¿No somos capaces de crear mejores contraseñas que «123456»?

Iniciado por El_Andaluz, 24 Noviembre 2020, 01:10 AM

0 Miembros y 1 Visitante están viendo este tema.

El_Andaluz



Un año más, y más de lo mismo. La inseguridad de las contraseñas es el cuento de nunca acabar... Seguimos incumpliendo todas las normas básicas para su creación y mantenimiento y a pesar de los repetidos intentos de concienciación cometemos los mismos errores año a año.

El especialista NordPass ha publicado su informe anual sobre el estado de la seguridad de las contraseñas. Ha sido confeccionado después de analizar más de 275 millones de contraseñas filtradas en los ataques producidos el último año. No hay semana que pase sin conocer alguna violación masiva de datos y con ello millones de contraseñas quedan expuestas.

La lista de las peores es lamentable y se repite año a año con viejas conocidas como «123456» (Primer puesto), «111111» (sexto) o «password» (cuarto puesto). Por descontado, son las que hay que evitar a toda costa ya que un pirata informático las puede obtener en menos de un segundo simplemente con un comando que pruebe las más utilizadas.



TickTack

Con respecto a este tema, me gustaría mencionar unos puntos:


1) Sabes qué es mejor que 123456: 654321.

2) No se puede evitar que la gente sea retrasada. Eso está en la naturaleza de algunas personas.

3) La mayoría de los lugares ya ni siquiera permiten que la gente cree contraseñas como esa. La mayoría de los lugares a los que me registro en estos días requieren letras, números y, por lo general, símbolos.

4) Nunca podremos cambiar el deseo de los seres humanos de hacer las cosas lo más simples y rápidas posible. Supongo que eso significa algo para nosotros; más cuentas crackeadas para usar/vender lol.

5) Incluso si las personas no fueran lo suficientemente estúpidas como para usar cosas simples como 12345, esa vieja fuga de rockyou db con las contraseñas y los correos electrónicos y todo por sí solo ha llevado a que se violen opciones más seguras. Sus contraseñas no están seguras en sus mentes, o por parte de la tecnología, finalmente.

6) Por otra parte, odio cuando me prohíben usar símbolos y luego nunca puedo recordarlos.

7) A estas alturas, cualquier sitio web que solo permita la autenticación con contraseña tiene una seguridad inadecuada. elhacker.net permite la autenticación solo con contraseña, pero recomiendo encarecidamente a todos los administradores, y en especial al dueño, que habiliten 2FA, que creo que es una compensación práctica para garantizar que las personas puedan registrarse con la suficiente facilidad. 2FA basado en apps o 2FA de token de hardware debería ser lo mínimo en estos días. Incluso sería mejor si los datos de comportamiento también se vieran como datos de localización, direcciones IP/información de ISP, huellas digitales del navegador, etc. como un tercer factor para generar un puntaje de confianza. Por supuesto, todos los datos de comportamiento se pueden aprender y falsificar, por lo que no es aceptable para la autenticación per se, pero aumenta la dificultad del secuestro de cuentas.
Citar
"Ninguna mentira puede inventarse lo suficientemente patán: el pueblo hispanohablante la cree. Por una consigna que se les dio, persiguieron a sus compatriotas con mayor encarnizamiento que a sus verdaderos enemigos."

Serapis

#2
Cita de: TickTack en 13 Diciembre 2020, 23:49 PM
1) Sabes qué es mejor que 123456: 654321.
Es trivial.

Cita de: TickTack en 13 Diciembre 2020, 23:49 PM
2) No se puede evitar que la gente sea retrasada. Eso está en la naturaleza de algunas personas.
Creo que es el caso de la inmensa masa que apenas sabe lo justo de informática, usa los recursos de la red, pero no sabe nada subyacente sobre la tecnología, son puramente consumidores... En realidad no es culpa de ellos, a menudo en ejemplos de manuales aparecen contraseñas como 'admin', '1234' (parta ejemplo tenemos los fabricantes de router, que las suelen usar por defecto), luego ellos acaban por considerar que 'si lo usan los fabricantes, será que eso es seguro, entonces ''pluto1234'' tiene que serlo mucho más'.

Sin ir más lejos, cuando lees manuales de programación ves cosas igualmente ridículas como: 'Ahora vas a crear tu primer programa en el lenguaje 'x'... escribe:
print "Hola mundo"
y se quedan tan panchos... Al igual que los lenguajes de 'Hola mundo' crean programadores mediocres, los manuales de programas que señalan 'crea tu contraseña' y exponen como ejemplo una casilla de texto con '1234' han acabado creando usuarios confiados (no retrasados, retrasado lo sería si después de birlarle una cuenta, siguiera usando esas contraseñas). Para ellos es muy fácil pensar en algo como: 'con toda la gente que hay en el mundo, con dinero y otras coas de valor, para qué me van a atacar a mi con mi modesta contraseña???'...

Cita de: TickTack en 13 Diciembre 2020, 23:49 PM
3) La mayoría de los lugares ya ni siquiera permiten que la gente cree contraseñas como esa. La mayoría de los lugares a los que me registro en estos días requieren letras, números y, por lo general, símbolos.
Las tarjetas de crédito sin ir más lejos se han manejado con 4 digítos... claro que al  tercer intento fallido la tarjeta quedaba bloqueada en el cajero.

Cita de: TickTack en 13 Diciembre 2020, 23:49 PM
4) Nunca podremos cambiar el deseo de los seres humanos de hacer las cosas lo más simples y rápidas posible. Supongo que eso significa algo para nosotros; más cuentas crackeadas para usar/vender lol.
Tampoco podremos cambiar la creencia de los fabricantes de imaginar que los sitemas biométricos son infalibles, no solo antes el robo si no ya incluso para uno mismo.
Yo mismo si uso mi huella dactilar para el tf. móvil, solo me vale para el propio día, al día siguiente ya no me la reconoce... las yemas de mis dedos no mantienen largo tiempo su aspecto, las líneas no cambian básicamente en la vida, pero sí se pueden deformar fácilmente por la erosión. Si eres dado a las manualidades, te podrá suceder a menudo.

Cita de: TickTack en 13 Diciembre 2020, 23:49 PM
5) Incluso si las personas no fueran lo suficientemente estúpidas como para usar cosas simples como 12345, esa vieja fuga de rockyou db con las contraseñas y los correos electrónicos y todo por sí solo ha llevado a que se violen opciones más seguras. Sus contraseñas no están seguras en sus mentes, o por parte de la tecnología, finalmente.
Es que ahí es donde tenemos cierto deber nosotros. Si cada uno enseñamos a nuestos amigos y conocidos a usar contraseñas fuertes y muy fáciles de recordar, no tendrían problema en mantener contraseñas seguras... y con el tiempo, cada uno de ellos, se lo enseñaría a otros...

A menudo cuando descubro esas contraseñas ridículas en mis amistades, les pregunto: "tienes en tu cabeza alguna estrofa de una canción o una frase, que sabes que jamás se te olvidará?. La respuesta siempre es sí.. les pido que la reciten  y les muestro como usar (por ejemplo, en el modo más sencillo), la primera letra de cada palabra... así si la estrofa tiene 20 palabras es de 20 caracteres de largo, guau, escrito no la podrías recordar, pero resulta que la frase YA ESTÁ memorizada en tu cerebro... luego les digo, bueno no lo dejes tan simple, después de todo hay letras que son las más comunes para empezar palabras, podrías por ejemplo descartar palabras de menos de 3-5 letras, o usa la letra inicial, luego la segunda en la siguiente palabra, luego la primera, etc... alternas una mayúscula otra minúscula, si son dos o más vocales seguidas omite excepto la primera o la última. etc... usa tu imaginación, y mete en algún punto algún número aunque no tenga número, por ejemplo cuenta las letras de una o dos palabras y ahí en medio de ellas lo pones, etc... después de una breve charla con diversos ejemplo escritos, captan la idea y con el tiempo notan la diferencia.

Cita de: TickTack en 13 Diciembre 2020, 23:49 PM
6) Por otra parte, odio cuando me prohíben usar símbolos y luego nunca puedo recordarlos.
7) A estas alturas, cualquier sitio web que solo permita la autenticación con contraseña tiene una seguridad inadecuada. elhacker.net permite la autenticación solo con contraseña, pero recomiendo encarecidamente a todos los administradores, y en especial al dueño, que habiliten 2FA, que creo que es una compensación práctica para garantizar que las personas puedan registrarse con la suficiente facilidad. 2FA basado en apps o 2FA de token de hardware debería ser lo mínimo en estos días. Incluso sería mejor si los datos de comportamiento también se vieran como datos de localización, direcciones IP/información de ISP, huellas digitales del navegador, etc. como un tercer factor para generar un puntaje de confianza. Por supuesto, todos los datos de comportamiento se pueden aprender y falsificar, por lo que no es aceptable para la autenticación per se, pero aumenta la dificultad del secuestro de cuentas.
Yo que lo más odio, es que el usuario que aparece en un sitio, sea justamente la mitad de tu login en ese sitio...
Si aquí tu alias es 'TickTack', cualquiera tiene ya la mitad de tu login, solo precisa encontrar la contraseña... Además si algien quiere entrar en tu cuenta ya sabe que tiene que usar 'TickTack'... si consigo dar con la contraseña tengo acceso a tu cuenta, que es la que uno en un momento dado quería atacar...
Yo prefiriría que el login exigiera un alias que para nada sea el alias usado en el foro, supongamos que en tu login usaras 'perico1234' (ahí que no te gusta eso del 1234  :silbar:), solo con ver tu alias de 'TickTack', yo no podría decir... "voy a ver si consigo entrar en tu cuenta..." porque no sé cual sería tu alias de login, un login cualquiera usado podría corresponder a cualquier usuario desconocido, luego no podría siquiera 'fijar un objetivo concreto'...
...pero 'Donald Trump' sabemos que es la cuenta de 'Donald Trump', pero si Donald Trump, hiciera su login con "Pato Donald", la gente tendría que adivinar no solo una contraseña facilona (que seguro que la tiene facilona), si no además el alias... las combinaciones se elevan al cuadrado.

el-brujo

@Serapis

Citar'Donald Trump' sabemos que es la cuenta de 'Donald Trump', pero si Donald Trump, hiciera su login con "Pato Donald", la gente tendría que adivinar no solo una contraseña facilona (que seguro que la tiene facilona), s

Sobre la contraseña de Donald Trump en 2016 en Twitter era 'yourefired' ('estás despedido').  Su contraseña en 2020: maga2020! (abreviatura de make America great again).

Hackean por segunda vez la contraseña de Donald Trump en Twitter
https://blog.elhacker.net/2020/10/hackeada-por-segunda-vez-hackers-noruegos-password-donald-trump-en-twitter.html

@TickTack

Citar7) A estas alturas, cualquier sitio web que solo permita la autenticación con contraseña tiene una seguridad inadecuada. elhacker.net permite la autenticación solo con contraseña, pero recomiendo encarecidamente a todos los administradores, y en especial al dueño, que habiliten 2FA, que creo que es una compensación práctica para garantizar que las personas puedan registrarse con la suficiente facilidad. 2FA basado en apps o 2FA de token de hardware debería ser lo mínimo en estos días. Incluso sería mejor si los datos de comportamiento también se vieran como datos de localización, direcciones IP/información de ISP, huellas digitales del navegador, etc. como un tercer factor para generar un puntaje de confianza. Por supuesto, todos los datos de comportamiento se pueden aprender y falsificar, por lo que no es aceptable para la autenticación per se, pero aumenta la dificultad del secuestro de cuentas.

¿Cuántos foros conoces que utilicen 2FA? Dime algo para poder mirar cómo lo tienen implementado. No creo que sea tan fácil de implementar. ¿SMS (es inseguro), llave física? Propón ideas xD En todo caso sería opcional por supuesto y no obligatorio para todos.

En el foro usamos https cuando Facebook para hacer el login no lo hacía y usamos un passwordSalt modificado por seguridad de los usuarios. Aunque no creo que seamos un ejemplo a seguir usando SMF 1.x pero tenemos pensando migrar a SMF 2 antes de Febrero de 2021 (cuando se cumplirán los 20 años del registro del dominio).

Con la migración a SMF 2.0 tenemos previsto usar sha512( y password_salt modificado),

Veo que SMF 2.1 hay un plugin 2FA:
https://github.com/SimpleMachines/SMF2.1/pull/2547

TickTack

#4
Cita de: Serapis en 14 Diciembre 2020, 02:49 AM
Yo que lo más odio, es que el usuario que aparece en un sitio, sea justamente la mitad de tu login en ese sitio...
Si aquí tu alias es 'TickTack', cualquiera tiene ya la mitad de tu login, solo precisa encontrar la contraseña... Además si algien quiere entrar en tu cuenta ya sabe que tiene que usar 'TickTack'... si consigo dar con la contraseña tengo acceso a tu cuenta, que es la que uno en un momento dado quería atacar...
Yo prefiriría que el login exigiera un alias que para nada sea el alias usado en el foro, supongamos que en tu login usaras 'perico1234' (ahí que no te gusta eso del 1234  :silbar:), solo con ver tu alias de 'TickTack', yo no podría decir... "voy a ver si consigo entrar en tu cuenta..." porque no sé cual sería tu alias de login, un login cualquiera usado podría corresponder a cualquier usuario desconocido, luego no podría siquiera 'fijar un objetivo concreto'...
...pero 'Donald Trump' sabemos que es la cuenta de 'Donald Trump', pero si Donald Trump, hiciera su login con "Pato Donald", la gente tendría que adivinar no solo una contraseña facilona (que seguro que la tiene facilona), si no además el alias... las combinaciones se elevan al cuadrado.
Se podría hacer que al crear un tema se pueda (por opción) cambiar el alias. Es decir, la misma idea tuya. Solo que en vez de escoger un secundario alias en el registro, que eso recién se haga cuando uno cree un tema.






Cita de: el-brujo en 15 Diciembre 2020, 13:47 PM
@TickTack

¿Cuántos foros conoces que utilicen 2FA? Dime algo para poder mirar cómo lo tienen implementado. No creo que sea tan fácil de implementar. ¿SMS (es inseguro), llave física? Propón ideas xD En todo caso sería opcional por supuesto y no obligatorio para todos.

En el foro usamos https cuando Facebook para hacer el login no lo hacía y usamos un passwordSalt modificado por seguridad de los usuarios. Aunque no creo que seamos un ejemplo a seguir usando SMF 1.x pero tenemos pensando migrar a SMF 2 antes de Febrero de 2021 (cuando se cumplirán los 20 años del registro del dominio).

Con la migración a SMF 2.0 tenemos previsto usar sha512( y password_salt modificado),

Veo que SMF 2.1 hay un plugin 2FA:
https://github.com/SimpleMachines/SMF2.1/pull/2547

No conozco hasta ahora ningún foro así. En el caso de que elhacker.net llegase a implementar 2FA sería entonces el primer foro de habla hispana que lo haría y por ende, en tal aspecto probablemente el mejor foro español  ::)

Si se me vienen ideas a la mente en cuanto a la implementación, las compartire/mos.






Mod: No hacer doble post.
Citar
"Ninguna mentira puede inventarse lo suficientemente patán: el pueblo hispanohablante la cree. Por una consigna que se les dio, persiguieron a sus compatriotas con mayor encarnizamiento que a sus verdaderos enemigos."

Mudereded401

#5
  La verdad, a la velocidad que la tecnología está avanzando, creo que dentro de unos años lo mejor sería elegir usar contraseñas que tengan por lo menos 20 caractéres. Como seguramente sabrán, TODAS las claves cortas (0-10 caracteres) están en peligro gracias a la tecnología de las tarjetas gráficas  :o

  Ya hay tarjetas gráficas que pueden romper contraseñas en minutos, haciendo más de 24.000 millones de combinaciones por segundo........ Aunque no sé para que querrían la clave del wifi del vecino, si tienen suficiente dinero como para comprarse una tarjeta de ese Calibre...

:rolleyes: ;)
Pero aunque los que sepan me digan que no, yo sé muy bien que existe el lado oscuro del sol. – El lado soleado de la calle

Xyzed

Lamentablemente hay mucha gente no familiarizada con el riesgo que tienen al utilizar contraseñas básicas.
Además de que hay un 99% de probabilidades de que usen esa contraseña en todas las cuentas que tengan en distintos servicios jajaja.
...