302 meneos
11593 clics
"No entiendo por qué consiguen saltarse la seguridad, si es a prueba de bombas" Los usuarios: (inglés)
"No entiendo porque consiguen saltarse la seguridad, si es a prueba de bombas" Los usuarios:
|
comentarios cerrados
Departamentos de seguridad que pa asegurarse de que estas concienciado contra el phishing, te bombardean el mail todas las semanas con con correos trampa para mantenerte alerta. Con lo que tu bandeja de entrada tiene una sustancial cantidad de correo basura generado por tu propia empresa viendo a ver si picas en el correo basura...
Listas de correo que envian informacion sensible (y sensible a nivel de seguridad de estado) que cuando dejas de trabajar en ese proyecto siguen llegandote durante meses... o años, pese a los continuos intentos de que te den de baja
Usuarios accediendo con clientes obsoletos a entornos de productivo. Pero no obsoletos de huy se me pasó instalarte la ultima version del X... obsoletos y sin soporte desde hace 5 o 6 años... Y forzar una subida de version a todo cristo y que Helpdesk tarde 1 año (1 puto año) en completar la lista de usuarios.... Tanto... que…...
(...)cámara delante y descontrolo tía...Eso cuando no las tienen escritas en un postit pegado en la pantalla.
Cómo consejo no es muy bueno...
Para el común de los mortales es mejor este consejo: xkcd.com/936/
Junto a que no usen la misma contraseña para todo
Departamentos de seguridad que pa asegurarse de que estas concienciado contra el phishing, te bombardean el mail todas las semanas con con correos trampa para mantenerte alerta. Con lo que tu bandeja de entrada tiene una sustancial cantidad de correo basura generado por tu propia empresa viendo a ver si picas en el correo basura...
Listas de correo que envian informacion sensible (y sensible a nivel de seguridad de estado) que cuando dejas de trabajar en ese proyecto siguen llegandote durante meses... o años, pese a los continuos intentos de que te den de baja
Usuarios accediendo con clientes obsoletos a entornos de productivo. Pero no obsoletos de huy se me pasó instalarte la ultima version del X... obsoletos y sin soporte desde hace 5 o 6 años... Y forzar una subida de version a todo cristo y que Helpdesk tarde 1 año (1 puto año) en completar la lista de usuarios.... Tanto... que pa cuando te dicen creemos que ya están todos ya hay otra nueva version de dicho cliente y tienen que volver a empezar... (nop, no pregunteis por que no tienen un script... son misterios insondables que nunca obtendrán respuesta)
Bancos (¡BANCOS!) que envian informacion financiera sensible en texto plano sin encriptar pero es el mismo banco, que por "seguridad" cada vez que preguntas algo a su equipo de support te responden con un mail que tiene un link que te loguea en su sistema de mail con usuario contraseña y clave (que te tienen que dar de alta ellos) para ver el mensaje cifrado, haciendo que la comunicacion sea lenta farragosa y en muchas ocasiones no siempre posible... pa cosas del tipo "¿Oye arreglasteis eso? Sip/nop" sea uin proceso tedioso que a veces tarda dias en poder realizarse
Interfaces basados en ficheros que son accesibles desde des, qas y pro.... con lo que desarrollo puede modificar datos de entrada de produccion...
Todos esos momentos se perderán... como tikets "on hold" en el jira...
Pero si quieres mi momento favorito de usuario... el tipo tenia el monitor todo garabateado con rotu. Le preguntas que mierda es eso y te dice que passwords de usuario que se los apuntaba con rotu permanente en la base del monitor. En el fondo la tecnica no era mala del todo porque al cabo de los años y de las claves escritas en el mismo, el galimatias de chorradas en la minuscula base del monitor hacia francamente complejo adivinar cual era el actual. Riete tu de AES256
No sé si es peor esto o lo de los bancos
Incluso entre los genuinamente preocupados por la seguridad sueles encontrarte con archivos de exportación de contraseñas de algún gestor o navegador, por ahí olvidados tras una reinstalación. O capturas de pantalla con datos de login que han sacado para no matarse a apuntarlos.
Pero el más que he visto era uno que al parecer guardaba las cuentas en el forro interior de una carpeta vieja, escritos a boli. Cada uno orientado en una dirección, escrito con un boli distinto a lo largo de años. . . Pues el tipo al tirar la carpeta lo que hizo fué arrancar el forro y sacarle un par de fotos. Las tenía en el escritorio
Jamas olvidare cuando los usuarios me devolvian los portatiles que les davamos para conectar en remoto a informacion confidencial del banco en el que trabajaban con la hoja de contraseñas dentro del portatil cerrado, colocadita entre la pantalla y el teclado para no perderla
Yo diría que hemos trabajado en los mismos sitios (y no me ocupo de temas de seguridad)
Te añado una muy graciosa: hace años, en un nodo Solaris donde se conectaba toda la empresa, dejaron una copia del /etc/shadow con permisos de lectura para todo el mundo.
Luego pasa lo que pasa
al menos 1 letra
al menos 1 letra mayuscula
al menos 1 letra minuscula
al menos 1 numero
al menos 1 simbolo
Salvo que pongas de contraseña:
Puta-contraseña-1
(ideal ademas la eñe para saltarte hackers no hispanos)
Yo lo hago a veces cuando trabajo con un desarrollador externo que necesita tal o cual servicio en la nube... le doy una tarjeta con $100 o lo que sea, y haga con ella lo que le salga de las pelotas.
Lo malo de la ñ es que puede dar problemas (Una vez tuve que abrir un ticket por ese tema), pero se pone doble N e incluso la hace más fuerte.
Una tendencia que debería abolirse, por ley si hace falta.
Obligar a cambiar la contraseña sin que haya indicio alguno que haya sido filtrada o capturada es tan absurdo como obligar a reinstalar todos los servidores desde cero cada 6 meses o cada 12 meses como medida de prevención de ataques.
Lo de que sean complejas solo sería aceptable si se incluye como compleja que sea larga, sin pijadas de símbolos, mayúsculas, números u otras tontadas. Que sí, que si es de 8 caracteres en un servicio que admita fuerza bruta exígele hasta emojis, pero si es larga puede ser perfectamente segura con todo minúsculas.
La complejidad incluye ambas cosas, longitud y tipos de caracteres. La longitud es más importante, mínimo 20 para empezar. Hay algún sitio del curro donde me piden 32 como mínimo por política, pero es que ahí hay "cositas golosas" y la seguridad debe ser máxima.
Estaba cantado.
La complejidad incluye ambas cosas, longitud y tipos de caracteres.
Y esa es la metida de pata, considerar que los tipos distintos de caracteres deban ser un requisito en una contraseña larga, lo único que consiguen es dificultar el uso de buenas contraseñas con su incompetencia.
Hay algún sitio del curro donde me piden 32 como mínimo por política
Vaya malgasto de postits, 5 o 6 uno al lado del otro como mínimo.
-A ver que mierda es esa que me mandais los de sistemas que sois unos inutiles y no va, que me lo he bajao y lo he instalado ya 3 veces pero no hace nada
-Perdona, no se muy bien de que hablas, pero apaga ahora mismo tu equipo.
Una vez sufrimos el intento de ciberataque más robusto ever, estabamos currando, alguien llamo al timbre un tipo con casco de moto diciendo mensajero, le abrieron la puerta, entro corriendo arrancó un portatil y salio por patas por la escalera de incendios (4º piso) nos quedamos tos mirandolo diciendo uh, no me pagan tanto como pa darme de yoyas, dejale que corra que total el portatil esta cifrado... (presupongo que mas que ciberataque querria revender el portatil pero tb jugarse el tipo por una patata de laptop de hace 5 años... a saber que pensaba encontrar en su cabeza...)
Sería este un buen ejemplo??{troll}
Lo mejor fue cuando descubrí que mi clave personal de acceso es la única con privilegios de administrador, vete a saber por qué... sobre todo teniendo en cuenta que mi PC está independiente de la red interna.
Solo hace falta dos cosas
Qué sea aleatoria (aleatoria de verdad, nada de aporrear el teclado)
Y que sea larga (12-16 caracteres usando sólo minúsculas)
El resto son tonterías
Nadie pregunta quien es Carlos para obtener de respuesta "el de los cojones largos"
Pero luego a la hora de hacer ingeniería social tiene cierta debilidad
No me extraña nada.
Y metes y metes nombres y no aciertas...
Pero no todo el mundo tiene un smartphone...
Eso no tiene nada de robusto, el móvil es un único elemento, si es vulnerable no hay triple nada.
A mi me toco convencer (con bastante sangre) a toda mi puñetera empresa de que no era buena idea guardar sin encriptar (si, guardar en texto claro) la información financiera de todo el país (si, de todas las personas) y que era muy mala idea que toda el área financiera (incluyendo becarios varios) tuvieran acceso irrestricto a ella, que para sacar informes sólo era necesario manejar información agregada y de ninguna manera nada específico.
Hasta que no les hice caer en cuenta que aunte una fuga de información los directos responsables eran los directivos de alto rango no se dignaban a hacer nada.
ErÁmasonesunamierdapaaayo69¡!
Atomarpolculoeribeidelocohone69¡!
Las tarjetas se envían desactivadas
Hacer que ambos sean seguros cuesta unos esfuerzos y unos recursos ingentes
Un compañero me dice medio de coña que soy el Amo de las Llaves. El día que me vaya de la empresa va a ser divertido...
Hace décadas, antes de los móviles, yo llevaba una tarjetita con los números de teléfono y, escondidos entre ellos iban los pines de mis tarjetas. Por ejemplo "Carlos Martínez 4453256" era el pin de mi tarjeta de CajaMadrid, 3256.
Te pones una bata o un mono de trabajo y andas por donde quieres. Yo lleve una semmana una bata con el nombre de un medico que salia por la tele.
#46 #65 Tambien fue un famoso el Capitan Timo que se metia en cuarteles verstido de alto mando y ya nadie se atrevia a chistarle nada. Creo que en la mili de mi hermano vino uno vestido de cura preguntando por alguien y se paseo por todos sitio, creo que le dieron de comer y ese alguien luego no sabia quien era.
www.abc.es/local-madrid/20130620/abci-capitan-timo-201306201303.
elpais.com/politica/2013/06/20/actualidad/1371720982_919364.html
Si son frases raras se recuerdan mejor y mejor si son inconfesables.
No se cuanto se puede predecir la frase, pero tambien tiene sus coste comutacional.
xkcd.com/936/
DepequeñomeKGynoseentero.
MEcosoelsobacoconlodeabajo.
Pilotameeltomate.
TNSLPPBNTSO ( si se deletrea en ingles dice Tienes el pipi bien tieso)
Si te confias mas en tu memoria añades mayus, numeros y otros caractees, tambien palabras que no existan en el diccionario o modificandolas para que no esten en el dic.
#84 Si no tiene un 9 o un 6 canta un poco. Esta bien ofuscar, pero estaria mejor que las contraseñas no estuviesen completas y hubiese que añadir algo de otra fuente como la mente.
#10
#31 Los programas de craqueo ya hacen ese tipo de sustitucion, pero al ser larga esas sustituciones relativamente previsibles, aumentan exponencialmente trabajo de testar contraseñas.
Yo creo que lo mas eficar es la longitud y toda dificultad que añadas es ganancia, siempre que no sea un problema para recordarla, renovarla o gestionarla.
#41 Una que no fuese de conocimiento publico mejor.
#52
Te hablaran en 133+ 5pe@k, y si saben que es español puede que te cambien c y z por s, e intercambiar b y v, pero si te pones a escribir en andaluh/castizo... creo que antes prueba directamente fuerza bruta
En aquella época los números de teléfono tenían siete cifras y los de mi barrio empezaban por 446 y las cuatro últimas eran el pin de la tarjeta. Lo de "con el 91 delante" vino después.
Siempre le digo: “sabes que puedes cambiarla, no?” (Tiene tarjetas hace 40 años; no es que sea un inexperto, vamos)
Llevo décadas en IT y no vi diferencias entre carrera/no carrera ni hombre/mujer.
Incluso hay técnicos cuya conciencia de seguridad es deficiente.