ZONA DE PRUEBAS

Hablo de sitios Web... ¿A alguien le han accedido a digamos, el Gmail o a Paypal por Fuerza bruta o con conocimiento de la persona y deducción? En todos los sitios que piden una contraseña lo normal es o crearse una contraseña maestra compleja pero recordable o apuntárnoslas (lo cual no me excita que digamos...) pero, es eso, en 2014, ¿quien accede a una web con fuerza bruta? Siempre que he leido sobre robos de contraseñas, ha sido un chinaco o un Tovarich que abusando del unico delito que les deben dejar cometer sin pegarles un tiro en la nuca, hackean los servidores robando los ficheros de contraseñas, en tal caso no importa lo compleja que esta sea, en fin, en 15 años que tengo internet, NUNCA han accedido a nada en mi nombre, y varias veces me he quedado fuera de algún sitio al no recordar la contraseña.

Defiendo las contraseñas que no sean ni largas ni complicadas.

por ejemplo: el nombre de nuestra madre:

'ana' (demasiado corta y solo minusculas)
'Ana' (Mayuscula y minusculas, no importa el numero de cada. pero sigue siendo corta)
'AnaMierDeCilla' (ya es larga, pero se puede mejorar sin hacerla complicada)
'4naMierDeCilla' (Pam, mayusculas, minusculas y numeros)

Destripado de contraseñas con bases de datos con palabras (si tras descodificar una contraseña codificada aparece una palabra, serie de caracteres reconocible, es una contraseña buena)

rompamos las palabras reconocibles...
'4naM13rd3c1ll4'

Blam, facil de recordar y tán segura como los servidores en los que nos registremos.

.

Uhmm, si la contraseña que recomiendas al final es algo al estilo de '4naM13rd3c1ll4',
no parece que pongas en cuestión la utilidad de las contraseñas fuertes.
El debate parece ser mas bien, ¿las contraseñas se deben poder recordar?
Y se pueden usar contraseñas fuertes, largas y complejas, y que se puedan recordar, como bien has demostrado.

Durante años en varios sitios use como contraseña tres letras "dmc" nunca tuve problemas, pero un día cambiaron a 5 caracteres minimo, "dmc12" 8 años tuve esa contraseña, jamás ningun problema, eventualmente había sitios que no dejaban ni registrarse si no habían mayusculas, minusculas, numeros y hasta caracteres especiales (que en verdad no dan ninguna seguridad digna de mención) lo que nos ha obligado a recordar contraseñas largas complicadas y contra intuitivas, ahora falta que encuentren la manera de obligar a que sean diferentes en cada sitio (Y los Chinos seguirán robandolas a placer, a cambiar y re-recordar tocan!) Cada vez que me quedo fuera de algún sitio "Por mi seguridad" es que me enciendo.

PabloMarmol escribió:El debate parece ser mas bien, ¿las contraseñas se deben poder recordar?

Yo de siempre he escuchado que las contraseñas deben ser "fáciles de recordar, difíciles de adivinar".

-- Actualizado 22 Jun 2014, 00:22 --

Luna escribió:Defiendo las contraseñas que no sean ni largas ni complicadas.

Si no son largas, estás reduciendo el espacio de posibilidades de un ataque por fuerza bruta. Si sólo empleas letras, aún más, si sólo empleas mayúsculas o minúsculas, aún más. Y si para colmo usas palabras de diccionario, aún más. Así, un método de encritación para el que necesitarías eones con una contraseña fuerte, se rompe en meses (o incluso días si cuentas con un cluster) con una contraseña como las que propones:

Luna escribió:por ejemplo: el nombre de nuestra madre:

'ana' (demasiado corta y solo minusculas)
'Ana' (Mayuscula y minusculas, no importa el numero de cada. pero sigue siendo corta)
'AnaMierDeCilla' (ya es larga, pero se puede mejorar sin hacerla complicada)
'4naMierDeCilla' (Pam, mayusculas, minusculas y numeros)

Usar codificación "l33t" no lo mejora demasiado, ya que en definitiva estás sustituyendo una letra por un número, así que el número de caracteres que entran sigue siendo limitado.

Luna escribió:rompamos las palabras reconocibles...
'4naM13rd3c1ll4'

Blam, facil de recordar y tán segura como los servidores en los que nos registremos.

Para intentarlo por fuerza bruta desde luego sí es buena, pero cae frente a un ataque con diccionario: usas dos palabras "ana" y "mierdecilla" que son de diccionario. Que las "distorsiones" con l33t o no sólo aumenta un poco el espacio de posibilidades, pero con programas que permiten probar más de un millón de contraseñas por segundo en un simple PC, se encuentran enseguida.

Para mi, siempre uso contraseñas que no puedan estar en diccionario, tengan números que no vengan de convertir letras en dígitos, y para sitios "sensibles", que tengan de todo: minúsculas, mayúsculas, dígitos y otros caracteres de puntuación.

-- Actualizado 22 Jun 2014, 00:27 --

Con todo y con eso, de nada sirve cuán fuerte es tu contraseña si cometes el error de usar siempre la misma para todo sitio al que te registres. De hecho, el método más común de robar contraseñas de FB, twitter, PayPal o lo que sea, es muy sencillo: montas una web, un foro por ejemplo, con alguna temática atrayente (o sea, porno, o pirateo de algo). Obviamente, para acceder al contenido has de registrarte en el foro, cosa que ves normal, así que te piden una cuenta de correo y una contraseña. Pero claro, muchos de nosotros usamos la misma cuenta de correo y la misma contraseña para muchos sites diferentes, y ahí te pillaron. El dueño del foro en cuestión ya tiene esos datos tuyos y ahora de forma automática puede probar a ver si por un casual tu cuenta en PayPal tiene el mismo usuario/contraseña que has usado en el foro.

En mi empresa ahora a los listos de la gestion informatica, se les ha ocurrido, que tenemos que cambiar automaticamente de contraseña, cada dos meses, y para colmo no vale ninguna que hayas usado 10 veces antes. con lo cual en vez de mejorar , creo que la cosa va a ir a peor porque los trabajadores dejan la contraseña anotada en cualquier sitio y como decis, tiene que tener mas de 8 caracteres y tener numeros, minusculas, mayusculas y caracteres especiales, todo en la misma contraseña, si no los lleva no es valida.

¡¡¡¡¡Menudo coñazo!!!!!!

mcleod_ideafix escribió:...

Otra vez la fuerza bruta... 100.000 contraseñas por segundo, EN INTERNET?

Manda una contraseña al servidor para que la compare con su fichero interno.

[Aqui hay tiempo, entre que el servidor se 'cosca' y decide hacerte caso]

anota la contraseña que has metido, para cuando pueda compararla

[tiempo más tarde, hace la comparación, que dá negativo]

Cada juego de corchetes son decimas de segundo, pero justifica que un servidor tarde 3-5 segundos en decirte si la contraseña que has metido es buena o no. así que nada de 100.000 contraseñas por segundo... La lentitud de la red hace inviable un ataque por fuerza bruta...

Luna escribió:

mcleod_ideafix escribió:...

Otra vez la fuerza bruta... 100.000 contraseñas por segundo, EN INTERNET?

Nooo... yo me refería al robo de archivos de contraseñas usando alguna vulnerabilidad (la más reciente, la famosa HeartBleed), para descrifrarlos offline con tu PC. Para el robo de contraseñas usando internet simplemente ya se usa el otro sistema que te he comentado.

Y digo yo para liar más la troca con las contraseñas , porque no dejan poner characteres de los ocultos, por ejemplo el de ALT+126 del teclado númerico o utilizar las barras, también me he preguntao a veces, joder si es tan facil petar una cuenta, que pongan 2 contraseñas en los sitios web, igual que hay pisos con 2 puertas en rellano y necesitas 2 claves...
También supongo que si pasara esto sería como el fín de el mundo para algunas personas...

De cualquier manera, la longitud de la contraseña puede ser irrelevante a partir de cierto punto. Prácticamente ningún sistema almacena contraseñas, sino el hash de la contraseña (modificado hasta cierto punto), con lo que podría haber colisiones del hash antes de dar con la contraseña adecuada (y si la longitud de tu contraseña es mayor que la del hash, quizás incluso el hash sea más débil que tu contraseña). Por ahora la longitud de los hashes que se emplean es hermosota, pero...

Los mejores sistemas son los que emplean hardware A día de hoy tengo (y uso) tres de estos cacharros: el authenticator de Blizzard, una Activkey y mi DNI electrónico. Repasemos como funcionan:

- El authenticator genera un número aleatorio de seis dígitos que cambia cada cierto tiempo. Para entrar a la web o juego necesitas tu usuario, contraseña y el código de seis dígitos. La ventaja es que si te roban la contraseña (por ejemplo, porque la utilices en varias webs y la cojan durante un ataque a otra web), no podrán acceder ya que desconocerán el código generado por tu authenticator. Existe una versión en la que el authenticator es una app para móviles. Aquí lo importante es lo mismo que con las tarjetas de crédito: jamás guardarlas junto con su contraseña. También he tenido un sistema similar (RSA no se qué) para acceder a una red privada, en este caso el sistema te pedía un usuario y una contraseña que eran 6 dígitos fijos+6 dígitos generados por el aparato.

- El Activkey y el DNI electrónico funcionan de una manera similar. Dentro de ellos se guarda un certificado hermosote (mucho más gordo que cualquier clave o hash), protegido con una contraseña. Cuando necesitas acceder a un sitio, utilizas tu contraseña (las reglas de longitud son aplicables) para desbloquear el hardware, y el hardware le pasa al ordenador el certificado a usar. La ventaja es que, en teoría, es imposible obtener ese certificado aún teniendo el hardware (algunos de estos aparatos se autodestruyen en caso de intentar hackearlos).

¿Ventajas de ambos sistemas? Pues básicamente que no conoces ni almacenas la contraseña, con lo que un ataque a tu ordenador o cualquier modo de extraerte la información (por favor, si alguien quiere mis contraseñas que me mande una espía con un mínimo de 100 de sujetador). Además, en caso de robo del aparato, ganar un tiempo precioso para avisar a los responsables del sitio para que anulen/bloqueen/cambien tu cuenta.

¿Inconvenientes? La disponibilidad es limitada, en caso de robo tardarás un tiempo en recuperar tu cuenta (pero la recuperarás intacta, eso sí). Además no hay una manera común de gestionar los accesos (que, por otra parte, sería un fallo de seguridad), por lo que cada sitio deberá usar su propio dispositivo hardware (aunque hay tarjetas inteligentes que pueden guardar un montón de certificados). Eso te impediría utilizarlo como único método de autenticación en ciertos sitios (por poner un ejemplo, si lo pones en este foro habría que ver quién paga el hardware).

Yo lo que utilizo habitualmente como contraseña, larga, segura y fácil de recordar son las iniciales de las palabras de una frase, seguidas de un número (es un requisito que se exige en ocasiones).

Por ejemplo:

Estoy Escribiendo Un Post En Zona De Pruebas 2011
EeUpEzDp2011

Aunque estoy de acuerdo con Luna en que extender el tema más allá de lo razonable hace que al final tengas que apuntarte las contraseñas en algún sitio y sean menos seguras.

En mi empresa hay un montón de contraseñas diferentes, que hay que cambiar con diferentes frecuencias y cuyas restricciones a veces ni siquiera coinciden.
Total, al final tienes que tirar de papelito o llamar a un administrador del sistema (que está en otra ciudad) por teléfono para que te restablezca la contraseña. Cosa que es mucho más segura, como todo el mundo sabe.