Portada
mis comunidades
otras secciones
#11:
#1 #2 #3 #4 Los usuarios on un mundo pero también he visto cosas increibles por el otro lado...
Departamentos de seguridad que pa asegurarse de que estas concienciado contra el phishing, te bombardean el mail todas las semanas con con correos trampa para mantenerte alerta. Con lo que tu bandeja de entrada tiene una sustancial cantidad de correo basura generado por tu propia empresa viendo a ver si picas en el correo basura...
Listas de correo que envian informacion sensible (y sensible a nivel de seguridad de estado) que cuando dejas de trabajar en ese proyecto siguen llegandote durante meses... o años, pese a los continuos intentos de que te den de baja
Usuarios accediendo con clientes obsoletos a entornos de productivo. Pero no obsoletos de huy se me pasó instalarte la ultima version del X... obsoletos y sin soporte desde hace 5 o 6 años... Y forzar una subida de version a todo cristo y que Helpdesk tarde 1 año (1 puto año) en completar la lista de usuarios.... Tanto... que pa cuando te dicen creemos que ya están todos ya hay otra nueva version de dicho cliente y tienen que volver a empezar... (nop, no pregunteis por que no tienen un script... son misterios insondables que nunca obtendrán respuesta)
Bancos (¡BANCOS!) que envian informacion financiera sensible en texto plano sin encriptar pero es el mismo banco, que por "seguridad" cada vez que preguntas algo a su equipo de support te responden con un mail que tiene un link que te loguea en su sistema de mail con usuario contraseña y clave (que te tienen que dar de alta ellos) para ver el mensaje cifrado, haciendo que la comunicacion sea lenta farragosa y en muchas ocasiones no siempre posible... pa cosas del tipo "¿Oye arreglasteis eso? Sip/nop" sea uin proceso tedioso que a veces tarda dias en poder realizarse
Interfaces basados en ficheros que son accesibles desde des, qas y pro.... con lo que desarrollo puede modificar datos de entrada de produccion...
Todos esos momentos se perderán... como tikets "on hold" en el jira...
Pero si quieres mi momento favorito de usuario... el tipo tenia el monitor todo garabateado con rotu. Le preguntas que mierda es eso y te dice que passwords de usuario que se los apuntaba con rotu permanente en la base del monitor. En el fondo la tecnica no era mala del todo porque al cabo de los años y de las claves escritas en el mismo, el galimatias de chorradas en la minuscula base del monitor hacia francamente complejo adivinar cual era el actual. Riete tu de AES256
Departamentos de seguridad que pa asegurarse de que estas concienciado contra el phishing, te bombardean el mail todas las semanas con con correos trampa para mantenerte alerta. Con lo que tu bandeja de entrada tiene una sustancial cantidad de correo basura generado por tu propia empresa viendo a ver si picas en el correo basura...
Listas de correo que envian informacion sensible (y sensible a nivel de seguridad de estado) que cuando dejas de trabajar en ese proyecto siguen llegandote durante meses... o años, pese a los continuos intentos de que te den de baja
Usuarios accediendo con clientes obsoletos a entornos de productivo. Pero no obsoletos de huy se me pasó instalarte la ultima version del X... obsoletos y sin soporte desde hace 5 o 6 años... Y forzar una subida de version a todo cristo y que Helpdesk tarde 1 año (1 puto año) en completar la lista de usuarios.... Tanto... que pa cuando te dicen creemos que ya están todos ya hay otra nueva version de dicho cliente y tienen que volver a empezar... (nop, no pregunteis por que no tienen un script... son misterios insondables que nunca obtendrán respuesta)
Bancos (¡BANCOS!) que envian informacion financiera sensible en texto plano sin encriptar pero es el mismo banco, que por "seguridad" cada vez que preguntas algo a su equipo de support te responden con un mail que tiene un link que te loguea en su sistema de mail con usuario contraseña y clave (que te tienen que dar de alta ellos) para ver el mensaje cifrado, haciendo que la comunicacion sea lenta farragosa y en muchas ocasiones no siempre posible... pa cosas del tipo "¿Oye arreglasteis eso? Sip/nop" sea uin proceso tedioso que a veces tarda dias en poder realizarse
Interfaces basados en ficheros que son accesibles desde des, qas y pro.... con lo que desarrollo puede modificar datos de entrada de produccion...
Todos esos momentos se perderán... como tikets "on hold" en el jira...
Pero si quieres mi momento favorito de usuario... el tipo tenia el monitor todo garabateado con rotu. Le preguntas que mierda es eso y te dice que passwords de usuario que se los apuntaba con rotu permanente en la base del monitor. En el fondo la tecnica no era mala del todo porque al cabo de los años y de las claves escritas en el mismo, el galimatias de chorradas en la minuscula base del monitor hacia francamente complejo adivinar cual era el actual. Riete tu de AES256
#13:
#12 Solo digo que me jode bastante que luego los iranies, los venezolanos, los coreanos, los rusos... aqui parece que todos se dedican a subvencionar partidos politicos para oscuros propositos y ninguno tiene la santa decencia de sobornar a los pobres curritos de IT que estamos deseosos de vender informacion confidencial a buen precio... Anis... Nunca voy a salir de pobre...
#40:
#32 #30 #21 #12#14 #16 Una vez, prepandemia, con la oficina llena y todo el mundo en silencio, un consultor de negocio bastante bocachanclas se casco a gruito pelao en la oficina
-A ver que mierda es esa que me mandais los de sistemas que sois unos inutiles y no va, que me lo he bajao y lo he instalado ya 3 veces pero no hace nada
-Perdona, no se muy bien de que hablas, pero apaga ahora mismo tu equipo.
Una vez sufrimos el intento de ciberataque más robusto ever, estabamos currando, alguien llamo al timbre un tipo con casco de moto diciendo mensajero, le abrieron la puerta, entro corriendo arrancó un portatil y salio por patas por la escalera de incendios (4º piso) nos quedamos tos mirandolo diciendo uh, no me pagan tanto como pa darme de yoyas, dejale que corra que total el portatil esta cifrado... (presupongo que mas que ciberataque querria revender el portatil pero tb jugarse el tipo por una patata de laptop de hace 5 años... a saber que pensaba encontrar en su cabeza...)
-A ver que mierda es esa que me mandais los de sistemas que sois unos inutiles y no va, que me lo he bajao y lo he instalado ya 3 veces pero no hace nada
-Perdona, no se muy bien de que hablas, pero apaga ahora mismo tu equipo.
Una vez sufrimos el intento de ciberataque más robusto ever, estabamos currando, alguien llamo al timbre un tipo con casco de moto diciendo mensajero, le abrieron la puerta, entro corriendo arrancó un portatil y salio por patas por la escalera de incendios (4º piso) nos quedamos tos mirandolo diciendo uh, no me pagan tanto como pa darme de yoyas, dejale que corra que total el portatil esta cifrado... (presupongo que mas que ciberataque querria revender el portatil pero tb jugarse el tipo por una patata de laptop de hace 5 años... a saber que pensaba encontrar en su cabeza...)
#1:
Convoco a este meneo a @SkaWorld , que habrá visto cosas que nunca creeríamos
#65:
#54 Nah, es mejor por apellido... "Vengo a ver Martínez"... con cara de póker, maletín bajo el brazo y casi metiendo el pie dentro. A ver quién tiene :::::::::::: de no abrirle y dejarle pasar. Luego el tipo se pasea por media planta como si fuera el amo del cortijo y nadie pregunta nada. Visto y vivido, no en una empresa TIC, no... pero con contenido sensible y tres folios de confidencialidad. Spain is diferent.
#76:
#13
A mi me toco convencer (con bastante sangre) a toda mi puñetera empresa de que no era buena idea guardar sin encriptar (si, guardar en texto claro) la información financiera de todo el país (si, de todas las personas) y que era muy mala idea que toda el área financiera (incluyendo becarios varios) tuvieran acceso irrestricto a ella, que para sacar informes sólo era necesario manejar información agregada y de ninguna manera nada específico.
Hasta que no les hice caer en cuenta que aunte una fuga de información los directos responsables eran los directivos de alto rango no se dignaban a hacer nada.
A mi me toco convencer (con bastante sangre) a toda mi puñetera empresa de que no era buena idea guardar sin encriptar (si, guardar en texto claro) la información financiera de todo el país (si, de todas las personas) y que era muy mala idea que toda el área financiera (incluyendo becarios varios) tuvieran acceso irrestricto a ella, que para sacar informes sólo era necesario manejar información agregada y de ninguna manera nada específico.
Hasta que no les hice caer en cuenta que aunte una fuga de información los directos responsables eran los directivos de alto rango no se dignaban a hacer nada.
Comentarios
#12 Solo digo que me jode bastante que luego los iranies, los venezolanos, los coreanos, los rusos... aqui parece que todos se dedican a subvencionar partidos politicos para oscuros propositos y ninguno tiene la santa decencia de sobornar a los pobres curritos de IT que estamos deseosos de vender informacion confidencial a buen precio... Anis... Nunca voy a salir de pobre...
#13
Luego pasa lo que pasa
#21 Jajajajaj. Mira que lo sabía...
#37
Estaba cantado.
#32 #30 #21 #12#14 #16 Una vez, prepandemia, con la oficina llena y todo el mundo en silencio, un consultor de negocio bastante bocachanclas se casco a gruito pelao en la oficina
-A ver que mierda es esa que me mandais los de sistemas que sois unos inutiles y no va, que me lo he bajao y lo he instalado ya 3 veces pero no hace nada
-Perdona, no se muy bien de que hablas, pero apaga ahora mismo tu equipo.
Una vez sufrimos el intento de ciberataque más robusto ever, estabamos currando, alguien llamo al timbre un tipo con casco de moto diciendo mensajero, le abrieron la puerta, entro corriendo arrancó un portatil y salio por patas por la escalera de incendios (4º piso) nos quedamos tos mirandolo diciendo uh, no me pagan tanto como pa darme de yoyas, dejale que corra que total el portatil esta cifrado... (presupongo que mas que ciberataque querria revender el portatil pero tb jugarse el tipo por una patata de laptop de hace 5 años... a saber que pensaba encontrar en su cabeza...)
#40 Eso en nuestra empresa no sería posible. Solo se puede abrir la puerta a mensajeros en la zona de recepción. Las otras salas/plantas está completamente prohibido. Incluso podría ser una falta grave. En los mentideros se habla de que se despidió a un tipo por abrir la puerta a un mensajero.
#46 En todas las oficinas en las q he estado tb, pero me juego un frigopie a que si llamas y dices con cara de bueno perdona me abres vengo a ver a Carlos, te abren.
Nadie pregunta quien es Carlos para obtener de respuesta "el de los cojones largos"
#54 nada que un linkedin previo a la empresa no arregle
#54 Nah, es mejor por apellido... "Vengo a ver Martínez"... con cara de póker, maletín bajo el brazo y casi metiendo el pie dentro. A ver quién tiene :::::::::::: de no abrirle y dejarle pasar. Luego el tipo se pasea por media planta como si fuera el amo del cortijo y nadie pregunta nada. Visto y vivido, no en una empresa TIC, no... pero con contenido sensible y tres folios de confidencialidad. Spain is diferent.
#40 En un hospital tuvimos que reponer un ordenador porque vino alguien diciendo que era de mantenimiento y se lo llevo y nunca volvio. No tuvo que correr.
Te pones una bata o un mono de trabajo y andas por donde quieres. Yo lleve una semmana una bata con el nombre de un medico que salia por la tele.
#46 #65 Tambien fue un famoso el Capitan Timo que se metia en cuarteles verstido de alto mando y ya nadie se atrevia a chistarle nada. Creo que en la mili de mi hermano vino uno vestido de cura preguntando por alguien y se paseo por todos sitio, creo que le dieron de comer y ese alguien luego no sabia quien era.
https://www.abc.es/local-madrid/20130620/abci-capitan-timo-201306201303.
https://elpais.com/politica/2013/06/20/actualidad/1371720982_919364.html
#54 "Soy yo" y te dejan pasar siempre.
#21 Y eso que trabajamos bajo presión...
#13 salvo que es tan no confidencial que seguro la tienen tal y como comenta #11.
#13
A mi me toco convencer (con bastante sangre) a toda mi puñetera empresa de que no era buena idea guardar sin encriptar (si, guardar en texto claro) la información financiera de todo el país (si, de todas las personas) y que era muy mala idea que toda el área financiera (incluyendo becarios varios) tuvieran acceso irrestricto a ella, que para sacar informes sólo era necesario manejar información agregada y de ninguna manera nada específico.
Hasta que no les hice caer en cuenta que aunte una fuga de información los directos responsables eran los directivos de alto rango no se dignaban a hacer nada.
Convoco a este meneo a
SkaWorld , que habrá visto cosas que nunca creeríamos
#0 #1 No se puede ser real, no puede ser tan fácil.... o sí
#1 #2 A mí me han enviado por email número de tarjeta de crédito con fecha de caducidad y código de seguridad. No me cuesta creer que esto sea real.
#1 #2 #3 #4 Los usuarios on un mundo pero también he visto cosas increibles por el otro lado...
Departamentos de seguridad que pa asegurarse de que estas concienciado contra el phishing, te bombardean el mail todas las semanas con con correos trampa para mantenerte alerta. Con lo que tu bandeja de entrada tiene una sustancial cantidad de correo basura generado por tu propia empresa viendo a ver si picas en el correo basura...
Listas de correo que envian informacion sensible (y sensible a nivel de seguridad de estado) que cuando dejas de trabajar en ese proyecto siguen llegandote durante meses... o años, pese a los continuos intentos de que te den de baja
Usuarios accediendo con clientes obsoletos a entornos de productivo. Pero no obsoletos de huy se me pasó instalarte la ultima version del X... obsoletos y sin soporte desde hace 5 o 6 años... Y forzar una subida de version a todo cristo y que Helpdesk tarde 1 año (1 puto año) en completar la lista de usuarios.... Tanto... que pa cuando te dicen creemos que ya están todos ya hay otra nueva version de dicho cliente y tienen que volver a empezar... (nop, no pregunteis por que no tienen un script... son misterios insondables que nunca obtendrán respuesta)
Bancos (¡BANCOS!) que envian informacion financiera sensible en texto plano sin encriptar pero es el mismo banco, que por "seguridad" cada vez que preguntas algo a su equipo de support te responden con un mail que tiene un link que te loguea en su sistema de mail con usuario contraseña y clave (que te tienen que dar de alta ellos) para ver el mensaje cifrado, haciendo que la comunicacion sea lenta farragosa y en muchas ocasiones no siempre posible... pa cosas del tipo "¿Oye arreglasteis eso? Sip/nop" sea uin proceso tedioso que a veces tarda dias en poder realizarse
Interfaces basados en ficheros que son accesibles desde des, qas y pro.... con lo que desarrollo puede modificar datos de entrada de produccion...
Todos esos momentos se perderán... como tikets "on hold" en el jira...
Pero si quieres mi momento favorito de usuario... el tipo tenia el monitor todo garabateado con rotu. Le preguntas que mierda es eso y te dice que passwords de usuario que se los apuntaba con rotu permanente en la base del monitor. En el fondo la tecnica no era mala del todo porque al cabo de los años y de las claves escritas en el mismo, el galimatias de chorradas en la minuscula base del monitor hacia francamente complejo adivinar cual era el actual. Riete tu de AES256
#11 Listas de correo que envian informacion sensible (y sensible a nivel de seguridad de estado) que cuando dejas de trabajar en ese proyecto siguen llegandote durante meses... o años, pese a los continuos intentos de que te den de baja
No sé si es peor esto o lo de los bancos
#12 bueno yo sé el caso contrario, donde alguien que ha recibido un contrato nuevo, se va el miércoles, vuelve el jueves y TODO su ordenador ha sido formateado por fin de contrato.
#1 #2 #3 #4 #11 Yo he visto cosas mucho peores. Guardar las contraseñas de todo tipo en archivos de texto en el ordenador. Incluyendo semillas de monederos bitcoin. Típicamente en el escritorio, para no tener que buscarlo mucho.
Incluso entre los genuinamente preocupados por la seguridad sueles encontrarte con archivos de exportación de contraseñas de algún gestor o navegador, por ahí olvidados tras una reinstalación. O capturas de pantalla con datos de login que han sacado para no matarse a apuntarlos.
Pero el más que he visto era uno que al parecer guardaba las cuentas en el forro interior de una carpeta vieja, escritos a boli. Cada uno orientado en una dirección, escrito con un boli distinto a lo largo de años. . . Pues el tipo al tirar la carpeta lo que hizo fué arrancar el forro y sacarle un par de fotos. Las tenía en el escritorio
#14 Por esta clase de cosas hace tiempo que no creo en la seguridad informática
#15 el user es el eslabón más débil casi siempre
#14 En la última empresa en la que trabajé, los passwords eran el nombre del usuario + dos dígitos para el mes + dos dígitos para el año. Pero es que incluso el de mi subalterno informático era absolutamente predecible. La lista de usuarios, un archivo Calc, con todas las IPs, los usuarios y sus respectivas claves de acceso a archivos de alta seguridad.
No me extraña nada.
#11 Añado la vez que un usuario nos llamó para quejarse de que solo él había recibido el aviso de que tenía que cambiar la contraseña y que tuvo que reenviar el mensaje a todos sus compañeros, que éramos unos incompetentes. El mensaje,... por supuesto, era un phising.
#16
#16
#11
Yo diría que hemos trabajado en los mismos sitios (y no me ocupo de temas de seguridad)
Te añado una muy graciosa: hace años, en un nodo Solaris donde se conectaba toda la empresa, dejaron una copia del /etc/shadow con permisos de lectura para todo el mundo.
#11 En mi empresa Helpdesk es inútil. Y eso mismo, no tienen scripts para nada y lo hacen todo manual. En una empresa mediana-grande a nivel local y grandecita a nivel internacional.
#11 Yo uso un sistema parecido al del monitor, pero en versión digital. Entre los miles de ficheros en texto plano que tengo el PC hay uno con casi 10 años de códigos alfanuméricos. Entre dichos códigos están casi todas la contraseñas de la empresa. Cada vez que tengo que apuntar un código, clave, contraseña,.. o en que número de recibo me quedé, lo apunto ahí, y nunca borro.
Lo mejor fue cuando descubrí que mi clave personal de acceso es la única con privilegios de administrador, vete a saber por qué... sobre todo teniendo en cuenta que mi PC está independiente de la red interna.
#44 El cifrado por ofuscación no está mal, pero claro, ¿los sistemas de esas contraseñas se bloquean al 3º intento o se pueden meter las passwords de esa lista 30459450495 veces sin que pase nada?
#50 Pues no he probado, sé que la mayoría se bloquean tras varios intentos, pero habrá de todo. Ahí hay contraseñas y códigos de banca, passwords de software, accesos a proveedores y administraciones públicas, correos electrónicos varios, contraseñas de determinados ficheros del servidor... todo lo que uso o haya usado aunque sea puntualmente, Además de todo tipo de códigos y números random que he ido apuntado a lo largo de los años.
Un compañero me dice medio de coña que soy el Amo de las Llaves. El día que me vaya de la empresa va a ser divertido...
#11 si los requisitos para poner password no fueran tan brutales la gente no los apuntaría. A mi me gustan las frases largas con alguna fecha, fáciles de recordar y ya dijeron que más seguras que tanto galimatías de números, letras, mayúsculas, símbolos, runas y kanjis obligatorios.
#64 Para un humanos es mas facil una frase larga que con contraseñas corta aleatoria.
Si son frases raras se recuerdan mejor y mejor si son inconfesables.
No se cuanto se puede predecir la frase, pero tambien tiene sus coste comutacional.
https://xkcd.com/936/
DepequeñomeKGynoseentero.
MEcosoelsobacoconlodeabajo.
Pilotameeltomate.
TNSLPPBNTSO ( si se deletrea en ingles dice Tienes el pipi bien tieso)
Si te confias mas en tu memoria añades mayus, numeros y otros caractees, tambien palabras que no existan en el diccionario o modificandolas para que no esten en el dic.
#84 Si no tiene un 9 o un 6 canta un poco. Esta bien ofuscar, pero estaria mejor que las contraseñas no estuviesen completas y hubiese que añadir algo de otra fuente como la mente.
#10
#31 Los programas de craqueo ya hacen ese tipo de sustitucion, pero al ser larga esas sustituciones relativamente previsibles, aumentan exponencialmente trabajo de testar contraseñas.
Yo creo que lo mas eficar es la longitud y toda dificultad que añadas es ganancia, siempre que no sea un problema para recordarla, renovarla o gestionarla.
#41 Una que no fuese de conocimiento publico mejor.
#52
#87 Los programas de craqueo ya hacen ese tipo de sustitucion
Te hablaran en 133+ 5pe@k, y si saben que es español puede que te cambien c y z por s, e intercambiar b y v, pero si te pones a escribir en andaluh/castizo... creo que antes prueba directamente fuerza bruta
#87 >> Si no tiene un 9 o un 6 canta un poco.
En aquella época los números de teléfono tenían siete cifras y los de mi barrio empezaban por 446 y las cuatro últimas eran el pin de la tarjeta. Lo de "con el 91 delante" vino después.
#11 lo de los bancos me ha recordado a un partner nuestro (de un banco no español, para tranquilidad de alguno) que nos mandó un script que usaban en producción, que contenía "-user root -pw 12345678"
#11 no puedo hablar sobre helpdesk porque conocí alguien trabajando allí (pero te lo puedes imaginar )
#3 A mí también, aunque nunca sabes qué tarjeta es. Algunos bancos te permiten crear tarjetas virtuales de un único uso, con límite de gasto y a veces hasta limitadas a un único comercio, así que las puedes dar sin más.
Yo lo hago a veces cuando trabajo con un desarrollador externo que necesita tal o cual servicio en la nube... le doy una tarjeta con $100 o lo que sea, y haga con ella lo que le salga de las pelotas.
#3 A mi me han pedido que lo haga, una correduría de seguros. Lo acojonante es que lo veía de lo mas normal
#3 no sirven de nada hasta que actives esa tarjeta con tu firma digital en tu banco.
Las tarjetas se envían desactivadas
#2 Quiero creer que es mentira y un video humoristico... peeerooo... digamos que le doy un 40% de credibilidad, na un 50% al menos.
Jamas olvidare cuando los usuarios me devolvian los portatiles que les davamos para conectar en remoto a informacion confidencial del banco en el que trabajaban con la hoja de contraseñas dentro del portatil cerrado, colocadita entre la pantalla y el teclado para no perderla
#2 te sorprendería la de gente que lleve la tarjeta crédito con la clave a rotulador en la misma. O un papel con las claves de todo en la funda del móvil.
#48 o usa como pin su cumpleaños.
#48 >> O un papel con las claves de todo en la funda del móvil.
Hace décadas, antes de los móviles, yo llevaba una tarjetita con los números de teléfono y, escondidos entre ellos iban los pines de mis tarjetas. Por ejemplo "Carlos Martínez 4453256" era el pin de mi tarjeta de CajaMadrid, 3256.
#48 mi padre mismo
Siempre le digo: “sabes que puedes cambiarla, no?” (Tiene tarjetas hace 40 años; no es que sea un inexperto, vamos)
#1 A ver... el estricto protocolo de invocación a
SkaWorld exige que, a la vez que lo llamas, cierres los ojos y extiendas los brazos.
#4 Lo que no se es cómo ha aparecido son riskettos por medio. Está muy facilón.
#20 Pues porque lo han invocado muchos de golpe y al pobre no le da tiempo a satisfacer la demanda
#45 Su contraseña es demasiado corta
Tengo una conocida cuya dirección de correo electrónica era "mijefesubnormal@xxxx.es" y su contraseña, según me contó un día era el nombre completo del susodicho.
#5 pues es fácil de recordar...
#5 lo malo es cuando la pregunta de seguridad es " el más cabron de la empresa"
Y metes y metes nombres y no aciertas...
#52 Supongo que mecánicamente puede ser igual.
Pero luego a la hora de hacer ingeniería social tiene cierta debilidad
#67 Estás accediendo desde tu móvil, es el móvil el que da el visto bueno a la huella dactilar y es en el móvil donde pones la contraseña.
Eso no tiene nada de robusto, el móvil es un único elemento, si es vulnerable no hay triple nada.
Real como la vida misma.
Eso cuando no las tienen escritas en un postit pegado en la pantalla.
#7 Hasta te diría que visto lo visto el postit tampoco es lo peor.
#42 De hecho en las autopistas para circular por ellas debes cambiar de coche cada 6 o 12 meses, y tiene que tener las puertas de colores distintos y debes llevar algo colgado en el retrovisor. Es por la seguridad.
#43 Yo cuelgo un par de dados, que le da un plus de aleatoriedad.
#43 así es, estamos en un mundo donde se permite conducir un vehículo por una autopista a cualquiera y se le da acceso online al mundo digital también a cualquiera.
Hacer que ambos sean seguros cuesta unos esfuerzos y unos recursos ingentes
#71 Chico, llámame viejuno, que lo soy... pero tampoco es que hayamos evolucionado en las oficinas para mejor, ¿no? 😆
¿Nadie comenta el clásico post-it pegado al monitor con la contraseña? Mis ojos han visto cosas... muchas cosas.
#66 Eso ya está obsoleto hombre, ahora te dan un portátil con el Bitlocker para que nadie pueda entrar y PEGAN LA CONTRASEÑA EN EL BOTÓN DE ENCENDIDO, justo debajo, con una pegatina de las que no se puede quitar sin destrozar el portátil.
#61 además de corta ya ha sido usada anteriormente, elija otra
Es que me ponen una buena
(...)cámara delante y descontrolo tía...No es "porque" es "por qué"
No entiendo la mitad de las cosas de las que habláis, pero os doy el punto de vista del usuario.
Para conectarme y empezar a trabajar tengo que poner 3 contraseñas diferentes, una de ellas generada por el móvil después de poner otra contraseña.
Después, para cada programa que utilizo (programas desde as400 en COBOL hasta muchos en cloud), más contraseñas. Y cambiarlas cada X tiempo (variable, desde dos meses hasta 4). Muchos de los programas te sacan cada X minutos por seguridad, por lo que tengo que volver a poner la p** contraseña cada vez que lo tengo que usar.
De verdad que es un absoluto coñazo. Creo que me paso como el 5% de mi tiempo metiendo contraseñas, no tiene sentido.
Hola, os presento al comando openssl rand -base64 24 y un gestor de contraseñas.
#9 Cómo que el 99% de la gente sabe qué es eso.
Cómo consejo no es muy bueno...
Para el común de los mortales es mejor este consejo: https://xkcd.com/936/
Junto a que no usen la misma contraseña para todo
#10 A mi en vez de 4 palabras random me gusta poner una frase gramaticalmente correcta pero totalmente absurda.
#22 Pues si no es gramatical ni ortográficamente correcta ya es un paso importante, porque ya es equivalente a ser totalmente aleatoria. Er_b0lsbagüenTuaréColohFursia no lo sacas con diccionarios por mucha mezcla que hagas.
#31 Uf, que pereza, no ganaría para derrames cerebrales 😂
#22 "Cuanto peor mejor para todos y cuanto peor para todos mejor, mejor para mí el suyo beneficio político"???
Sería este un buen ejemplo??
#41 Exacto
#22 yo uso palabras no correctas. Cosas muy simples, pero que no se encuentran en listas de palabras.
ErÁmasonesunamierdapaaayo69¡!
Atomarpolculoeribeidelocohone69¡!
#10 solo que el consejo no vale en muchas paginas donde te piden:
al menos 1 letra
al menos 1 letra mayuscula
al menos 1 letra minuscula
al menos 1 numero
al menos 1 simbolo
Salvo que pongas de contraseña:
Puta-contraseña-1
(ideal ademas la eñe para saltarte hackers no hispanos)
#25 Eso es cierto.
Lo malo de la ñ es que puede dar problemas (Una vez tuve que abrir un ticket por ese tema), pero se pone doble N e incluso la hace más fuerte.
#28 La clásica Latengopequenna10CM
#45 pero esa no es valida para simbolos especiales
hace falta al menos un - como separador en lugar de espacios.
#56 Ya estáis los profesionales jodiendo una contraseña perfecta y que no soy capaz de olvidar
#10 Ahora que pienso, poner 4 palabras diferentes es más seguro que poner la misma palabra 4 veces?
#9 eso ya lo hace el propio firefox o el chrome sin ir mas lejos.
PEBKAC
#23 Yo llevo en esto de IT 35 años entre pitos y flautas, y dando soporte a usuarios finales pasé unos cuantos y hay de todo. Desde el que usa como contraseña su perro y el año de nacimiento hasta el que usa un chorizo de 30 caracteres random apuntados en un postit en la pantalla. Es imposible que un usuario final, ya sea un administrativo, un abogado, un mecánico o un arquitecto, se acostumbren a usar keepass, con n-mil contraseñas diferentes para curro y para sitios personales... no lo hacemos ni los de IT como para que lo hagan ellos. Cada vez hay más tendencia a que las contraseñas se cambien sólo cada 6 o 12 meses, a que sean complejas pero no roten porque al final es contraproducente. Acabaremos todos con la huella o el iris pero eso debería ser el userId, no la password. En fin, es una guerra perdida.
#24 Cada vez hay más tendencia a que las contraseñas se cambien sólo cada 6 o 12 meses, a que sean complejas pero no roten porque al final es contraproducente.
Una tendencia que debería abolirse, por ley si hace falta.
Obligar a cambiar la contraseña sin que haya indicio alguno que haya sido filtrada o capturada es tan absurdo como obligar a reinstalar todos los servidores desde cero cada 6 meses o cada 12 meses como medida de prevención de ataques.
Lo de que sean complejas solo sería aceptable si se incluye como compleja que sea larga, sin pijadas de símbolos, mayúsculas, números u otras tontadas. Que sí, que si es de 8 caracteres en un servicio que admita fuerza bruta exígele hasta emojis, pero si es larga puede ser perfectamente segura con todo minúsculas.
#29 Se pide cambiarlas porque existe la maña costumbre de compartir la contraseña del dominio y del tiktok y si cambias una cada x meses, a veces, no cambias la otra o las otras 30 que tienes iguales, que como te pillen una te crujen el resto de sitios. Repito que no se puede confiar en el usuario, no asumen que es parte de su trabajo usar las contraseñas correctamente como usan un martillo pilón con cascos para los oídos (esto también hubo que hacerlo obligatorio por ley o no se los ponían, eh)
La complejidad incluye ambas cosas, longitud y tipos de caracteres. La longitud es más importante, mínimo 20 para empezar. Hay algún sitio del curro donde me piden 32 como mínimo por política, pero es que ahí hay "cositas golosas" y la seguridad debe ser máxima.
#33 En primer lugar no se debe penalizar a quienes lo hacen bien por quienes lo hagan mal, pon un "tick" que diga que pasen de aplicar tontadas a tu contraseña y que venga desactivado por defecto, o lo que quieran. Pero que me obliguen a poner una contraseña con sus mierdas por el miedo a que gente lo haga mal es una barbaridad, y además sin resolver realmente el problema de quienes lo hacen mal.
La complejidad incluye ambas cosas, longitud y tipos de caracteres.
Y esa es la metida de pata, considerar que los tipos distintos de caracteres deban ser un requisito en una contraseña larga, lo único que consiguen es dificultar el uso de buenas contraseñas con su incompetencia.
Hay algún sitio del curro donde me piden 32 como mínimo por política
Vaya malgasto de postits, 5 o 6 uno al lado del otro como mínimo.
#39 Por eso hay límites de velocidad a 120 en las autopistas, porque aún hay gente a 90 por el carril central.
#29 Totalmente de acuerdo
Solo hace falta dos cosas
Qué sea aleatoria (aleatoria de verdad, nada de aporrear el teclado)
Y que sea larga (12-16 caracteres usando sólo minúsculas)
El resto son tonterías
#29 Ni eso, el triple factor. Una cosa que eres, una cosa que sabes, una cosa que tienes. Te validas en tu móvil (algo que tienes), con tu huella (algo que eres) y con un pin o password corto (algo que sabes). Con opción de password de coacción para mayor seguridad. Con esto es sencillo y robusto.
Pero no todo el mundo tiene un smartphone...
Esta chica es graduada,.. la cream de la cream.
#26 Y probablemente verá el vídeo, se reirá sin entender el chiste, y mantendrá su contraseña 20 años más. O como mucho hará un cambio del año por alguno entre su fecha de nacimiento y la actual.
esto comprueba la teoría de las retrasadas; peña, diría que más mujeres, que pese a tener carrera, son retrasadas
#70 ¿insinúas que las mujeres son las retrasadas?
Llevo décadas en IT y no vi diferencias entre carrera/no carrera ni hombre/mujer.
Incluso hay técnicos cuya conciencia de seguridad es deficiente.
POR QUÉ
¿nadie usa google para las contraseñas?