Hace 15 años | Por --87131-- a microsiervos.com
Publicado hace 15 años por --87131-- a microsiervos.com

[c&p] Según un estudio titulado Trust, Security & Passwords realizado entre unos 300 profesionales de seguridad informática por una empresa de seguridad llamada Cyber-Ark, resulta que…* El 88 por ciento de los responsables de informática se llevarían información valiosa y sensible | Un tercio de las empresas creen que el espionaje industrial y el robo de datos es rampante| Un tercio de los administradores guardan sus contraseñas más poderosas en… notas Post-it| Una cuarta parte admite que sufren sabotajes internos ....

Comentarios

D

En otra era "secreta" (para recordar con el truco "la password es secreta")

D

Estuve en una empresa en la que la password de los servidores era el nombre del servidor.
Y en otra en la que las passwords eran siempre COMPAQ

lolofarisco

# "El 35 por ciento envía información confidencial por correo y otro 35 por ciento por mensajero, con un asombroso 4 por ciento que la envía por correo postal."

Aún se contar, 35 + 35 + 4 = 74, ¿y el 26% restante qué utiliza paloma mensajera?

D

#11 No, han leido la misma pagina web.

D

#7 #8 Trabajais en la misma empresa?

D

#9 Es verdad, si no meten la trócola no se quedan tranquilos.

v

#12 no envían información confidencial?

pensar_cansa_mucho

"Social Engineer -> Because there is no patch for human stupidity"

c

Puag, si yo os contara como funciona la seguridad informática en la Agencia Tributaria.

Chicos, con deciros que el usuario y la contraseña se saca con un simple vistazo de pantalla, o que saltarse la encriptación es tan facil cómo darle a una tecla. O que se puede navegar desde laa intranet por todos los datos, tengas permiso o no, de una forma que no dejas rastro... Así es chicos, y ya no es una empresa privada...

D

Relacionada: @0

l

Si se elige una buena contraseña de al menos 10 caracteres alfanumericos, no deberia ser necesario cambiarla, por lo menos hasta que la computacion cuantica se desarrolle

¡Ah! y lo mejor es implementar sistemas de bloqueo de cuentas ante un determinado numero de fallos, como puede ser DenyHost o LogWatch o muchisimos otros que existen para los servidores; eso y un administrador de sistemas analizando los logs, siempre sera mas seguro que darle por saco a los usuarios con cambios estupidos de contraseña cada poco tiempo.

D

#22 Para acceder a keepass necesitas iniciar sesión, para iniciar sesión necesitas las password.

D

#19 El BOFH tiene post-it
#18 No, la nueva pass no puede contener partes de otras antiguas.

D

#18, en la universidad donde estudio, la UJI, cuando te obligan a cambiar de contraseña, no permiten contraseñas parecidas, sobretodo con tu método

D

Mas o menos lo que pasa con los DNIe, que muchos le ponen de código PIN el número de DNI.

D

Yo no se mucho de informática, pero cuando me pide cambiar la clave y la contraseña, cada 15 días, simplemente los invierto.
Paso de aprenderme de memoria cada dos semanas una clave y una contraseña diferentes.
Es que a los dos meses acabas :-P

D

Has repetido 2 veces:
Un tercio de las empresas creen que el espionaje industrial y el robo de datos es rampante

d

Cierto es ... pero hay que valorar hasta que punto la seguridad informática debe poner en jaque la usabilidad del sistema. Si obligas a poner un sistema de seguridad "paranoico", el primero en apuntar la contraseña en un Post-it va a ser el jefe de la empresa.

Eso suponiendo que no te venga diciendo que a él le excluyas de la paranoia. Y que sobrevivas a las amenazas del resto de tus compañeros.

Lo mejor es optar por un término medio: Contraseñas largas, pero fáciles de recordar para los usuarios de la empresa (de tal forma que no requieran post-its) ... pero difíciles de encontrar para una máquina. Para mi este es el punto con menor riesgo informático ...

pero no sirve de nada si el usuario tiene derechos de administrador de esa máquina y le da "si a todo" en el internet explorer.

D

El principal problema está entre la pantalla y la silla.

D

contraseña: password

#1 de nada

xenNews

#7 y #8 ¿Habéis probado Keepass? http://keepass.info/

#17 Es necesario cambiar toda contraseña de vez en cuando. Supongamos que un keylogger registró unas cuantas contraseñas en un sistema comprometido. Sin saber que tus contraseñas fueron obtenidas, ya has formateado y el sistema está totalmente limpio, pero el problema de seguridad está ahí y no lo sabes.

¿Qué pasa si nunca cambias las contraseñas, y usas la misma contraseña en todos los servicios? Que con sólo entrar a tu correo, podrán saber otros 3, 4, 20, o 30 servicios más que usas, y con esa misma contraseña, tendrán acceso a la mitad de tu vida privada.

¿Qué pasa si cambias las contraseñas de vez en cuando, y además, usas contraseñas distintas para cada servicio? Pues que sólo habrá quedado comprometida una cuenta, un correo por ejemplo, y que te habrán fisgoneado durante 2, 3, 4, 5 meses, pero no durante "los restos de los restos, amén y bendita gloria porque mi contraseña es super guay".

La confianza es enemiga de la seguridad, mejor la paranoia. Eso sí, siempre con sentido común.

xenNews

#27 No creo que obligan a esas políticas de seguridad para la contraseña de Windows, ¿no? lol Entiendo que será para otro tipo de inicios de sesión, como de correos de la empresa, portales internos, bases de datos, etc...

Y en ese caso ofrece la posibilidad de abrir la base de datos mediante una combinación de contraseña más archivo llave. Es bastante más complicado conseguir comprometer la contraseña si además necesitas poder saber cuál es el archivo usado como llave y encima tienes que conseguir robarlo de alguna forma. Sin hablar de la capacidad de introducir contraseñas sin necesidad de escribirlas, evitando las clásicas miradas por encima del hombro y más de un keylogger que no va guardando todo lo que pasa por el portapapeles. Si encima tenemos en cuenta otras funciones de seguridad como:

+ Base de datos cifrada con AES: he visto programas que ni cifran las bases de datos.

+ Protección contra ataques de fuerza bruta, pudiendo hacer que para comprobar si una contraseña es valida o no el ordenador necesite tantos segundos como quieras. Que la base de datos sólo pueda abrirse tras un segundo de procesado de llaves, bueno, no supone ningún problema al usuario. Pretender hacer un ataque de fuerza bruta a una password por segundo... bueno, es impracticable.

+ Protección de las contraseñas en memoria, para evitar que con volcar a disco el proceso de KeePass en memoria se consiga todo en plano.

+ Bloquear la base de datos tras X segundos de inactividad para evitar dejarla abierta y que alguien fisgonee a nuestras espaldas.

Esto... sí, creo que definitivamente KeePass consigue una seguridad bastante más potente que usar Post-its, o usar contraseñas normales en 20.000 sitios distintos.

xenNews

#34 Ya lo dice en la propia noticia.

Además, el informe proviene de una empresa que además vende consultoría y servicios sobre seguridad, así que hay que valorarlo en función de eso, pues obviamente dista de ser independiente.

Pero bueno, una cosa no quita la otra, es cierto que la gente es muy chapucera con el tema de las passwords. Ellos como empresa dedicada a la seguridad buscan el mercado y ofrecen el servicio, sin más.

D

el principal problema de todo "las personas"

firma: una persona.

D

#7, #8 Eso no pasaría si tuvierais a un buen BOFH que cada vez que viera un post-it con la password le soplara una galleta con la mano abierta al luser que pone en peligro la seguridad de los datos.

KirO

#8 y no funciona el viejo truco de usar siempre la misma contraseña seguida de un número secuencial?

ejemplo... la primera contraseña seria abcd, la segunda abcd1, la tercera abcd2...

Salu2!!

aelfraithr

Claro, y el "estudio" lo ha hecho una empresa que vende un producto para almacenar contraseñas y documentos de forma segura. Seguro que está hecho con la máxima independencia y rigor

l

Otra leyenda urbana de la seguridad: Una empresa vio comprometida su seguridad en Navidad porque a la entrada un tío repartia CDs a los empleados diciendo que tenían postales de Navidad. Era un virus. Fue un éxito.

#22 Keepass mola, no sé que haría sin él

d

#31 Precisamente por no serlo, asignan contratos millonarios a "amiguitos" que hacen chapuzas para maximizar el beneficio. ¿Si no de qué administraciones con taaaaaaaaanto dinero tendrían webs tan horribles?

s

No me extraña nada que pasen estas cosas. Personalmente estoy hasta el gorro, por no decir otras partes, de acumular claves en el curro -donde tengo unas 8 diferentes- en casa y con los bancos. La seguridad, cuando se vuelve rutina acaba siendo insegura por relajación. Entiendo a todos esos que apuntan sus claves en los lugares más variados. Yo, cada vez que intento entrar en algún sitio para algún trámite, también tengo certificado digital que no te voy a contar los saltos de obstáculos que hay que salvar para cumplimentar un simple trámite -contraseñas maestras, certificado de autoridades, claves, etc.-, experimento sudores fríos pues no sé si he metido la clave exacta o una de las 48 restantes que aplastan mi desgraciada existencia.
Este asunto hay que solucionarlo de otra manera, hay que cambiar los conceptos diametralmente: más imaginación y menos criticar a los seres humanos.

s

#9 cuanto bien ha hecho el both-zen al mundo de la informatica
#19 hay cosas que a los lusers les duele mas

#33 vease algunas paginas de la administracion en la que se hacen contratos millonarios por webs que son hechas por estudiantes e informaticos por menos de 400€

g

Y la principal causa del divorcio es el casamiento.
No me gustó el título, las personas son la principal causa de casi todos los problemas.

D

Yo diría los usuarios. Y los jefes.