Bill Burr fue el encargado de escribir un informe para el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST), en el año 2003, en donde recomendaba las medidas de seguridad más efectivas para crear una contraseña. Ahora, catorce años más tarde, se ha arrepentido.
|
etiquetas: contraseñas , letras , números , seguridad
De hecho me ha pasado un par de veces que truncaran mi pass de un dia para otro por una actualización de la DB
"Cuanto mejor peor para todos y cuanto peor para todos mejor, mejor para mí el suyo beneficio político"
A ver quien saca esta contraseña.
Por otra parte también es un absurdo que no te dejen repetir las contraseñas o que caduquen en periodos cortos de tiempo, ya que te obligan a generar nuevas contraseñas que llevan a errores.
Yo suelo usar muchas contraseñas y desde hace tiempo uso www.passwordeasy.net/ , Lo de las imágenes me gusta mucho.
Por supuesto, para no tener que usar varios postits, uso la misma clave para el ordenador, foros de internet, cuenta bancaria y correo electrónico.
O no pones caducidad de contraseñas o no permites que se repitan, pero quedarse en medio desde mi punto de vista no tiene mucha lógica.
Se basa en la letra de la canción "La Barbacoa" de Georgie Dann. A la letra le quito el estribillo, las frases del coro y las frases repetidas, y me quedan exactamente 27 frases. A cada frase, por orden, le asigno una letra de la A a la Z, y sobra una frase. Del sitio al que me quiero loguear le miro la primera letra, por ejemplo en menéame la M, y busco la frase correspondiente. Esa es mi contraseña. Si el sitio no comienza por una letra sino por un número, uso la frase que sobra. Aquí mi guía:
A - Que ricos los chorizos parrilleros.
B - Que ricas las salchichas a la brasa.
C - Que buenas las chuletas de cordero.
D - Que bueno es este vino de garrafa.
E - Voy echando leña al fuego
F - y siguiendo con el juego.
G - Cuando quieren darse cuenta
H - las parejas se calientan
I - y no pueden esperar.
J - A mí me gusta la carne que está tierna
K - muslitos y pechuga y hacerlos vuelta y vuelta.
L - Mientras los otros que comen que da miedo
M - disfrutan como locos chupándose los dedos.
N - La vecina que es muy mona
O - toma el Sol en la tumbona.
P - Yo les hago algo sencillo
Q - pero quiere el solomillo
R - que le gusta mucho más.
S - Nos llevamos muchas cosas,
T - las bebidas, las gaseosas.
U - La salsita, las costillas,
V - buena carne en la parrila
W - el carbón y el chuletón.
X - Las chuletas de cordero, mama.
Y - Los chorizos parrilleros, mama.
Z - Las salchichas a la brasa, mama.
? - Ese vino de garrafa, mama.
Y queda algo parecido a esto.
Imposible de adivinar
Y tan complejas que llegan a fallos de seguridad que no deberían ocurrir:
La causa más común de robo de contraseña es un fallo del usuario que la mete donde no debe. Así que da igual 11111 que jhgtfcbki56€hg.
La segunda causa más común es un fallo de seguridad de una empresa que permite el robo masivo de sus usuarios y contraseñas. Y aquí viene donde la matan: como nos obligan a usar claves complicados lo normal es que una persona memorice entre 1 y 3 claves de estas y las use para todo.
Así que tras el robo de una clave y usuario de cualquier empresa estos se prueban en todos los servicios comunes. Y sorpresa.
Si usáramos claves más sencillas recordariamos más y esto no pasaría.
Por cierto, la causa de robo "fuerza bruta" (que es pa lo único que valen los zurullos) ni siquiera aparece como una causa de robo significativa.g
Capacidad en el teclado (por ejemplo una pequeña memoria) para guardar dichas contraseñas y escribirlas con una sola pulsación de teclado y cifradas.
(Guarismo, cifra y dígito son sinónimos)
● guarismo.-
(Cf. algoritmo).
2. m. Cada uno de los signos o cifras arábigas que expresan una cantidad.
● dígito.-
(Del lat. digĭtus, dedo).
1. m. Mat. número dígito, el que puede representarse con un sólo guarismo.
● cifra.-
(Del b. lat. cifra, este del ár. hisp. ṣífr, y este del ár. clás. ṣifr, vacío).
1. f. Número dígito.
2. f. Signo con que se representa este número.
3. f. Escritura en que se usan signos, guarismos o letras convencionales, y que solo puede comprenderse conociendo la clave.
www.microsiervos.com/archivo/ciencia/numeros-en-pi.html
No funciona.
De hecho mi cuenta de correo mas vieja (y que aún conservo) ya tiene 25 años.
El hecho de forzar unas condiciones para las claves no hace que sean más seguras. Lo que hace es reducir las claves posibles y que el que quiera usar una clave más segura que lo normal no pueda.
Es más seguro
Es de hace un año, pero aún válido.
Yo, además de usar Keepass, para generar/guardar mis contraseñas, + Dropbox, para tener el fichero de keepass disponible en mis dispositivos, uso 2-step authentication con una aplicación como Google Authenticator para los sitios web donde lo admiten.
Y si tenías nueve o diez contraseñas chachiguays para todos los sitios en los que estás dado de alta, ponte a buscar cuales tienes que cambiar.
Si se amplía el foco, y se habla de un sistema de control de accesos, donde el usuario es un agente que participa en un par de episodios del proceso y podría cometer errores, el sistema se queda en mucho menos seguro.
El exceso de seguridad teórico provoca inseguridad en la práctica.
Vale, mi nueva contraseña será "mecagontolokesemenea"
Eso sí, la sincronización de mi base de datos la hago manualmente, nada de tener mis contraseñas en Dropbox ni en ninguna "nube".
Siguen siendo algo más seguras que obligarles a usar un galimatías impronunciable tipo ar40htj4503lof que acaban apuntando en un papelito. La otra por lo menos se la saben de memoria.
A veces es cuestión de proponérselo y usarlas más.
La influencia anglosajona no ayuda, impone unas voces sobre otras, si hay parecidos.