Si posees interés alguno en la seguridad de tus cuentas para servicios de internet, seguramente habrás leído que tu password debe tener al menos ocho caracteres, con una mezcla de mayúsculas, minúsculas y números. Resulta que esa verdad es cada vez menos útil.
#6:
#4 ¿Cómo has sabido que mi contraseña es @$&Tgju(/bh)VFD&%_gb/gtd$? Ahora a cambiarla, ¡con lo que me había costado memorizarla!
#2:
En Internet una CPU, una GPU no puede hacer nada, porque los servidores tienen un tiempo de restricción entre intentos. Donde si es problema es en los fichersos RAR o ZIP.
#22:
Yo solo me se la contraseña del correo electrónico y pocas más (5000 años para romperse según el enlace de #21)
El resto las pongo aleatorias aporreando sobre el teclado (cosas del tipo 98fm30vmd8f) o mediante algún generador de contraseñas aleatoria y dejo que el navegador se acuerde por mi
Hace tiempo salió un meneó que afirmaba que era más seguro tener las contraseñas apuntadas en un papelito en el cajón que tratar de recordarlas (si, el clásico pos-it en el monitor). Razones a favor de esto:
- Al apuntar en un papel y no tener que memorizar tendemos a usar contraseñas más complejas
- A día de hoy el problema del robo de contraseñas viene por ataques desde Internet. No van a leer tu papel de claves en el cajón.
- Generalmente si tienen acceso físico a tu ordenador estás vendido, tengas o no las contraseñas en un papelito.
#4:
Pues depende. 1234 se revienta en 0´5 segundos. @$&Tgju(/bh)VFD&%_gb/gtd$ en unos mil años. Lo que hay que hacer es convencer a la gente de que use contraseñas seguras.
#10:
Utiliza una contraseña que contenga mayúsculas, minúsculas, números, símbolos, palabras en plural, en singular, una fórmula matemática, una frase célebre de algún filósofo, etc.
Después de eso prácticamente habrás escrito un libro, ya solo te falta plantar un árbol y tener un hijo. ¡Suerte!
#17:
#12 El problema de las tarjetas gráficas es que sus procesadores no son de propósito general, no pueden hacer tantas cosas distintas como un procesador normal (un Pentium para entendernos). Esto es así porque están pensados para hacer una operación muy rápidamente: multiplicar matrices de 3x3 (que alguien me corrija si me equivoco).
La gracia es que, desde hace un año y medio más o menos, alguien consiguió utilizar los procesadores bestiales de las tarjetas gráficas para hacer los cálculos que uno quisiera (imagino que "traduciéndolo a cálculos matriciales"), o al menos muchas más cosas. Uno de los algoritmos implementables para las GPU será el de "sacar contraseña", y lo hacen muchísimo más rápido que una CPU (del orden de decenas).
#9:
#6 no se para que necesitas memorizarla cuando desde siempre han existido "trucos" memoristicos: por ejemplo contraseña: [21/Seis,68]=Pi (Solo tú sabes que la formula no da Pi, pero es un número muy parecido. con reglas, alternando los números entre Palabra y simbolo, con la primera en Mayuscula o última como te apetezca, diferentes simbolos, etc...
En Internet una CPU, una GPU no puede hacer nada, porque los servidores tienen un tiempo de restricción entre intentos. Donde si es problema es en los fichersos RAR o ZIP.
Por experiencia, muchas veces el problema real de las contraseñas es que no las recuerda el usuario, por lo que obligar a complicar la contraseña sólo empeora el verdadero problema para los servicios (dejan de ser utilizados).
#2 tiene toda la razón del mundo, una contraseña de 6 caracteres no se averigua en 4 intentos, estos métodos se utilizarían en fuerza bruta con acceso físico a un sistema mal diseñado.
Pues depende. 1234 se revienta en 0´5 segundos. @$&Tgju(/bh)VFD&%_gb/gtd$ en unos mil años. Lo que hay que hacer es convencer a la gente de que use contraseñas seguras.
#6 no se para que necesitas memorizarla cuando desde siempre han existido "trucos" memoristicos: por ejemplo contraseña: [21/Seis,68]=Pi (Solo tú sabes que la formula no da Pi, pero es un número muy parecido. con reglas, alternando los números entre Palabra y simbolo, con la primera en Mayuscula o última como te apetezca, diferentes simbolos, etc...
#45 Nada más seguro y fácil que una frase que te sea fácil de recordar: "LaHermanaDeMiNoviaTieneUnasTetasEstupendas" -> About 9,571,860 nonillion years
#4#25#27#28 Para qué complicarse: "Que te den por kulo"
Según el enlace de #21,
It would take
About a quintillion years
for a desktop PC to crack your password
Es más seguro poner una frase larga, con algún error gramatical, y no tener ni que apuntarla. Claro que luego nos encontramos con la estúpida manía de limitar la longitud máxima de las contraseñas, y ahí ya la liamos.
Utiliza una contraseña que contenga mayúsculas, minúsculas, números, símbolos, palabras en plural, en singular, una fórmula matemática, una frase célebre de algún filósofo, etc.
Después de eso prácticamente habrás escrito un libro, ya solo te falta plantar un árbol y tener un hijo. ¡Suerte!
A mi lo que me interesaria saber es porque se utilizan tarjetas graficas para estas operaciones cuando aparentemente seria el procesador y la RAM los elementos que llevarian a cabo un "Brute Force".
#12 El problema de las tarjetas gráficas es que sus procesadores no son de propósito general, no pueden hacer tantas cosas distintas como un procesador normal (un Pentium para entendernos). Esto es así porque están pensados para hacer una operación muy rápidamente: multiplicar matrices de 3x3 (que alguien me corrija si me equivoco).
La gracia es que, desde hace un año y medio más o menos, alguien consiguió utilizar los procesadores bestiales de las tarjetas gráficas para hacer los cálculos que uno quisiera (imagino que "traduciéndolo a cálculos matriciales"), o al menos muchas más cosas. Uno de los algoritmos implementables para las GPU será el de "sacar contraseña", y lo hacen muchísimo más rápido que una CPU (del orden de decenas).
#17 No tienen por qué ser matrices 3x3. Por ejemplo las tarjetas gráficas nVidia usan hasta matrices tridimensionales de tamaños considerables, ejecutadas por threads. Es decir, cada hilo se encarga de calcular un único elemento de una operación matricial, y puedes trabajar con miles de threads.
#12 Porque te quieren demostrar que con una GPU tardan mucho menos. Ya que estas tienen una potencia de cálculo muy superior a las CPU. Por lo tanto es mucho más fácil descifrar una contraseña. Eso si no vale cualquier gráfica, por ejemplo las de nVidia, tienen que ser como mínimo de la serie 8 de las Geforce, para usar CUDA. Y obviamente cuanto mejor es la gráfica antes descifra la contraseña. De manera resumida claro.
#5 Yo pensaba lo mismo hasta que un buen día alguien con IP china entró en una de mis cuentas de gmail y se lio a mandar SPAM a los contactos que tenía.
#23 A ver yo no soy informatico. Sólo se que entre las IP que usaron mi cuenta habia una que tenía su origen en China y que desde esa cuenta se mandaron correos que no fueron mandados por mi. Y que la cosa cesó cuando cambie la contraseña.
Primero que descifren el "insurance" de wikileaks y luego me cuentan historias. Eso sin mencionar que cualquier sitio online con un mínimo de seguridad nota que si alguien se equivoca más de 3 veces es porque hay algo sospechoso.
#32 Sinceramente lo pongo en duda, eso de bastante común me parece exagerado, quizás haya algún robo de cuentas, pero seguramente sea más fácil crearse cuentas nuevas y ya.
El verano pasado conocí un chaval que se dedicaba a desencriptar tarjetas de crédito con varias Playstation 3 y un portátil de esos viejos. Una máquina el tío.
Me comentó que en muchas ocasiones es más fácil convencer a la otra persona para que te de la contraseña que averiguarla tu mismo.
#13 Desencriptar las tarjetas de crédito ??? Las tarjetas de crédito no tienen ningún misterio ni nada que desencriptar, solo necesitas un lector de bandas magnéticas para leer su contenido y sigue sin servirte de mucho.
Yo solo me se la contraseña del correo electrónico y pocas más (5000 años para romperse según el enlace de #21)
El resto las pongo aleatorias aporreando sobre el teclado (cosas del tipo 98fm30vmd8f) o mediante algún generador de contraseñas aleatoria y dejo que el navegador se acuerde por mi
Hace tiempo salió un meneó que afirmaba que era más seguro tener las contraseñas apuntadas en un papelito en el cajón que tratar de recordarlas (si, el clásico pos-it en el monitor). Razones a favor de esto:
- Al apuntar en un papel y no tener que memorizar tendemos a usar contraseñas más complejas
- A día de hoy el problema del robo de contraseñas viene por ataques desde Internet. No van a leer tu papel de claves en el cajón.
- Generalmente si tienen acceso físico a tu ordenador estás vendido, tengas o no las contraseñas en un papelito.
#22 Creo que la mayoría de veces que alguien quiere entrara a tu cuenta no lo hace desde internet, sino que es tu madre/padre/hermano/pareja/expareja/amijo/compañero de trabajo, etc.
Por si a alguien le interesa, aquí hay un generador aleatorio de contraseñas para WEP y WPA. Yo es la que uso para mi WPA cambiándole dos caracteres. El coñazo es metérsela al nokia. https://www.grc.com/passwords.htm
Según el enlace de #21 tardaría: FD[.hc{JlkJ,8-Dt;W1n,q'$;>Z+Zzvc:!gukA#eb
#21 Dudo horrores del método de la páginas que nos enseñas. Dice que mis contraseñas tardarían 11 años, no creo pero sobretodo porque me dice que la contraseña:
"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" tardarían en reventarla ---> Sobre 8 octillones de años ¿?¿?
Supongo que sería el BruteForce de copito de Nieve!! Porque cualquiera con un índice de patrones y un diccionario reventaría esta contraseña en yo que se.. 1 hora como mucho?? y siendo un pc lento.
Es decir, esta página se limita a calcular la potencia de tu contraseña en base a su longitud, no a su composición. Así que yo no me sentiría seguro con el resultado que me dé.
#21 Dudo horrores del método de la páginas que nos enseñas. Dice que mis contraseñas tardarían 11 años, no creo pero sobretodo porque me dice que la contraseña:
"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" tardarían en reventarla ---> Sobre 8 octillones de años ¿?¿?
Supongo que sería el BruteForce de copito de Nieve!! Porque cualquiera con un índice de patrones y un diccionario reventaría esta contraseña en yo que se.. 1 hora como mucho?? y siendo un pc lento.
Es decir, esta página se limita a calcular la potencia de tu contraseña en base a su longitud, no a su composición. Así que yo no me sentiría seguro con el resultado que me dé.
Mi consejo personal es que se utilicen palabras inventadas o en otros idiomas y cambiando algunas vocales por números, y que sea de una longitud razonable. Y sobretodo no relacionada con tu información personal. En mi opinión las mejores contraseñas son las aleatorias. Yo nunca cambio las contraseñas del banco, movil etc. Me molesto en aprenderlas.
Ah y si se os dificulta memorizar por memorizar, yo todos los números que tengo memorizados, los he memorizado por su posición en un teclado, y en la rara ocasión de que utilices a menudo diferentes teclados (bancos diferentes o teléfonos diferentes) a lo sumo tendrás que memorizar 3 teclados. Yo directamente pienso que numero quiero marcar, miro el teclado y muevo el dedo sin pensar.
Si le pones que a los pocos intentos fallidos bloqueas la cuenta por 24 horas a no ser que un administrador la desbloquee tiene que ser la solución. Si una contraseña se puede romper a lo bruto (probando todas las combinaciones posibles) es porque no se fija un límite de intentos.
Supongamos que se configuran 20 intentos por cada 24 horas incluso el usuario más patoso que se traba con el teclado llegaría a acertar si se la sabe.
Nuevo patrón a la hora de elegir contraseña:
32 caracteres con mayúsuculas, minúsculas, dígitos, caracteres en cirílico y hebreo, alguna letra con diéresis y acento cerrado, emoticono y algo tachado y un caracter espercial "alt+nº aleatorio".
#28 Cierto. No sé por qué nunca recomiendan utilizar caracteres acentuados o de otros alfabetos. ¿Quizá sea porque pueden surgir errores de codificación? En ese caso, ¿el garabato resultante no sería el mismo cuando almacenas la contraseña para abrir la cuenta que cuando la introduces otra vez para loguearte?
debe tener al menos ocho caracteres, con una mezcla de mayúsculas, minúsculas y números. Resulta que esa verdad es cada vez menos útil
Bah, pues tiene fácil solución. Pues en vez de 8, que sea mínimo de 16 caracteres. Si ahora mismo una contraseña de 8 caracteres se rompiese en 1 segundo, la de 16 sería en más 300 millones de años (lo he calculado suponiendo que en cada caracter el programa variase unos 100 símbolos).
#7 si pasas de 8 caracteres a 16 caracteres mínimo para contraseñas, el 99% de la gente va a utilizar palabras o combinaciones de palabras que se revientan con un diccionario en menos que una combinación de caracteres sin sentido de longitud 8.
Lejos de mejorar la seguridad, la empeoraría bastante.
Y no es tan fácil cómo que los dueños de las páginas pongan un límite de intentos? 5, 10 intentos. Si metes más de 10 veces tu contraseña mal es que eres tonto.
La verdad no me preocupa demasiado.
Siempre estan dando la lata con eso como intentando crear un miedo global.
Si que es verdad, que con los procesadores de hoy en dia es mucho mas facil hacer bruteforce de las contraseñas, pero ¿cuanta gente dispone de las contraseñas cifradas en bruto de la gente para ir probando?
La mayoria de contraseñas las usamos en webs u otros sistemas donde precisamente hacer bruteforce es casi imposible.
Aunque pudieras probar indefinidamente, solo tiempo de conexion, envio de constraseña, recepcion del error en una web, seria infinito ir probando con todo. Y hoy en dia las cuentas se bloquean tras varios intentos o te piden un captcha cada cierto tiempo.
Incluso el login para entrar en un windows, si fallas varias veces la contraseña, hay una pausa de segundos hasta que te la vuelve a pedir.
Como mucho esto sera util para ficheros comprimidos y similares.
#16 Nunca he usado esos programas así que puedo estar equivocado, pero mi impresión es que estos programas de gestión de contraseña:
1-O te dan acceso a la contraseña para copiar+pegar
2-O te muestran la contraseña por pantalla (para que la escribas "cómodamente")
La opción 1 (C&P) no sé yo si la catalogaría de segura, teniendo en cuenta que JDownloader te lee el portapapels (de linux también), imagina cualquier otro software que te hayas instalado sin fijarte mucho.
La opción 2 la veo más segura, ir escribiendo tú mismo lo que ves por pantalla, pero como tengas a alguien detrás más te vale que no tenga memoria fotográfica.
¿Para qué aumentar la longitud de la contraseña si lo que hay que hacer, para dificultar el descifrado, es "simplemente" usar cifrados de mas longitud?
A todos : Aircrack con soporte CUDA , un diccionario hecho con un /usr/share/dict y cat , sort y uniq , y ya son más de 12 las WPAs reventadas . Fin de la discusión .
Bueno bueno, no nos chupemos las pollas todavía. Si de verdad finalmente se verifica la demostración de P != NP, ya pueden sacar GPUs de chopocientos mil FLOPS, que no va a haber cojones a hackear claves RSA de larga longitud.
Quien no pueda recordar una contraseña siempre puede usar una tarjeta como las que se pueden generar aquí: http://www.passwordcard.org/es . Así solo hace falta que recuerde fila o columna.
¿Es que nadie va a comentar que estas velocidades de hackeo solo son posibles al crackear una contraseña en un entorno local?
Cuantas tonterias he tenido que leer para aprender: nada.
Vuestra contraseña de vuestros servicios online estan seguras, no os preocupeis. Vigilar tan solo que no sea tan tan obvia que esté incluida en un maldito diccionario de passwords. Pero eso es tan elemental como abstenerse de poner "apple" de contraseña. Añadele unos numeros y será segura.
No dudo que sea verdad que hackeen rapidamente la contraseña de mi PC teniendolo en sus manos. No es nada nuevo, hace años me divertía en clase hackeando los archivos de contraseñas por fuerza bruta + diccionario. Era divertido, pero era una tonteria entonces... imaginar ahora.
Lo que tendría merito es hackear contraseñas por fuerza bruta en servicios web. Cosa que no es posible. Aun teniendo una botnet gigantesca, si atacas a la mayoria de servicios web te salta un captcha despues de N intentos. Por no hablar de simples limitaciones de tiempo por IP (X intentos por hora, por IP). Por no hablar del tiempo que tarda el sistema en decir OK o ERROR, por cada intento. Y por no hablar de la latencia en sí misma! Que puede rondar los 150 milisegundos, más el tiempo de proceso a ambos lados de cada intento.
Vamos, que un ataque por fuerza bruta a Google, por ejemplo, es por varias razones inviable. Solo tendría exito si tu contraseña es tan tonta que está en un diccionario, o tiene menos de 5 caracteres (creo que no lo permite) y por alguna razon el atacante sabe este dato o le gusta perder el tiempo intentandolo.
No creo que mucha gente se dedique a petar las contraseñas que usamos en internet a fuerza bruta...
Seguramente usen keyloggers, que son un tipo de troyano que simplemente manda todo lo que escribes a un ordenador remoto y así te pillan las contraseñas. También puden usar correos falsos en los que te pidan tus datos
Solución? Tener un buen antivirus y un firewall instalados
Es seguro al 100%? No, pero nada en internet es seguro al 100%
Comentarios
En Internet una CPU, una GPU no puede hacer nada, porque los servidores tienen un tiempo de restricción entre intentos. Donde si es problema es en los fichersos RAR o ZIP.
Por experiencia, muchas veces el problema real de las contraseñas es que no las recuerda el usuario, por lo que obligar a complicar la contraseña sólo empeora el verdadero problema para los servicios (dejan de ser utilizados).
#2 tiene toda la razón del mundo, una contraseña de 6 caracteres no se averigua en 4 intentos, estos métodos se utilizarían en fuerza bruta con acceso físico a un sistema mal diseñado.
Pues depende. 1234 se revienta en 0´5 segundos. @$&Tgju(/bh)VFD&%_gb/gtd$ en unos mil años. Lo que hay que hacer es convencer a la gente de que use contraseñas seguras.
#4 ¿Cómo has sabido que mi contraseña es @$&Tgju(/bh)VFD&%_gb/gtd$? Ahora a cambiarla, ¡con lo que me había costado memorizarla!
#6 no se para que necesitas memorizarla cuando desde siempre han existido "trucos" memoristicos: por ejemplo contraseña: [21/Seis,68]=Pi (Solo tú sabes que la formula no da Pi, pero es un número muy parecido. con reglas, alternando los números entre Palabra y simbolo, con la primera en Mayuscula o última como te apetezca, diferentes simbolos, etc...
#9 ¿Me enseñas algún truco para memorizar "@$&Tgju(/bh)VFD&%_gb/gtd$"?
#45 Nada más seguro y fácil que una frase que te sea fácil de recordar: "LaHermanaDeMiNoviaTieneUnasTetasEstupendas" -> About 9,571,860 nonillion years
(y sin necesidad de un solo caracter extraño)
#4 #25 #27 #28 Para qué complicarse: "Que te den por kulo"
Según el enlace de #21,
It would take
About a quintillion years
for a desktop PC to crack your password
Es más seguro poner una frase larga, con algún error gramatical, y no tener ni que apuntarla. Claro que luego nos encontramos con la estúpida manía de limitar la longitud máxima de las contraseñas, y ahí ya la liamos.
#35 ¿Eres el chino que entró en mi cuenta de correo? Lo digo por el extraño negativo que me has puesto en #20
Utiliza una contraseña que contenga mayúsculas, minúsculas, números, símbolos, palabras en plural, en singular, una fórmula matemática, una frase célebre de algún filósofo, etc.
Después de eso prácticamente habrás escrito un libro, ya solo te falta plantar un árbol y tener un hijo. ¡Suerte!
#10 Voy a cambiar la contraseña, así ya lo habré hecho todo.
http://www.lockdown.co.uk/?pg=combi
El pájaro es la palabra.
Vaya... 6 letras
#1
¿Alguien podría decirme cuanto se tardaría en cascar una de 20 caracteres con caracteres de puntuacion, caracteres extraños, números y mayúsculas?
A mi lo que me interesaria saber es porque se utilizan tarjetas graficas para estas operaciones cuando aparentemente seria el procesador y la RAM los elementos que llevarian a cabo un "Brute Force".
#12 El problema de las tarjetas gráficas es que sus procesadores no son de propósito general, no pueden hacer tantas cosas distintas como un procesador normal (un Pentium para entendernos). Esto es así porque están pensados para hacer una operación muy rápidamente: multiplicar matrices de 3x3 (que alguien me corrija si me equivoco).
La gracia es que, desde hace un año y medio más o menos, alguien consiguió utilizar los procesadores bestiales de las tarjetas gráficas para hacer los cálculos que uno quisiera (imagino que "traduciéndolo a cálculos matriciales"), o al menos muchas más cosas. Uno de los algoritmos implementables para las GPU será el de "sacar contraseña", y lo hacen muchísimo más rápido que una CPU (del orden de decenas).
Artículo en kriptópolis: http://www.kriptopolis.org/gpu-rompe-passwords
#17 No tienen por qué ser matrices 3x3. Por ejemplo las tarjetas gráficas nVidia usan hasta matrices tridimensionales de tamaños considerables, ejecutadas por threads. Es decir, cada hilo se encarga de calcular un único elemento de una operación matricial, y puedes trabajar con miles de threads.
#12 Porque te quieren demostrar que con una GPU tardan mucho menos. Ya que estas tienen una potencia de cálculo muy superior a las CPU. Por lo tanto es mucho más fácil descifrar una contraseña. Eso si no vale cualquier gráfica, por ejemplo las de nVidia, tienen que ser como mínimo de la serie 8 de las Geforce, para usar CUDA. Y obviamente cuanto mejor es la gráfica antes descifra la contraseña. De manera resumida claro.
Salu2
¿Y quien va a querer mi cuenta de algo? Yo tengo contraseña segura, pero siempre me he preguntado si alguien habrá intentado hackearme...
#5 Normalmente las quieren para enviar SPAM, o quizás algún/a ex para ver como te va .
#5 Quieren los contactos de tu cuenta para enviarles spam. O intentar coger alguna tarjeta de credito o numero bancario. Cosas de esas.
#5 Yo pensaba lo mismo hasta que un buen día alguien con IP china entró en una de mis cuentas de gmail y se lio a mandar SPAM a los contactos que tenía.
#20, ¿entro en tu cuenta? o simplemente utilizo como emisor el nombre/dirección de tu correo?
#23 A ver yo no soy informatico. Sólo se que entre las IP que usaron mi cuenta habia una que tenía su origen en China y que desde esa cuenta se mandaron correos que no fueron mandados por mi. Y que la cosa cesó cuando cambie la contraseña.
#23 Es bastante común el robo de cuentas y usarlas para enviar spam.
Primero que descifren el "insurance" de wikileaks y luego me cuentan historias. Eso sin mencionar que cualquier sitio online con un mínimo de seguridad nota que si alguien se equivoca más de 3 veces es porque hay algo sospechoso.
#32 Sinceramente lo pongo en duda, eso de bastante común me parece exagerado, quizás haya algún robo de cuentas, pero seguramente sea más fácil crearse cuentas nuevas y ya.
El verano pasado conocí un chaval que se dedicaba a desencriptar tarjetas de crédito con varias Playstation 3 y un portátil de esos viejos. Una máquina el tío.
Me comentó que en muchas ocasiones es más fácil convencer a la otra persona para que te de la contraseña que averiguarla tu mismo.
#13 Desencriptar las tarjetas de crédito ??? Las tarjetas de crédito no tienen ningún misterio ni nada que desencriptar, solo necesitas un lector de bandas magnéticas para leer su contenido y sigue sin servirte de mucho.
Aquí un enlace curioso: http://howsecureismypassword.net/ Sirve para saber cuanto tiempo se tardaría en romper una contraseña
Yo solo me se la contraseña del correo electrónico y pocas más (5000 años para romperse según el enlace de #21)
El resto las pongo aleatorias aporreando sobre el teclado (cosas del tipo 98fm30vmd8f) o mediante algún generador de contraseñas aleatoria y dejo que el navegador se acuerde por mi
Hace tiempo salió un meneó que afirmaba que era más seguro tener las contraseñas apuntadas en un papelito en el cajón que tratar de recordarlas (si, el clásico pos-it en el monitor). Razones a favor de esto:
- Al apuntar en un papel y no tener que memorizar tendemos a usar contraseñas más complejas
- A día de hoy el problema del robo de contraseñas viene por ataques desde Internet. No van a leer tu papel de claves en el cajón.
- Generalmente si tienen acceso físico a tu ordenador estás vendido, tengas o no las contraseñas en un papelito.
#22 Creo que la mayoría de veces que alguien quiere entrara a tu cuenta no lo hace desde internet, sino que es tu madre/padre/hermano/pareja/expareja/amijo/compañero de trabajo, etc.
Por si a alguien le interesa, aquí hay un generador aleatorio de contraseñas para WEP y WPA. Yo es la que uso para mi WPA cambiándole dos caracteres. El coñazo es metérsela al nokia.
https://www.grc.com/passwords.htm
Según el enlace de #21 tardaría: FD[.hc{JlkJ,8-Dt;W1n,q'$;>Z+Zzvc:!gukA#eb
#25 Nonillion
http://en.wikipedia.org/wiki/Names_of_large_numbers
#21 Según el enlace mis contraseñas con nombres de personajes son bastante seguras:
PhoenixWright-->64 millones de años
y son fáciles de recordar, no hay símbolos ni números.
#21 Dudo horrores del método de la páginas que nos enseñas. Dice que mis contraseñas tardarían 11 años, no creo pero sobretodo porque me dice que la contraseña:
"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" tardarían en reventarla ---> Sobre 8 octillones de años ¿?¿?
Supongo que sería el BruteForce de copito de Nieve!! Porque cualquiera con un índice de patrones y un diccionario reventaría esta contraseña en yo que se.. 1 hora como mucho?? y siendo un pc lento.
Es decir, esta página se limita a calcular la potencia de tu contraseña en base a su longitud, no a su composición. Así que yo no me sentiría seguro con el resultado que me dé.
#21 Dudo horrores del método de la páginas que nos enseñas. Dice que mis contraseñas tardarían 11 años, no creo pero sobretodo porque me dice que la contraseña:
"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" tardarían en reventarla ---> Sobre 8 octillones de años ¿?¿?
Supongo que sería el BruteForce de copito de Nieve!! Porque cualquiera con un índice de patrones y un diccionario reventaría esta contraseña en yo que se.. 1 hora como mucho?? y siendo un pc lento.
Es decir, esta página se limita a calcular la potencia de tu contraseña en base a su longitud, no a su composición. Así que yo no me sentiría seguro con el resultado que me dé.
Mi consejo personal es que se utilicen palabras inventadas o en otros idiomas y cambiando algunas vocales por números, y que sea de una longitud razonable. Y sobretodo no relacionada con tu información personal. En mi opinión las mejores contraseñas son las aleatorias. Yo nunca cambio las contraseñas del banco, movil etc. Me molesto en aprenderlas.
Ah y si se os dificulta memorizar por memorizar, yo todos los números que tengo memorizados, los he memorizado por su posición en un teclado, y en la rara ocasión de que utilices a menudo diferentes teclados (bancos diferentes o teléfonos diferentes) a lo sumo tendrás que memorizar 3 teclados. Yo directamente pienso que numero quiero marcar, miro el teclado y muevo el dedo sin pensar.
#21 también sirve para hacer un buen diccionario para futuros ataques
A ver...
Si le pones que a los pocos intentos fallidos bloqueas la cuenta por 24 horas a no ser que un administrador la desbloquee tiene que ser la solución. Si una contraseña se puede romper a lo bruto (probando todas las combinaciones posibles) es porque no se fija un límite de intentos.
Supongamos que se configuran 20 intentos por cada 24 horas incluso el usuario más patoso que se traba con el teclado llegaría a acertar si se la sabe.
Nuevo patrón a la hora de elegir contraseña:
32 caracteres con mayúsuculas, minúsculas, dígitos, caracteres en cirílico y hebreo, alguna letra con diéresis y acento cerrado, emoticono y algo tachado y un caracter espercial "alt+nº aleatorio".
#28 Cierto. No sé por qué nunca recomiendan utilizar caracteres acentuados o de otros alfabetos. ¿Quizá sea porque pueden surgir errores de codificación? En ese caso, ¿el garabato resultante no sería el mismo cuando almacenas la contraseña para abrir la cuenta que cuando la introduces otra vez para loguearte?
debe tener al menos ocho caracteres, con una mezcla de mayúsculas, minúsculas y números. Resulta que esa verdad es cada vez menos útil
Bah, pues tiene fácil solución. Pues en vez de 8, que sea mínimo de 16 caracteres. Si ahora mismo una contraseña de 8 caracteres se rompiese en 1 segundo, la de 16 sería en más 300 millones de años (lo he calculado suponiendo que en cada caracter el programa variase unos 100 símbolos).
Alguna tengo yo con 20 caracteres...
#7 si pasas de 8 caracteres a 16 caracteres mínimo para contraseñas, el 99% de la gente va a utilizar palabras o combinaciones de palabras que se revientan con un diccionario en menos que una combinación de caracteres sin sentido de longitud 8.
Lejos de mejorar la seguridad, la empeoraría bastante.
#52, el 99% de la gente actualmente hace eso con 8 caracteres.
Y no es tan fácil cómo que los dueños de las páginas pongan un límite de intentos? 5, 10 intentos. Si metes más de 10 veces tu contraseña mal es que eres tonto.
La verdad no me preocupa demasiado.
Siempre estan dando la lata con eso como intentando crear un miedo global.
Si que es verdad, que con los procesadores de hoy en dia es mucho mas facil hacer bruteforce de las contraseñas, pero ¿cuanta gente dispone de las contraseñas cifradas en bruto de la gente para ir probando?
La mayoria de contraseñas las usamos en webs u otros sistemas donde precisamente hacer bruteforce es casi imposible.
Aunque pudieras probar indefinidamente, solo tiempo de conexion, envio de constraseña, recepcion del error en una web, seria infinito ir probando con todo. Y hoy en dia las cuentas se bloquean tras varios intentos o te piden un captcha cada cierto tiempo.
Incluso el login para entrar en un windows, si fallas varias veces la contraseña, hay una pausa de segundos hasta que te la vuelve a pedir.
Como mucho esto sera util para ficheros comprimidos y similares.
Para no tener que recordar las contraseñas y que éstas sean muy seguras nada mejor que usar programas tipo Password Safe o KeePass.
Para quien le interese os paso un artículo que escribí hace tiempo sobre este tema:
http://www.unavidaporvivir.com/2008/12/gestin-de-contraseas.html
#16 Nunca he usado esos programas así que puedo estar equivocado, pero mi impresión es que estos programas de gestión de contraseña:
1-O te dan acceso a la contraseña para copiar+pegar
2-O te muestran la contraseña por pantalla (para que la escribas "cómodamente")
La opción 1 (C&P) no sé yo si la catalogaría de segura, teniendo en cuenta que JDownloader te lee el portapapels (de linux también), imagina cualquier otro software que te hayas instalado sin fijarte mucho.
La opción 2 la veo más segura, ir escribiendo tú mismo lo que ves por pantalla, pero como tengas a alguien detrás más te vale que no tenga memoria fotográfica.
¿Para qué aumentar la longitud de la contraseña si lo que hay que hacer, para dificultar el descifrado, es "simplemente" usar cifrados de mas longitud?
Un password seguro es ya un password imposible de recordar.
A todos : Aircrack con soporte CUDA , un diccionario hecho con un /usr/share/dict y cat , sort y uniq , y ya son más de 12 las WPAs reventadas . Fin de la discusión .
No es más fácil descrifrar contraseñas, simplemente es más rápido.
Bueno bueno, no nos chupemos las pollas todavía. Si de verdad finalmente se verifica la demostración de P != NP, ya pueden sacar GPUs de chopocientos mil FLOPS, que no va a haber cojones a hackear claves RSA de larga longitud.
Quien no pueda recordar una contraseña siempre puede usar una tarjeta como las que se pueden generar aquí: http://www.passwordcard.org/es . Así solo hace falta que recuerde fila o columna.
Entonces mi contraseña de menéame Sup!&Sitorio69 es segura?
Para #18. Depende de la marca de supositorios.
¿Es que nadie va a comentar que estas velocidades de hackeo solo son posibles al crackear una contraseña en un entorno local?
Cuantas tonterias he tenido que leer para aprender: nada.
Vuestra contraseña de vuestros servicios online estan seguras, no os preocupeis. Vigilar tan solo que no sea tan tan obvia que esté incluida en un maldito diccionario de passwords. Pero eso es tan elemental como abstenerse de poner "apple" de contraseña. Añadele unos numeros y será segura.
No dudo que sea verdad que hackeen rapidamente la contraseña de mi PC teniendolo en sus manos. No es nada nuevo, hace años me divertía en clase hackeando los archivos de contraseñas por fuerza bruta + diccionario. Era divertido, pero era una tonteria entonces... imaginar ahora.
Lo que tendría merito es hackear contraseñas por fuerza bruta en servicios web. Cosa que no es posible. Aun teniendo una botnet gigantesca, si atacas a la mayoria de servicios web te salta un captcha despues de N intentos. Por no hablar de simples limitaciones de tiempo por IP (X intentos por hora, por IP). Por no hablar del tiempo que tarda el sistema en decir OK o ERROR, por cada intento. Y por no hablar de la latencia en sí misma! Que puede rondar los 150 milisegundos, más el tiempo de proceso a ambos lados de cada intento.
Vamos, que un ataque por fuerza bruta a Google, por ejemplo, es por varias razones inviable. Solo tendría exito si tu contraseña es tan tonta que está en un diccionario, o tiene menos de 5 caracteres (creo que no lo permite) y por alguna razon el atacante sabe este dato o le gusta perder el tiempo intentandolo.
La estupidez humana también ayuda a ese fin.
Capitan Obvious
Pero con fallos de seguridad como los de facebook ¿pa qué queremos hackear contraseñas? si nos las dan servidas en bandeja!
No creo que mucha gente se dedique a petar las contraseñas que usamos en internet a fuerza bruta...
Seguramente usen keyloggers, que son un tipo de troyano que simplemente manda todo lo que escribes a un ordenador remoto y así te pillan las contraseñas. También puden usar correos falsos en los que te pidan tus datos
Solución? Tener un buen antivirus y un firewall instalados
Es seguro al 100%? No, pero nada en internet es seguro al 100%
EDIT:
¿Alguien sabe por qué cada vez que pongo mi password de menéame me salen asteriscos?
última vez que lo intento: ****
Mala suerte para el que no use una contraseña segura o no se tome en serio el proteger sus datos.