada más, ya sabías todo lo necesario para meterte en el sistema como él.
"Cambie la contraseña cada mes por su seguridad"
#34 o el tipico, contraseña vieja, contraseña temporal, contraseña vieja, a tirar millas.
¡Mecagoentus7padres! es el nuevo 1234.
#30 Para eso la variante con diéresis, añade mucha fortaleza: mecagüen.
Hoy mismo he publicado este tuit
#32
Esto me recuerda mi trolleo con unas plantillas de Office protegidas con la contraseña **** (asteriscos) hay programas que sacan la contraseña, pero al ver los asteriscos creen que no.
#68 . Muy zorro...
Muy gracioso y entretenido el "paper", pero el "hacker" debería aprender a redactar porque vaya tela...
La fortaza de una contraseña crece exponencialmente cuando aumentamos la longitud de la clave, pero "sólo" polinomicamente cuándo aumentamos el conjunto de caracteres usados.
Yo recomiendo claves de 12-15 caracteres de sólo letras minúsculas puramente aleatorio. Se escriben mas rápido cuándo solo hay letras minúsculas y no hay que pulsar SHIFT para escribir mayúsculas ni caracteres especiales.
Si quieres mas seguridad en un clave, aumenta la longitud, no aumentes el conjunto de caracteres usados
#17 Por ejemplo unacontraseña cómo "tendinitisaltramuzcontuberniomaastrichjesus" sería robusta?
#35 a simple vista parece muy robusta, suponiendo que tiene una longitud de 40 caracteres que están en el conjunto [a-z] habrian 26^40 = 3,97 × 1056 combinaciones
Aunque tiene dos problemas:
- No es 100% aleatorio
- Se tarda demasiado en escribir
#67 . Aleatoriedad pura implica máxima incomodidad; si no puedes aplicar reglas mnemotécnicas, la memorización es imposible.
Y los gestores de contraseñas en línea o/y de pago no son fiables.
#69 llevas razón, los gestores de contraseñas no son fiables. Yo recomiendo escribir la contraseña a mano, y guardar el papel en un sitio seguro.
Sobre la memorización es un tema a parte, si escribes tu contraseña muchas veces acabas memorizandola aunque sean letras sin sentido. Si en algún momento, no te acuerdas puedes acudir a tu hoja de contraseñas. Para mi lo importante es que sea fácil de teclear rápidamente, por eso evito mayúsculas, números, y caracteres especiales y procuro usar solo minúsculas (siempre que sea posible)
Sobre la forma de generar la contraseña, yo uso una aplicación android que yo mismo programe (si no, no me fiaria demasiado).
#67 Mediante diccionaria se tendría que generar la frase completa de una vez, no?
#74 me acabo de dar cuenta de la clave que has puesto está formada por palabras completas, en tal caso la fortaleza de la clave es proporcional al número de palabras usadas. Suponiendo que son palabras en castellano sería, mas o menos:
280000^n combinaciones donde n es el número de palabras usadas
Un atacante tendría que probar todas esas combinaciones de palabras. Bastaría combinar unas cuatro palabras para que fuese aceptablemente segura, pero haría falta que las palabras fueran elegidas aleatoriamente, si no corremos el peligro de usar palabras de uso común menguando la fortaleza de clave, y reduciendo el número de combinaciones mas o menos a 300^n
#75 Muchisimas gracias poe tu aporte. Y si fueran palabras inventadas?
Ejemplo en vez de HOUSE OF THE HAUNTED HILL - jausofdejauntedjil.
#47 Sí, pero el programador-listo de turno, que debe creerse un as de la seguridad, habrá programado ese formulario con cosas del tipo "la contraseña no puede empezar por un número", "debe haber al menos una minúscula" o cualquier chorrada habitual.
El resultado es que la contraseña acaba apuntada en un post-it enganchado a la pantalla del ordenador de la oficina y la seguridad es exactamente cero. Y ni te cuento lo que pasa el día que se despega el post-it y el de la limpieza lo tira a la basura.
En el mundo de la computación y la seguridad teórica todas estas cosas están muy bien, pero la gente vive en la realidad.
Seguridad absoluta:
"No te aferres a nada que no puedas abandonar en 30 segundos si viene la policía".
Contraseñas seguras, autenticación en dos pasos, cifrados asimétricos, etc... todo es ilusión de seguridad.
Y después están empresas como Vodafone o casas de apuestas como William Hill que no te permiten usar contraseñas seguras (sin símbolos, por ejemplo) debido a que, palabras textuales del soporte técnico, no quieren que sus usuarios tengan demasiadas opciones para las contraseñas y se la olviden con frecuencia.
Curioso artículo... habla de contraseñas y seguridad y no menciona entropía por ningún lado... vamos... que bonita recolección de conceptos sin cita alguna a artículos científicos ni base teórica.
O dicho de otra forma, esto es un refundido de lo que se puede encontrar en la red bastante incompleto y carente de fundamentos básicos. Puede que sea de interés para quien quiera montarse una web pero no para un sistema serio.
Hace ya mucho que uso y recomiendo (y enseño) a usar un algoritmo en lugar de memorizar múltiples contraseñas. ¿Para qué aprenderte una, dos o quince contraseñas, si basta con que aprendas UNA forma de generarlas?
Por ejemplo, eliges una frase larga «El gato es mío y me lo follo cuando quiero». Decides que para cada sitio web vas a meter el nombre del sitio entre la frase, y además que la frase la vas a escribir pulsando "atrás,atrás" en cada palabra. Así, para Meneame, quedaría:
- Escribir cada palabra tras pulsar "atrás,atrás": «gafolcuanquierodololomemyíoestoEl»
- Pulsar Inicio, y escribir una letra en mayúscula del nombre del sitio intercalada (pulsando "derecha" tras cada letra): «gMaEfNoElAcMuEanquierodololomemyíoestoEl»
Ale, contraseña de más de 30 caracteres, sin palabras de diccionario, una diferente por cada sitio o servicio, y fácil de recordar porque no recuerdas la contraseña sino cómo la generas.
Por supuesto, este algoritmo se puede adaptar y ampliar todo lo que se quiera, por ejemplo:
- Frase con signos de puntuación e intercalando números: «3l gat0 es mí0, y... ¡m3 l0 f0ll0 cuand0 quier0!»
- Nombre del sitio intercalando números o pulsando la letra siguiente en el abecedario, para que no sea demasiado obvio
- Tener varias frases llave, y usarlas según el caso, por ejemplo: Frase1 si el sitio empieza por vocal, Frase2 si empieza por consonante, Frase3 si es de importancia (email, banco...), etc.
- Estas mejoras nos dejarían algo como: «fN0FlÑcEuBaNnFqui3!r0d0l0l0m3¡..g.aym,í03st03l»
Todo es dedicar un rato de tiempo a pensar en un algoritmo que sea tuyo propio, y hacer pruebas con varios sitios, hasta que veas que no es nada fácil que alguien viendo una contraseña tuya pueda deducir las demás.
Puede parecer una flipada al principio, pero una vez que empiezas a usar tu algoritmo, en pocos días ya te sale solo y sin pensar.
Yo actualmente uso tres frases diferentes, con un algoritmo de varios pasos, que me deja contraseñas inmensas que nunca "olvido". Vale, a la hora de iniciar sesión tardo unos segundos más, pero... también tardo unos segundos en abrir las dos cerraduras de casa, y no por ello voy a preferir cerrar la puerta solo con el resbalón.
Y si un sitio no me permite una contraseña tan larga, una de dos: o me ofrece una validación en dos pasos, o directamente paso de usar ese sitio (sí, me cambié de banco por algo así).
#40 añadir la inicial del sitio no es mala idea pero es bastante previsible.
Yo creo que es mejor coger datos tuyos e irlos intercalando. Los datos no deben poder sacarse de ningún formulario web. Por ejemplo:
- Mi numero de zapato es el 39
- Mi talla de pantalon es L
- Mi talla de camiseta es la XL
- Tengo 2.25 dioptrias.
Contraseña: 39LXL2.25. Sencilla y aleatoria ante los ojos de un extraño (letras, numeros y simbolos). Puedes ir cambiando el tema de un sitio a otro.
#47 Es otra idea. Si a eso le añades "algo" que sea único en cada sitio, tipo intercalar las letras del sitio o cosas así para hacer una contraseña diferente en cada web, es parecido a lo que yo planteo
#40 Me parece estupendo tu metodo, y cuando quieras acordarte de «gMaEfNoElAcMuEanquierodololomemyíoestoEl», ya se te ha pasado que querias escribir...
#59 Pero es que no me tengo que acordar de esa frase, sino de cómo se genera. Y no tardo nada en hacerlo, porque es algo que tengo ya interiorizado.
Como decía antes, prefiero tardar un par de segundos más en entrar en casa aunque se me olvide lo que iba a coger del frigo, que dejar la puerta casi abierta.
#97 No me has entendidod, tu la generas de una manera concreta, pero en cuanto tengas 10 páginas diferentes tienes que acordarte de que le pusiste a Meneame como AfterAfter y a twitter como AfterAfterAfter (como ejemplo de lo que dices que usaste), así que realmente es lo mismo que acordarte de una contraseña, ya que tienes que recordar que variables le pusiste a cada "página"
Vamos que no le quito mérito si lo puedes usar, pero para el 99.^9% de la gente no es una opción vádila.
#40 . Si a ti te funciona...
1) no te sigo ni en el primer ejemplo, no se corresponde con tu propio procedimiento.
2) eso es inmanejable para el día a día, supongo que las usas en banca electrónica o así. Para accesos no-críticos...
#72 A ver... que lo que he puesto es un ejemplo. Yo no uso ese algoritmo, uso otro (que implica mover los dedos sobre el teclado de una forma que ya es memoria muscular) y sí, me funciona. Lo uso en todo sitio que no sea una chorrada: bancos, email (personales y de trabajo), Paypal y similares, Github y similares, etc.
Y no, no es inmanejable. Nunca guardo contraseñas en el navegador (incluso a pesar de tener el disco cifrado y esas cosas) así que a diario uso contraseñas de este estilo al menos una docena de veces. Es perfectamente manejable. Sí, para entrar a mi banco tardo tres segundos en lugar de medio, pero ciertamente, prefiero pararme durante tres segundos y tener una contraseña gigante y única por cada sitio.
Obviamente, en sitios chorra uso una contraseña simple y corta.
#40 "un algoritmo que sea tuyo propio"
A menos que seas la persona más inteligente del mundo, y ese algoritmo realmente requiera de la persona más inteligente del mundo para procesarlo... cualquiera un poco listo que vea una o dos contraseñas de webs en las que te registres, y siempre debes asumir que el webmaster puede verlo todo, va a tener una alta probabilidad de sacarte el algoritmo y poder abrir las cerraduras de todos tus servicios presentes y futuros.
Dicho de otra forma: NUNCA JAMÁS uses un algoritmo más simple que los estándares de la industria, que en este momento son AES, SHA2 y parecidos.
#100 Sí, claro. Y si te graban con un keylogger también te pueden sacar todo. Pero estás presuponiendo que haya una misma persona que consiga acceso a mis contraseñas diferentes de varios servicios diferentes, y las suficientes como para establecer un patrón. Te recuerdo que yo uso actualmente tres algoritmos diferentes según el sitio a registrarme, y son algo más enrevesados que el ejemplo que he puesto, que no era más que eso: un ejemplo.
Un atacante, para poder establecer un patrón, necesitaría varias contraseñas de cada uno de los algoritmos, y tendría que tener algunas ideas felices para extraer el algoritmo. Por ejemplo, si un webmaster (esa palabra me suena al siglo pasado ) consiguiese acceso a mi contraseña de Flickr, a la de Menéame y a la de Github, que ya es complicado, aún no podría inferir mi contraseña de email ni de Paypal porque las genero de forma diferente a las de esos sitios.
Una persona a la que le comenté esto cambia su layout de teclado a Dvorak y teclea la contraseña como si fuese un Qwerty... pero solo en uno de sus dos algoritmos. Hay que ser bastante avispado para, viendo una o dos contraseñas totalmente diferentes, inferir ese cambio de layout.
En realidad no hay cultura de la seguridad por parte de los usuarios, y frases como "periquito se merece que lo hackeen" pues creo que no hacen mucho por mejorar la situación. Igual no les hemos sabido transmitir la relevancia de una gestión decente de contraseñas.
Ahora es cuando añado que Mac OS tiene un gestor de contraseñas integrado en keychain que facilita bastante la vida sin tener que buscar herramientas de terceros.
A propósito de contraseñas: nunca he usado un gestor, me daban mala espina como idea, por el hecho de tener que almacenarlas todas en el mismo cesto y usando una herramienta de pago, sujeta a actualizaciones y en línea.
¿Alguien recomienda una alternativa fuera de línea, que no dependa de actualizaciones y cómoda de usar?
#71 KeePass
GPL, gratis, offline, con versiones para Windows, OSX, Linux, Android, etc., cientos de plugins para cosas de lo más variopintas, múltiples bases de datos si no quieres guardar todas las contraseñas en una sola.
#98 . Thanx por el soplo.
Keepass.
Por experiencia, lo mas importante es no usar la misma clave, ni patrón sencillo ya que todavía hay muchas webs donde se guardan las claves en texto. Aunque no hackeen esas webs, solo hace falta que quien pueda leer las claves que "decida probar" si la clave que parece medianamente segura "coincide" con la correo con quien se registro. Mucha gente elegirá nombres relacionados con la web, pero son las que parecen mas genéricas las que pueden coincidir con la del correo.
Clasicazo
https://xkcd.com/936/