Y recordar que por muy segura que sea no vale para nada si la usamos en todos los sitios. Por eso lo mejor es un generador random que guarde y gestione nuestras contraseñas, como KeePass.

Lo que hace segura una contraseña es el número de caracteres. Meter números y símbolos solo sirve para que sea más difícil recordarla.

#2 #3 www.pandasecurity.com/mediacenter/src/uploads/2017/09/passwords.png

#37 Está muy bien. Así alguien que te conozca jamás supondría esa parte fija.

#1 #10 ¿Y eso de que os sirve? los investigadores no hablan de que las contraseñas sean demasiado cortas sino de que son predecibles, tipo 121212 o nombres de allegados, pero si es aleatoria llega con ocho caracteres, básicamente porque el sistema no debería permitir la fuerza bruta.

Cambiar la contraseña cada seis meses... Microsoft eliminó o eliminará la opción de obligar a cambiar la contraseña de windows cada 42 días porque piensan que en caso de que te la roben, 42 días son demasiados como para que sirva de algo cambiarla frecuentemente, imaginaos seis meses.

Hay que poner contraseñas aleatorias, diferentes en cada sitio y activar el segundo factor. Las otras medidas me parecen exageradas.

Yo estoy blindado, pongo contraseñas y luego tengo que usar lo de recuperar contraseña porque no me acuerdo cual era

#18 Contraejemplo:

Akm7$2@M: It would take a computer about 9 HOURS to crack your password.
micocheesrojo: It would take a computer about 2 YEARS to crack your password.

Y ya si utilizamos mayúsculas y minúsculas:

MiCocheEsRojo: It would take a computer about 16 THOUSAND YEARS to crack your password.

howsecureismypassword.net

#27 Que es lo que hace Chrome ¿Guardar las contraseñas con acceso en configuración? ¿Tiene un generador pseudo-aleatorio de contraseñas con varias opciones?


Database Encryption
Key Hashing and Key Derivation
Protection against Dictionary Attacks
Random Number Generation
Process Memory Protection
Enter Master Key on Secure Desktop (Protection against Keyloggers)
Locking the Workspace
Viewing/Editing Attachments
Plugins
Self-Tests
Specialized Spyware
Malicious Data
Security Issues


Advanced Encryption Standard (AES / Rijndael)  256 bits  NIST FIPS 197
ChaCha20  256 bits  RFC 7539
AES (Rijndael) became effective as a U.S. federal government standard and is approved by the National Security Agency (NSA) for top secret information.

No voy a descubrir América y seguramente alguno ya conocía el método, pero el otro día me explicaron como poner una contraseña de dificultad alta-muy alta. Es muy simple, aunque cuesta un poquito recordarla.

Consiste en escribir una frase que podamos recordar fácilemente alternando mayúsculas y minúsculas.

Ej. El patio De mi Casa es Particular cuando Llueve se Moja como Los demás. (Sí, lo sé, soy muy viejo)

Ahora cogemos la primera letra de cada palabra respetando mayúsculas y minúsculas: EpDmCePcLsMcLd

Añadimos un número que recordemos, por ejemplo el código postal: EpDmCePcLsMcLd28001

Y le añadimos algún signo ortográfico: *EpDmCePcLsMcLd28001!

#7 sin saber los simbolos de puntuacion adicionales ni el numero? ( _ y . ) ni de coña.

#38 Exacto. Esa moda de las contraseñas "complicadas" solo dan lugar a que acabe apuntada en un post-it, o un esguince de meñique.

#58 Puede que no te hayas dado cuenta pero es precisamente de lo que hablaba el mensaje original que ha iniciado la conversación:

“Lo que hace segura una contraseña es el número de caracteres.”

Y tu respuesta ha sido:

“En realidad no. Es justo al contrario.“

Mi ejemplo señala que una contraseña que solo cuenta con caracteres en minúsculas es más segura que una contraseña con mayúsculas, minúsculas, números y símbolos. Que es lo que él señalaba originalmente y que tú le has corregido: es más segura una contraseña larga que una más corta aleatoria y compleja.

Por supuesto a misma longitud va ser más segura una contraseña compleja.

#45
"Akm7$2@M" 8 carácteres.
"micocheesrojo" 14 carácteres.

Haciendo trampas al solitario a cualquiera le salen los números que quiera.

#5 pues después de haber trabajado en banca... Ver como las tarjetas se guardaban hasheadas sin salt...(saludos excompañeros) o bancos que permiten saltarse el OTP aun habiéndolo reportado mientras trabajábamos con ellos (en España que yo sepa hay 2 si no son 3 que llevan unos 4 años con este problema)... Como para fiarme del keepass

#34 otro del Santander!

#2 sugiero añadir aletoriedad dislexica:

El particular de mi patio es casa

O

Son los vecinos los que quieren que el alcalde sea el alcalde.

#5 Que guarde y gestione? jojo

#56 Pero qué trampas al solitario ni qué ejemplo de mierda? Precisamente lo que se está diciendo es que es mejor una contraseña larga a una compleja.

Si es larga y compleja, mejor; es obvio. Pero si vas a meter caracteres especiales, números y mayúsculas en una contraseña de 8 caracteres que vas a olvidar, pues mejor utiliza "micocheesrojo": una de 14 que puedes recordar.

#72 Que es, en definitiva, lo que había dicho #12.

#75 Ya te lo he explicado en #64.

# Meto un break para romper el bucle

break;

#67 Es sencillo pero da igual. No lo entiende.

#31 Yo voy cambiando de web en web, pero usando siempre una parte fija, sobre mi anatomía. Ejemplos:
Menéame: Pollon25Mnm
Amazon: Pollon25Amz
Gmail: Pollon25Gml

#61 en un postit en el monitor

#15 Eso es hiperbaton, no dislexia

#27 para mi? Lo uso en todas mis plataformas, independientemente del navegador, y puede guardar contraseñas que no son de webs.

Adicionalmente, como lo tengo montado ahora es más seguro que chrome

#38 Mierda (con perdón) de ejemplo que has puesto.
La primera contraseña es de 8 carácteres y la segunda de 14.
Así también hago yo las cuentas.

¿Sabes lo que se tarda tu ejemplo del coche si lo reduces a 8 caracteres como el ejemplo de arriba?
It would take a computer about
5 seconds
to crack your password

Así que a igual longitud la del coche tardaría en romperse 2 segundos y la de los signos de puntuación 9 horas.

#14 Como te dice #65, eso es mentira. Si pones tu contraseña de verdad, el propio sistema de Menéame la sustituye por asteriscos. Por ejemplo, mira la mia: ***************

#89 No, es el teclado que ha empezado a fallar se me pasó corregir esos fallos, cuando escribo una "c" me pone además un "2" y algunas otras raras.

Y luego llegan los bancos y te limitan a máximo 6 caracteres. O menos.

#16 #19 #30 Está claro que todo es vulnerable. Para algunos es mejor apuntar en un papel todas las contraseñas, otros se conforman con "password1234". Keepass es un punto medio que ofrece una posibilidad de gestionar las contraseñas aceptablemente segura y suficientemente sencilla. Pero cada cual que haga lo que estime oportuno, faltaría más.

#57 Pero el atacante no sabe qué set de caracteres esta usando tu contraseña, a no ser que le sistema padezca de information leaking por alguna parte.

Las combinaciones para petar una clave como hola1234 no son siempre las mismas. Con un espacio de clave más grande tardarás más tiempo en petarla.

Tonterías, yo en menéame uso qwerty123 y nunca me han juaqueado

#48 jajajaja touché

No entiendo los negativos la verdad. Menéame es el resumen de las redes sociales hispanas: nueve motivos para quejarse y uno sólo para alabar.  

#77 el tema es la ESO si son de la eso, da igual que tengan carrera

#80 Ya te digo que lo noto. A todos los niveles.
Las pocas veces que comento algo mido las palabras con un cuidado exquisito intentando que no haya margen a la interpretación.
Da igual, la gente no lee lo que escribes solo escuchan sus sesgo de confirmación y se "figuran" que lo que "quieres decir".

#44 Yo diría que no es como en las pelis cuando los malos intentan descubrir el código secreto para enviar misiles que van de uno en uno.
O tienes la contraseña completa o no sirve (y no sabes lo lejos que estás de ella)
Pienso.

#103 la huella dactilar, ni cualquier otro metodo biometrico son buenos como contraseña. solo como login.

#23 Mi banco, ocho dígitos numéricos. Y de usuario, mi dni. Son la hostia.

Lo más sencillo es que no se permitan ataques por diccionario, vamos que una web no te deje más de tantos intentos cada cierto tiempo.

Eso en webs y similares. Con un archivo zip no puedes evitar esto.

#103 huella dactilar e iris tienen un problema, no puedes cambiar la contraseña.

#5 o el punto intermedio. Para las cosas críticas una contraseña difícil como el e-mail, banco, etcétera. Para el resto de cosas tener diferentes categorías de Seguridad. Alto, medio, bajo. Así añ final sólo tienes que recordar un puñado de contraseñas.

Los usuarios son más previsibles cuando se los obliga a ajustarse a restricciones.

Una teoría preciosa hasta que te acuerdas de que necesitas 30 contraseñas distintas y que algunas solo las utilizas de ciento a viento.

#2 o mas facil El_patiodemicasa_2018.

i.imgur.com/M5HeB5T.png

Yo no me se mis contraseñas. Hace tiempo que las gestiona el navegador por mi. Cuando me registro en algun lado me recomienda una contraseña aleatoria impronunciable.

#37 creo que 25mm son 2.5 cm....

#35 por eso es sensacionalista

#96 Lo más habitual en todas las empresas

#12 En realidad no. Es justo al contrario.
Cuando utilizas fuerza bruta para acertar la contraseña el tiempo que lleva depende de la complejidad y la complejidad depende de longitud de la contraseña y número de caracteres.
A menos caracteres menos complejidad, menos tiempo para romperla.
Mucho menos tiempo.

Ejemplo.
Solo minúsculas. Contraseña de 8 caracteres: 282429536481 combinaciones.
Mayúsculas y minúsculas. Contraseña de 8 caracteres: 72301961339136 Combinaciones.
Mayúsculas, minúsculas y asterisco: 83733937890625 Combinaciones

Tanta seguridad al pensar la contraseña para que al final la roben de la pagina en la que te registras....

#1 Chrome ya lo hace directamente... Qué ventajas tiene Keepass?

#69 A ver ***********
Edit: Ostia, es cierto

#72 joder, que no es tan difícil. Ha que las contraseñas sean de 20 dígitos sin ninguna restricción y no las limites a 8 como se hace ahora en muchos sitios y las tendrás mucho mas seguras. No hay ninguna ley física que limite las contraseñas a 8 dígitos. ¿Por que seguimos con eso?
Lo que has dicho es cierto pero ¿por qué no permitir esos 20 caracteres? Si en vez de una palabra es una frase sería mucho mas fácil de recordar y a la vez mas segura. Esto es lo que te están diciendo y lo que ha dicho #12

#26 ¿Qué ventajas esperas de una alternativa a las contraseñas?

#37 El problema ahí es que hay un patrón claro. Si consigo tu contraseña de menéame es fácil que adivine cual es tu contraseña en Amazon.

#14 Mentiroso.

#26 Se llaman certificados, pero muy pocas webs los implementan.

No soy tan mariquita como para leerme el artículo, encima ciego como estoy pero podría apostar a que han analizado los patrones que los listos nos pensamos que son tan infalibles.

#10 tus contraseñas están repletas de doses?

#28 El método del que habla #2 es demasiado aleatorio para poder ser controlado con bases de datos de contraseñas. La frase para crear la contraseña puede ser "el patio de mi casa" o puede ser www.meneame.net/c/28387010 , o puede ser cualquier otra frase de algún libro o similar.

#100 X letras seguidas intercaladas mayúsculas y minúsculas es un ataque por fuerza bruta, y eso no es un ataque por diccionario. Y para saber que dos personas han cogido la misma frase, primero hay que reventar una de esas contraseñas, y si las contraseñas son de ese tipo, difícilmente habrá dos iguales, porque habría que probar cada contraseña del diccionario cambiando las mayúsculas de sitio y una vez por cada número.

#103 Si falsifican tu huella dactilar y una imagen de tu iris, tendrás un problema grave.

#1 Yo desde ha2ce tiempo uso KeePass tanto en Linux c2omo en Windows y siempre una 2contraseña para 2cada sitio. 15 caracteres incluyendo mezcla de mayúsculas, minúsculas, números, símbolos especiales y mínimo uno de cada.

Yo uso la app generadora de claves Villarejo, mano de santo.

#1 Yo utilizo enpass, lo pagas una vez y ya es tuyo para siempre, usé keepass pero tenía el problema de que no era multiplataforma. Puedes guardar tu archivo de contraseñas en drive y te lo sincroniza automáticamente entre dispositivos, tienes app de windows, linux, android e ios, extensiones para navegador, te informa de qué contraseñas tienes comprometidas o repetidas y tiene API para programadores si quisieras integrarlo. Aparte tienen foros en los que te resuelven dudas y problemas. Sólamente necesitas una clave para tu almacén de contraseñas y registrarlo con tu cuenta de gmail para que pueda valerte entre dispositivos.

Hay una versión de prueba sin registro pero el almacén de claves es algo limitado, creo recordar que eran 20 entradas. A mí me ha ido funcionando muy bien desde que me cambié hace unos 6 meses, también puedes hacer que funcione sin registro, aunque siempre teniendo cuenta en una de las stores del dispositivo principal en que lo uses.

#27 Que se libra de cualquier bug del navegador que dé acceso a las contraseñas guardadas en él.

#97 pues por eso me di cuenta de que fallaba, al poner la contraseña, no solo es el problema de la c, pasa a la inversa, pero también con otras teclas al pulsar 5 también envía un Enter y viceversa, al borrar pone una x y así con varias teclas, pero ya lo tengo en la caja para cuando pase por el punto limpio, eso si alguien no lo quiere antes para piezas.

Ahora estoy con MK320 que tenía guardado para estos casos, pero no parece tan cómodo, o me engordaron los dedos o las teclas están muy juntas.

#9 Perfectamente. Los ataques por diccionario no son solo estáticos.

#18 Eso es si el atacante conoce el espacio de clave.

#27 la primera es que no es de Chrome.

#53 Así es, pero los ataques con diccionario se combinan con ataques de fuerza bruta. Los patrones de los usuarios son predecibles. Y el separar varias de las palabras con underscores: "_" es muy común. Lo mismo que apendizar números a la cadena de la contraseña.

#62 Yo utilizo "pass" via terminal, junto con un script y xsel.

www.romanzolotarev.com/pass.html

#52 Me interesa... Podría importar la base de datos de Keepass? Gracias.

#74 Si lo que dices es correcto, pero una cosa no quita la otra: El atacante nunca sabe que set de carácteres ha usado el usuario para el password.

#13 Luego la pones en un postit o la apuntas en el block de notas...

Si usas un algoritmo para generar contraseñas, es más fácil averiguarlas

#2 y no te acuerdas en tu vida de ella jeje.
Así perdí yo una cuenta de google hace años, y la frase la recuerdo perfectamente jjew

#72 creo que no deberías hablar con gente que no aprobó la eso

Que Keepass ni que Keepass, yo prefiero lo del siempre que nunca falla. Mi contrasena en el post-it de mi monitor.

#2 Ese es uno de los métodos que controlará su sistema, o si no lo hacen ya y se empieza a utilizar lo controlaran, ya que basan su análisis en bases de datos de contraseñas y si se usa mucho una forma de generarlas la red neuronal la "aprende" a utilizar.

Lo mejor un generador realmente aleatorio (que no es inmediato) y si es necesario un programa seguro para gestionarlas.

#61 Eso es cierto. Al menos hasta que se encuentre una vulnerabilidad en keepass y entonces las contraseñas valdrán lo mismo que 1234.

Keepass está bien para cosas poco importantes como foros y tal. Pero las cosas críticas sólo deberían estar apuntadas en el cerebro. También por ahora.

#62 Corre, ponle un email a Kevin Mitnick y le cuentas eso. Usar Keepass para contraseñas de foros

#32 Si, en el bloc de notas que está guardado dentro del rack de telecomunicaciones, a ver cómo viene el hacker a abrirme el rack de casa.

#17 Mi intención era referirme a la condición clínica subyacente que provoca dicha figura literaria.

#92 Filtrando X letras seguidas intercaladas mayúsculas y minúsculas y luego X números seguidos ya están filtrando muchisimas opciones aleatorias, si a esto le sumas que dos personas cojan la misma frase ya entraría dentro de diccionarios de contraseñas a probar.

#55 ya, pero si te das cuenta he usado _ solo en parte de las palabras con lo cual la dificultad se dispara.

manda cojones la tira de años que llevamos con las putas contraseñas y todavía nadie ha sido capaz de encontrar una alternativa

Vaya chasco de herramienta... El titular dice un cosa completamente distinta a lo que dice el artículo. Está de moda decir que todo está hecho con redes neuronales y esas palabrotas tan chungas, pero la realidad es que esa herramienta es incapaz de crear pares de credenciales, es decir es incapaz de correlar usuarios con contraseñas.

Que si, que pueden aportar mogollón de cosas chulis a la seguridad de la información, pero no es un revienta passwords.

#26 disculpa, el mismo menéame usa OTP (one time passwords) que son mecanismos de autenticación que sustituyen a las contraseñas habituales...

#2 O simplemente juntar 2 palabras alternando las letras de cada una de las palabras, convirtiendo en números alguna letra y añadiendo caracteres especiales.
Ejemplo asir + luna => A5ir + 1una! => A15uinra!

#26 biométrica

#46 No. El atacante tiene que determinar que set de caracteres utiliza para hacer el brute force.
Cuanto más reducido sea tu set de caracteres más fácil es que te lo revienten porque en la práctica hacen falta menos combinaciones.

Lo que yo no entiendo es que si escribo mal tres veces mi contraseña me bloquea y sin embargo llega un robot o lo que sea y puede intentarlo mil veces impunemente.