PayPal y Lenovo encabezan una nueva campaña para acabar con las contraseñas. Esta campaña con nuevas normas propuestas por la denominada Alianza Fido apoya que sean los dispositivos de los usuarios los que le identifiquen, sin necesidad de utilizar ningún tipo de contraseña.
#3:
#1#2 No lo habeis entendido bien. Buscan ligar contraseñas a dispositivos concretos (a firmas de hardware) en lugar de contraseñas ligadas a aplicaciones. Es mucho mas seguro que lo que hacemos actualmente porque tendrian que robarte la contraseña y ademas el dispositivo concreto vinculado a esa contraseña, las dos cosas.
Quieren prevenir el fraude a través del robo de contraseñas promoviendo que la identificación se realice a través del dispositivo. ¿Y si el dispositivo es robado? ¿no sería acaso mucho peor? Si me roban una clave es una clave, es un problema. Si me roban el dispositivo... me roban todas las claves, son muchos problemas.
#1#2 No lo habeis entendido bien. Buscan ligar contraseñas a dispositivos concretos (a firmas de hardware) en lugar de contraseñas ligadas a aplicaciones. Es mucho mas seguro que lo que hacemos actualmente porque tendrian que robarte la contraseña y ademas el dispositivo concreto vinculado a esa contraseña, las dos cosas.
Quieren trasladar la seguridad desde el cerebro hasta los dispositivos que ellos supervisan. Lo malo es que mucha gente se creerá que es una solución coherente. #3 ¿Y no sirve un sistema de autenticación en dos pasos?
#4 Es que esto es un sistema de autenticacion de doble factor ... lo que tienes (El crypto hard) y lo que sabes (la clave maestra para acceder al crypto hard).
Si le añaden un factor mas (Huella), tendrian que robarte la clave, el equipo y las minucias de tu huella dactilar (esto es mas facil), ergo seria lo que tienes, lo que sabes y encima, lo que eres.
A mi me parece de puta madre, no han inventado nada, pero mientras la implementacion sea sencilla y no le complique lo mas minimo la existencia al usuario (motivo principal por el que la gente no la usaria) me parece genial
#6 Hombre, te pueden robar el DNIe, pero sin la clave, pos como que el chip te dice que no te columpies, y al 10 intento, bloqueo
Aunque si lo implementan como unos que me se yo, que metian la clave maestra en el propio chip en plano ... pos como que la cosa va a ser divertida. En fin ... a ver la implementacion
#9 Estoy de acuerdo si, como dices, la implementación fuera sencilla, y sobre todo con algoritmos públicos. En ese caso sería coherente. Gracias por la aclaración.
#1, #2 Lo dice el artículo, "que compruebe la identidad de la persona mediante un chip de seguridad que está instalado en muchos ordenadores o con el hardware adecuado para usar un lector de huellas digitales".
Personalmente creo que eso no está maduro (por ejemplo podrían robarte el chip, o perderlo) pero lo que sí podría hacerse es acabar con la necesidad de cambiar la contraseña frecuentemente, porque hace más daño que bien. Si no tuvieras que cambiarla emplearías una robusta, sin significado y de 200 caracteres que no se pudiera hackear antes de que el Sol se convierta en gigante roja; pero como tienes que cambiarla cada nada, tienes que hacerla corta, previsible... y vulnerable.
#6 El hackeo sigue existiendo mientras existan los keyloggers.
Me imgaino que lo que traten de evitar es usar contraseñas.
En ese caso la forma de robarte la contraseña sería robarte los paquetes de datos de identificación lo cual parece mucho más complicado sobretodo si son mutables (cambian con el tiempo) porque necesitas conocer el código base y el patrón de mutación.
Además el problema que dices tú solo se produce en los algoritmos de fuerza-bruta (probar todas las combinaciones).
Otro problema es el uso de palabras de diccionario (otro caso de algoritmos de fuerza-bruta) que solo usan palabras existentes en diccionarios.
Porque una pass de 8 caracteres con símbolos, mayúsculas, minúsculas y números tiene siglos para encontrarla.
#8 Así la empleo yo, solo que de más caracteres. Siempre acabamos discutiendo de quien la tiene más larga... la contraseña, quiero decir.
Si usas una contraseña relativamente larga que mezcle números, mayúsculas, minúsculas y algún símbolo, y que no esté en el diccionario (no, no vale cambiar las e por 3 y las i por 1, los hackers no son subnormales) no te la van a romper por fuerza bruta. Pero si la tienes que cambiar cada mes es un rollo muy gordo estar continuamente aprendiendo una secuencia así.
A mí parecer, esta es un medida algo absurda dada la existencia de métodos de cifrado de claves potentes. Véase: rsa.
Creo que esta idea va en la línea de generar una identidad personal en Internet en controversia con el anonimato de los usuarios. Creo que va en la línea de defenderse ellos de la piratería, y no de defender al usuario.
¿El TPM? Ese chip que con cierto software sólo te permite instalar lo que la industria quiera, y no lo que tu quieras. Nó gracias...
Por otro lado:
Pero los robos de contraseña son cada vez más comunes en la Red, tanto si estas cuentan con altos niveles de seguridad como si se cuenta con los conocidos como sistema de autentificación en dos pasos. Además, la proliferación de servicios online ha hecho que recordar contraseñas sea una tarea imposible para el usuario. Por ello, compañías tecnologías trabajan para que las formas de identificación en Internet cambien.
¿Y de quien depende esa seguridad, para que dichos robos no ocurran? Os doy una pista, no és de los usuarios (incluso por muy fácil que sea la contraseña esta no tendría que ser robada, si se tomasen las medidas oportunas).
Lo tenemos muy facil a día de hoy, con un sistema como el dni electrónico o token ya se puede hacer autenticación de 2 factores en donde es necesario tener (algo físico) el dni electrónico o token con un certificado electrónico que no se descifra si no introducimos una clave (algo lógico) y por lo tanto si no tienes ambos no podrás identificarte a demás que es mas viejo que el mear.
En el caso del teléfono lo podríamos hacer ya mismo con un certificado guardado en el almacén de certificados del teléfono que para el caso haría la misma función de contenedor físico que el dni electrónico o el token.
Yo creo que la cosa va mas por rastrearte inequívocamente que otra cosa y así tenerte controlado, o eso se me ocurre a mi, no se a vosotros...
Comentarios
Quieren prevenir el fraude a través del robo de contraseñas promoviendo que la identificación se realice a través del dispositivo. ¿Y si el dispositivo es robado? ¿no sería acaso mucho peor? Si me roban una clave es una clave, es un problema. Si me roban el dispositivo... me roban todas las claves, son muchos problemas.
#1 #2 No lo habeis entendido bien. Buscan ligar contraseñas a dispositivos concretos (a firmas de hardware) en lugar de contraseñas ligadas a aplicaciones. Es mucho mas seguro que lo que hacemos actualmente porque tendrian que robarte la contraseña y ademas el dispositivo concreto vinculado a esa contraseña, las dos cosas.
Quieren trasladar la seguridad desde el cerebro hasta los dispositivos que ellos supervisan. Lo malo es que mucha gente se creerá que es una solución coherente.
#3 ¿Y no sirve un sistema de autenticación en dos pasos?
#4 Es que esto es un sistema de autenticacion de doble factor ... lo que tienes (El crypto hard) y lo que sabes (la clave maestra para acceder al crypto hard).
Si le añaden un factor mas (Huella), tendrian que robarte la clave, el equipo y las minucias de tu huella dactilar (esto es mas facil), ergo seria lo que tienes, lo que sabes y encima, lo que eres.
A mi me parece de puta madre, no han inventado nada, pero mientras la implementacion sea sencilla y no le complique lo mas minimo la existencia al usuario (motivo principal por el que la gente no la usaria) me parece genial
#6 Hombre, te pueden robar el DNIe, pero sin la clave, pos como que el chip te dice que no te columpies, y al 10 intento, bloqueo
Aunque si lo implementan como unos que me se yo, que metian la clave maestra en el propio chip en plano ... pos como que la cosa va a ser divertida. En fin ... a ver la implementacion
#9 Estoy de acuerdo si, como dices, la implementación fuera sencilla, y sobre todo con algoritmos públicos. En ese caso sería coherente. Gracias por la aclaración.
#1, #2 Lo dice el artículo, "que compruebe la identidad de la persona mediante un chip de seguridad que está instalado en muchos ordenadores o con el hardware adecuado para usar un lector de huellas digitales".
Personalmente creo que eso no está maduro (por ejemplo podrían robarte el chip, o perderlo) pero lo que sí podría hacerse es acabar con la necesidad de cambiar la contraseña frecuentemente, porque hace más daño que bien. Si no tuvieras que cambiarla emplearías una robusta, sin significado y de 200 caracteres que no se pudiera hackear antes de que el Sol se convierta en gigante roja; pero como tienes que cambiarla cada nada, tienes que hacerla corta, previsible... y vulnerable.
#6 El hackeo sigue existiendo mientras existan los keyloggers.
Me imgaino que lo que traten de evitar es usar contraseñas.
En ese caso la forma de robarte la contraseña sería robarte los paquetes de datos de identificación lo cual parece mucho más complicado sobretodo si son mutables (cambian con el tiempo) porque necesitas conocer el código base y el patrón de mutación.
Además el problema que dices tú solo se produce en los algoritmos de fuerza-bruta (probar todas las combinaciones).
Otro problema es el uso de palabras de diccionario (otro caso de algoritmos de fuerza-bruta) que solo usan palabras existentes en diccionarios.
Porque una pass de 8 caracteres con símbolos, mayúsculas, minúsculas y números tiene siglos para encontrarla.
http://muyseguridad.net/2011/02/13/longitud-y-complejidad-de-contrasenas-vs-ataques-de-fuerza-bruta/
El número de posibilidades es longitud ^(número_de_caracteres_posibles) para cada longitud.
#8 Así la empleo yo, solo que de más caracteres. Siempre acabamos discutiendo de quien la tiene más larga... la contraseña, quiero decir.
Si usas una contraseña relativamente larga que mezcle números, mayúsculas, minúsculas y algún símbolo, y que no esté en el diccionario (no, no vale cambiar las e por 3 y las i por 1, los hackers no son subnormales) no te la van a romper por fuerza bruta. Pero si la tienes que cambiar cada mes es un rollo muy gordo estar continuamente aprendiendo una secuencia así.
Y en los ordenadores de uso público ¿que uso para identificarme? ¿el coño de la Bernarda?
#5 En un ordenador de uso público no deberías meter ninguna de tus contraseñas.
#13 Ojalá se pudiera elegir siempre. Pero en cualquier caso, sea público o no un ordenador, no siempre tienes el tuyo a mano.
A mí parecer, esta es un medida algo absurda dada la existencia de métodos de cifrado de claves potentes. Véase: rsa.
Creo que esta idea va en la línea de generar una identidad personal en Internet en controversia con el anonimato de los usuarios. Creo que va en la línea de defenderse ellos de la piratería, y no de defender al usuario.
¿El TPM? Ese chip que con cierto software sólo te permite instalar lo que la industria quiera, y no lo que tu quieras. Nó gracias...
Por otro lado:
Pero los robos de contraseña son cada vez más comunes en la Red, tanto si estas cuentan con altos niveles de seguridad como si se cuenta con los conocidos como sistema de autentificación en dos pasos. Además, la proliferación de servicios online ha hecho que recordar contraseñas sea una tarea imposible para el usuario. Por ello, compañías tecnologías trabajan para que las formas de identificación en Internet cambien.
¿Y de quien depende esa seguridad, para que dichos robos no ocurran? Os doy una pista, no és de los usuarios (incluso por muy fácil que sea la contraseña esta no tendría que ser robada, si se tomasen las medidas oportunas).
Salu2
Si he entendido bien, lo que dicen es que lo van a ligar al dispositivo, no? Y si te roban el móvil???
Lo tenemos muy facil a día de hoy, con un sistema como el dni electrónico o token ya se puede hacer autenticación de 2 factores en donde es necesario tener (algo físico) el dni electrónico o token con un certificado electrónico que no se descifra si no introducimos una clave (algo lógico) y por lo tanto si no tienes ambos no podrás identificarte a demás que es mas viejo que el mear.
En el caso del teléfono lo podríamos hacer ya mismo con un certificado guardado en el almacén de certificados del teléfono que para el caso haría la misma función de contenedor físico que el dni electrónico o el token.
Yo creo que la cosa va mas por rastrearte inequívocamente que otra cosa y así tenerte controlado, o eso se me ocurre a mi, no se a vosotros...