No voy a descubrir América y seguramente alguno ya conocía el método, pero el otro día me explicaron como poner una contraseña de dificultad alta-muy alta. Es muy simple, aunque cuesta un poquito recordarla.

Consiste en escribir una frase que podamos recordar fácilemente alternando mayúsculas y minúsculas.

Ej. El patio De mi Casa es Particular cuando Llueve se Moja como Los demás. (Sí, lo sé, soy muy viejo)

Ahora cogemos la primera letra de cada palabra respetando mayúsculas y minúsculas: EpDmCePcLsMcLd

Añadimos un número que recordemos, por ejemplo el código postal: EpDmCePcLsMcLd28001

Y le añadimos algún signo ortográfico: *EpDmCePcLsMcLd28001!

#2 o mas facil El_patiodemicasa_2018.

i.imgur.com/M5HeB5T.png

Y recordar que por muy segura que sea no vale para nada si la usamos en todos los sitios. Por eso lo mejor es un generador random que guarde y gestione nuestras contraseñas, como KeePass.

#2 #3 www.pandasecurity.com/mediacenter/src/uploads/2017/09/passwords.png

#7 sin saber los simbolos de puntuacion adicionales ni el numero? ( _ y . ) ni de coña.

#1 Yo desde ha2ce tiempo uso KeePass tanto en Linux c2omo en Windows y siempre una 2contraseña para 2cada sitio. 15 caracteres incluyendo mezcla de mayúsculas, minúsculas, números, símbolos especiales y mínimo uno de cada.

Lo que hace segura una contraseña es el número de caracteres. Meter números y símbolos solo sirve para que sea más difícil recordarla.

#1 #10 ¿Y eso de que os sirve? los investigadores no hablan de que las contraseñas sean demasiado cortas sino de que son predecibles, tipo 121212 o nombres de allegados, pero si es aleatoria llega con ocho caracteres, básicamente porque el sistema no debería permitir la fuerza bruta.

Cambiar la contraseña cada seis meses... Microsoft eliminó o eliminará la opción de obligar a cambiar la contraseña de windows cada 42 días porque piensan que en caso de que te la roben, 42 días son demasiados como para que sirva de algo cambiarla frecuentemente, imaginaos seis meses.

Hay que poner contraseñas aleatorias, diferentes en cada sitio y activar el segundo factor. Las otras medidas me parecen exageradas.

Tonterías, yo en menéame uso qwerty123 y nunca me han juaqueado

#2 sugiero añadir aletoriedad dislexica:

El particular de mi patio es casa

O

Son los vecinos los que quieren que el alcalde sea el alcalde.

#5 Que guarde y gestione? jojo

#15 Eso es hiperbaton, no dislexia

#12 En realidad no. Es justo al contrario.
Cuando utilizas fuerza bruta para acertar la contraseña el tiempo que lleva depende de la complejidad y la complejidad depende de longitud de la contraseña y número de caracteres.
A menos caracteres menos complejidad, menos tiempo para romperla.
Mucho menos tiempo.

Ejemplo.
Solo minúsculas. Contraseña de 8 caracteres: 282429536481 combinaciones.
Mayúsculas y minúsculas. Contraseña de 8 caracteres: 72301961339136 Combinaciones.
Mayúsculas, minúsculas y asterisco: 83733937890625 Combinaciones

#5 pues después de haber trabajado en banca... Ver como las tarjetas se guardaban hasheadas sin salt...(saludos excompañeros) o bancos que permiten saltarse el OTP aun habiéndolo reportado mientras trabajábamos con ellos (en España que yo sepa hay 2 si no son 3 que llevan unos 4 años con este problema)... Como para fiarme del keepass

Los usuarios son más previsibles cuando se los obliga a ajustarse a restricciones.

Que Keepass ni que Keepass, yo prefiero lo del siempre que nunca falla. Mi contrasena en el post-it de mi monitor.

Yo no me se mis contraseñas. Hace tiempo que las gestiona el navegador por mi. Cuando me registro en algun lado me recomienda una contraseña aleatoria impronunciable.

Y luego llegan los bancos y te limitan a máximo 6 caracteres. O menos.

Tanta seguridad al pensar la contraseña para que al final la roben de la pagina en la que te registras....

Yo estoy blindado, pongo contraseñas y luego tengo que usar lo de recuperar contraseña porque no me acuerdo cual era

manda cojones la tira de años que llevamos con las putas contraseñas y todavía nadie ha sido capaz de encontrar una alternativa

#1 Chrome ya lo hace directamente... Qué ventajas tiene Keepass?

#2 Ese es uno de los métodos que controlará su sistema, o si no lo hacen ya y se empieza a utilizar lo controlaran, ya que basan su análisis en bases de datos de contraseñas y si se usa mucho una forma de generarlas la red neuronal la "aprende" a utilizar.

Lo mejor un generador realmente aleatorio (que no es inmediato) y si es necesario un programa seguro para gestionarlas.

#26 ¿Qué ventajas esperas de una alternativa a las contraseñas?

#5 o el punto intermedio. Para las cosas críticas una contraseña difícil como el e-mail, banco, etcétera. Para el resto de cosas tener diferentes categorías de Seguridad. Alto, medio, bajo. Así añ final sólo tienes que recordar un puñado de contraseñas.

Una teoría preciosa hasta que te acuerdas de que necesitas 30 contraseñas distintas y que algunas solo las utilizas de ciento a viento.

#13 Luego la pones en un postit o la apuntas en el block de notas...

Si usas un algoritmo para generar contraseñas, es más fácil averiguarlas

#23 Mi banco, ocho dígitos numéricos. Y de usuario, mi dni. Son la hostia.

Vaya chasco de herramienta... El titular dice un cosa completamente distinta a lo que dice el artículo. Está de moda decir que todo está hecho con redes neuronales y esas palabrotas tan chungas, pero la realidad es que esa herramienta es incapaz de crear pares de credenciales, es decir es incapaz de correlar usuarios con contraseñas.

Que si, que pueden aportar mogollón de cosas chulis a la seguridad de la información, pero no es un revienta passwords.

#26 disculpa, el mismo menéame usa OTP (one time passwords) que son mecanismos de autenticación que sustituyen a las contraseñas habituales...

#31 Yo voy cambiando de web en web, pero usando siempre una parte fija, sobre mi anatomía. Ejemplos:
Menéame: Pollon25Mnm
Amazon: Pollon25Amz
Gmail: Pollon25Gml

#18 Contraejemplo:

Akm7$2@M: It would take a computer about 9 HOURS to crack your password.
micocheesrojo: It would take a computer about 2 YEARS to crack your password.

Y ya si utilizamos mayúsculas y minúsculas:

MiCocheEsRojo: It would take a computer about 16 THOUSAND YEARS to crack your password.

howsecureismypassword.net

Yo uso la app generadora de claves Villarejo, mano de santo.

#27 para mi? Lo uso en todas mis plataformas, independientemente del navegador, y puede guardar contraseñas que no son de webs.

Adicionalmente, como lo tengo montado ahora es más seguro que chrome

#37 El problema ahí es que hay un patrón claro. Si consigo tu contraseña de menéame es fácil que adivine cual es tu contraseña en Amazon.

#27 Que es lo que hace Chrome ¿Guardar las contraseñas con acceso en configuración? ¿Tiene un generador pseudo-aleatorio de contraseñas con varias opciones?


Database Encryption
Key Hashing and Key Derivation
Protection against Dictionary Attacks
Random Number Generation
Process Memory Protection
Enter Master Key on Secure Desktop (Protection against Keyloggers)
Locking the Workspace
Viewing/Editing Attachments
Plugins
Self-Tests
Specialized Spyware
Malicious Data
Security Issues


Advanced Encryption Standard (AES / Rijndael)  256 bits  NIST FIPS 197
ChaCha20  256 bits  RFC 7539
AES (Rijndael) became effective as a U.S. federal government standard and is approved by the National Security Agency (NSA) for top secret information.

#37 Está muy bien. Así alguien que te conozca jamás supondría esa parte fija.

#9 Perfectamente. Los ataques por diccionario no son solo estáticos.

#38 Exacto. Esa moda de las contraseñas "complicadas" solo dan lugar a que acabe apuntada en un post-it, o un esguince de meñique.

#18 Eso es si el atacante conoce el espacio de clave.

#2 O simplemente juntar 2 palabras alternando las letras de cada una de las palabras, convirtiendo en números alguna letra y añadiendo caracteres especiales.
Ejemplo asir + luna => A5ir + 1una! => A15uinra!

#34 otro del Santander!

#26 biométrica

#48 jajajaja touché

#27 la primera es que no es de Chrome.

#1 Yo utilizo enpass, lo pagas una vez y ya es tuyo para siempre, usé keepass pero tenía el problema de que no era multiplataforma. Puedes guardar tu archivo de contraseñas en drive y te lo sincroniza automáticamente entre dispositivos, tienes app de windows, linux, android e ios, extensiones para navegador, te informa de qué contraseñas tienes comprometidas o repetidas y tiene API para programadores si quisieras integrarlo. Aparte tienen foros en los que te resuelven dudas y problemas. Sólamente necesitas una clave para tu almacén de contraseñas y registrarlo con tu cuenta de gmail para que pueda valerte entre dispositivos.

Hay una versión de prueba sin registro pero el almacén de claves es algo limitado, creo recordar que eran 20 entradas. A mí me ha ido funcionando muy bien desde que me cambié hace unos 6 meses, también puedes hacer que funcione sin registro, aunque siempre teniendo cuenta en una de las stores del dispositivo principal en que lo uses.

#44 Yo diría que no es como en las pelis cuando los malos intentan descubrir el código secreto para enviar misiles que van de uno en uno.
O tienes la contraseña completa o no sirve (y no sabes lo lejos que estás de ella)
Pienso.

No entiendo los negativos la verdad. Menéame es el resumen de las redes sociales hispanas: nueve motivos para quejarse y uno sólo para alabar.  

#53 Así es, pero los ataques con diccionario se combinan con ataques de fuerza bruta. Los patrones de los usuarios son predecibles. Y el separar varias de las palabras con underscores: "_" es muy común. Lo mismo que apendizar números a la cadena de la contraseña.

#38 Mierda (con perdón) de ejemplo que has puesto.
La primera contraseña es de 8 carácteres y la segunda de 14.
Así también hago yo las cuentas.

¿Sabes lo que se tarda tu ejemplo del coche si lo reduces a 8 caracteres como el ejemplo de arriba?
It would take a computer about
5 seconds
to crack your password

Así que a igual longitud la del coche tardaría en romperse 2 segundos y la de los signos de puntuación 9 horas.

#46 No. El atacante tiene que determinar que set de caracteres utiliza para hacer el brute force.
Cuanto más reducido sea tu set de caracteres más fácil es que te lo revienten porque en la práctica hacen falta menos combinaciones.

#45
"Akm7$2@M" 8 carácteres.
"micocheesrojo" 14 carácteres.

Haciendo trampas al solitario a cualquiera le salen los números que quiera.

Lo más sencillo es que no se permitan ataques por diccionario, vamos que una web no te deje más de tantos intentos cada cierto tiempo.

Eso en webs y similares. Con un archivo zip no puedes evitar esto.

Lo que yo no entiendo es que si escribo mal tres veces mi contraseña me bloquea y sin embargo llega un robot o lo que sea y puede intentarlo mil veces impunemente.

#16 #19 #30 Está claro que todo es vulnerable. Para algunos es mejor apuntar en un papel todas las contraseñas, otros se conforman con "password1234". Keepass es un punto medio que ofrece una posibilidad de gestionar las contraseñas aceptablemente segura y suficientemente sencilla. Pero cada cual que haga lo que estime oportuno, faltaría más.

#61 Eso es cierto. Al menos hasta que se encuentre una vulnerabilidad en keepass y entonces las contraseñas valdrán lo mismo que 1234.

Keepass está bien para cosas poco importantes como foros y tal. Pero las cosas críticas sólo deberían estar apuntadas en el cerebro. También por ahora.

#57 Pero el atacante no sabe qué set de caracteres esta usando tu contraseña, a no ser que le sistema padezca de information leaking por alguna parte.

Las combinaciones para petar una clave como hola1234 no son siempre las mismas. Con un espacio de clave más grande tardarás más tiempo en petarla.

#56 Pero qué trampas al solitario ni qué ejemplo de mierda? Precisamente lo que se está diciendo es que es mejor una contraseña larga a una compleja.

Si es larga y compleja, mejor; es obvio. Pero si vas a meter caracteres especiales, números y mayúsculas en una contraseña de 8 caracteres que vas a olvidar, pues mejor utiliza "micocheesrojo": una de 14 que puedes recordar.

#14 Mentiroso.

#26 Se llaman certificados, pero muy pocas webs los implementan.

#58 Puede que no te hayas dado cuenta pero es precisamente de lo que hablaba el mensaje original que ha iniciado la conversación:

“Lo que hace segura una contraseña es el número de caracteres.”

Y tu respuesta ha sido:

“En realidad no. Es justo al contrario.“

Mi ejemplo señala que una contraseña que solo cuenta con caracteres en minúsculas es más segura que una contraseña con mayúsculas, minúsculas, números y símbolos. Que es lo que él señalaba originalmente y que tú le has corregido: es más segura una contraseña larga que una más corta aleatoria y compleja.

Por supuesto a misma longitud va ser más segura una contraseña compleja.

#2 y no te acuerdas en tu vida de ella jeje.
Así perdí yo una cuenta de google hace años, y la frase la recuerdo perfectamente jjew

#14 Como te dice #65, eso es mentira. Si pones tu contraseña de verdad, el propio sistema de Menéame la sustituye por asteriscos. Por ejemplo, mira la mia: ***************

#52 Yo también...

Desde que la descubrí, no puedo vivir sin esa app.

La uso en Windows 10, Vivaldi, Android (móvil y tablet)... Me parece una maravilla.

Aparte, he activado 2FA en todas las cuentas que lo soportan y lo gestiono desde Authy.

#67 A ver así.
El número de combinaciones de posibles para una contraseña de longitud L y que puede tener C caracteres por cada posición es:
L^C

con nivel ESO de matemáticas deberías entender porqué C es muchísimo más importante que L.

#64 Joder que no es tan difícil.
A igual longitud cuantos más caracteres mayor al complejidad siendo la cantidad de caracteres lo que más pesa en la complejidad por que es la potencia.

#72 Que es, en definitiva, lo que había dicho #12.

#63 El atacante no va a utilizar por defecto un set de 256 posibles caracteres que es el máximo en ascii por que tardaría una eternidad en descrifrar la contraseña por corta que fuese.
Por eso se escogen sets de caracteres más o menos reducidos al hacer bruteforce. Por ejemplo mayúsculas, minúsculas y algunos signos de puntuación.
Cuantos más caracteres añadas al bruteforce, más aumentas el tipo exponencialmente.
Por eso cuantos más caracteres añadas a la contraseña, más facil es que uno o varios de esos caracteres no los hayan incluido en el bruteforce.

#73 Al contrario, lo que dijo 12 es justo al contrario:
Lo que hace segura una contraseña es el número de caracteres. Meter números y símbolos solo sirve para que sea más difícil recordarla.
En ese contexto caracteres es "cantidad de letras de la contraseña". por que de lo contrario la segunda parte "Lo que hace segura una contraseña es el número de caracteres. Meter números y símbolos solo sirve para que sea más difícil recordarla" sería decir justo lo opuesto de lo que dice en la primera parte.

#72 creo que no deberías hablar con gente que no aprobó la eso

#76 Me estoy pensando hasta hablar con los de carrera universitaria.
Cada día hay que explicar más todo y darlo mucho más mascado para que se enteren menos.

#37 creo que 25mm son 2.5 cm....

#35 por eso es sensacionalista

#77 el tema es la ESO si son de la eso, da igual que tengan carrera

#62 Yo utilizo "pass" via terminal, junto con un script y xsel.

www.romanzolotarev.com/pass.html

#80 Ya te digo que lo noto. A todos los niveles.
Las pocas veces que comento algo mido las palabras con un cuidado exquisito intentando que no haya margen a la interpretación.
Da igual, la gente no lee lo que escribes solo escuchan sus sesgo de confirmación y se "figuran" que lo que "quieres decir".

#75 Ya te lo he explicado en #64.

# Meto un break para romper el bucle

break;

#62 Corre, ponle un email a Kevin Mitnick y le cuentas eso. Usar Keepass para contraseñas de foros

#32 Si, en el bloc de notas que está guardado dentro del rack de telecomunicaciones, a ver cómo viene el hacker a abrirme el rack de casa.

#69 A ver ***********
Edit: Ostia, es cierto

#67 Es sencillo pero da igual. No lo entiende.

No soy tan mariquita como para leerme el artículo, encima ciego como estoy pero podría apostar a que han analizado los patrones que los listos nos pensamos que son tan infalibles.

#10 tus contraseñas están repletas de doses?

#52 Me interesa... Podría importar la base de datos de Keepass? Gracias.

#28 El método del que habla #2 es demasiado aleatorio para poder ser controlado con bases de datos de contraseñas. La frase para crear la contraseña puede ser "el patio de mi casa" o puede ser www.meneame.net/c/28387010 , o puede ser cualquier otra frase de algún libro o similar.

#27 Que se libra de cualquier bug del navegador que dé acceso a las contraseñas guardadas en él.

#89 No, es el teclado que ha empezado a fallar se me pasó corregir esos fallos, cuando escribo una "c" me pone además un "2" y algunas otras raras.

#17 Mi intención era referirme a la condición clínica subyacente que provoca dicha figura literaria.

#61 en un postit en el monitor

#94 te deseo que ninguna de tus 2contraseñas tenga una "c2"

Suerte c2on tu te2clado!

#96 Lo más habitual en todas las empresas

#74 Si lo que dices es correcto, pero una cosa no quita la otra: El atacante nunca sabe que set de carácteres ha usado el usuario para el password.

#92 Filtrando X letras seguidas intercaladas mayúsculas y minúsculas y luego X números seguidos ya están filtrando muchisimas opciones aleatorias, si a esto le sumas que dos personas cojan la misma frase ya entraría dentro de diccionarios de contraseñas a probar.