Nada como esto para romper algunos mitos de contraseñas

imgs.xkcd.com/comics/password_strength.png

¿Alguién sabe que pasa si en las máquinas del DNI Electrónico de la Policia Nacional metes mal tres veces la contraseña? Es que el otro día metí mal la primera vez la contraseña y ya me empece a acojonar.

#1 El otro día los de Liberbank me hicieron cambiar la contraseña porque patatas. La nueva tenía que ser de 6 caracteres y me dijeron que no podía repetir las últimas 5 anteriores.

La cantidad de errores que cometen con ese planteamiento es abismal. Obviamente cambié la contraseña 6 veces en unos pocos minutos.

#2 No te preocupes, puedes gastar las tres veces si no te acuerdas de la contraseña. Cuando hayas superado los intentos lo que hace la propia máquina es volver a programar el DNI como si fuera nuevo, te piden la huella dactilar un par de veces desde la propia máquina en un proceso un poco largo pero nada más.

Te acaban dando una nueva contraseña que puedes cambiar por la que tú quieras.

Cuidado con poner el DNI mal puesto (boca abajo en vez de boca arriba o como sea), que el error que da en absoluto te indica que lo has puesto mal, simplemente actúa como si nada hasta que al cabo de un rato te dice que no ha podido hacer lo que le pedías o así.

Añado que por un problema de seguridad revocaron un montón de DNIs electrónicos pero la máquina en vez de avisarte te da errores incomprensibles. Cuando te cansas de intentarlo y repetir el error y preguntas al que esté cerca de la máquina te dice que es normal, que hay que volver a hacer el DNI y te dejan hacerlo colándote por delante de los que tenían cita previa.

#2 sale un madero de antidisturbios con la defensa de madera y te arrea cuatro veces. Luego te dice como cambiar la contraseña.



Puedes volver a cambiarla en ha maquinita con tu huella digital.

#2 Pues diría que nada. Con la huella lo desbloqueas para regenerar pin (no sé si se destruyen los certs o se generan otros nuevos).

Si te pasa en casa tendrías q ir a la máquina pero comentas que estás allí así que sin problema jeje

fuente: www.google.com/url?sa=t&source=web&rct=j&url=https://www.c

Por curiosidad, ¿a qué tipo de contraseñas se refieren estos artículos? O lo que pone #1
La mayoría de sitios web (todos?) hoy en día te bloquean tras 3, 5…puede que 10 intentos, así que salvo que conozcas la contraseña de antemano poco puedes hacer.

¿Se refieren a otras cosas como equipos de red (routers, switches..)?

Edit: solo me imagino que se refieran al “jacker” intentando averiguarla por prueba/error a partir del MD5, SHA…si es que funciona…

No hace falta recordar la contraseña, las webs tienen un boton que pone "he olvidado la contraseña"

#8 Es la mayor barbaridad que se hace hoy en día. Pulsas ese botón y envían una contraseña nueva al correo electrónico o un enlace para poner la que quieras.

Con conseguir acceso al correo electrónico de una víctima ya se tiene acceso a todos los sitios que se esté registrado, es una barbaridad lo que hacen en términos de seguridad.

Y acceder al correo electrónico es tan sencillo como acceder a un teléfono móvil antes que salte el bloqueo por patrón, ya que el correo electrónico suele estar disponible simplemente abriendo la aplicación sin pedir ningún tipo de contraseña ni pin ni nada. Y si pide validación por SMS ... pues ya tienes el teléfono móvil de esa persona.

¿Alguien podría pararse a pensar un poquito antes de tomar ese tipo de decisiones?

#1 Con un diccionario de palabras es fácil de romper.

#7 tu contraseña, al final estará hasheada en alguna base de datos, tarde o temprano se descubrirá un bug en cualquiera de los sitios que la usas y mediante fuerza bruta todas las que formen parte de un diccionario de contraseñas o sean lo suficientemente simples caerán en poco tiempo.
Con esto seguramente intentarán entrar en tu correo y otras cuentas para conseguir información que puedan monetizar.

#2 En la máquina accedes con la huella dactilar

De poco te sirve una contraseña fuerte, si luego el "experto" en seguridad de la página web de turno, las guarda en texto plano.

Saludos.

Imitando la contraseña que mete Data en Star Trek nueva generación aunque sin que sea la misma.. Está un rato largo recitándola

#10 Con un diccionario de palabras es fácil de romper.

No, no lo es.

En la propia viñeta tienes el cálculo de entropía por ese método, que es 44 bits de entropía. Lo cual es una seguridad aceptable⁽¹⁾ para una contraseña.

La clave está en que esas cuatro palabras han sido elegidas aleatoriamente de un grupo que puede rondar entre 20 mil posibles palabras de uso común en inglés a 170 mil según el grado de "común" que elijas⁽²⁾.

Usando la fórmula de este enlace: www.pleacher.com/mp/mlessons/algebra/entropy.html
Entropía = Log²(Pool ^{número de palabras}) nos da una entropía de entre 57⁽³⁾ y 69⁽⁴⁾ de entropía.

Que según su propia tabla estaría dentro del nivel de seguridad aceptable⁽¹⁾ y fuerte⁽¹⁾.

No es mi especialidad, así que por si he cometido alguna metida de pata sería de agradecer que alguien lo revisase.

⁽¹⁾ www.pleacher.com/mp/mlessons/algebra/entropy.html
⁽²⁾ englishlive.ef.com/blog/language-lab/many-words-english-language/
⁽³⁾ www.wolframalpha.com/input?i=log2(20000^4)
⁽⁴⁾ www.wolframalpha.com/input?i=log2(170000^4)

#11 mediante fuerza bruta todas las que formen parte de un diccionario de contraseñas o sean lo suficientemente simples caerán en poco tiempo.

Para eso empezamos a salar las contraseñas hace años.

#10 Un diccionario de palabras es útil con contraseñas como "patatas". "MeGustanLasPatatas" es inmune a este tipo de ataques.

#9 Ya me dirás entonces qué solución propones para recuperar el acceso a una web dónde los únicos datos que tienen tuyos son, básicamente, tu dirección de correo electrónico.

#13 Y esta es la razón por la que no se deben reutilizar las contraseñas.

#14 173467321476c32789777643t732v73117888732476789764376

www.youtube.com/watch?v=oNrWgjh9tnU

#19 No es necesario ofrecer ninguna solución para concluir que es una barbaridad lo que hacen.

Delegan toda su seguridad a una empresa de terceros, el gestor de correo electrónico, y no hacen ninguna verificación sobre si quién tiene acceso a ese correo es el propietario de la cuenta en su sitio web.

Dicho esto existe el concepto de preguntas de seguridad, por ejemplo. O tarjetas con códigos de un solo uso (no es necesario que sean físicas).

Mmmmmmm lo que tengo claro es que NO voy a usar los métodos de creación de contraseña que me digan que tengo que usar.

#16 Fe de erratas, donde pongo Log² debería poner Log₂ (los cálculos no se ven afectados por esta errata).

#21 GRACIAS.. Genial

#3 En mi curro las contraseñas tienen que tener al menos 8 caracteres. Al menos un símbolo, una mayúscula y un número. Las contraseñas cambian cada tres meses y no puedes usar nunca la misma contraseña ni variaciones sencillas sobre estas.
Teniendo en cuenta que la media de edad es más de 50 años si te pasas por los cubículos después del trabajo encontrarás las contraseñas escritas en el monitor, en el teclado, en un papel... Una política de contraseñas inflexible provoca una falta de seguridad absoluta.

#22 El usuario se ha olvidado de la contraseña y esperas que se acuerde de la respuesta a la pregunta de seguridad o que sea más privada que el contenido de su correo electrónico.

"¿Cúal es tu canción favorita?". Vale. sé cual es mi canción favorita. Ahora la pregunta es "¿cúal era mi canción favorita cuando me creé esta cuenta, hace cinco... o fue hace diez años?"

#27 Pues al menos un bloqueo durante 48h avisando por todos los medios conocidos (email, sms al móvil, etc.) que se va a reiniciar la contraseña y que si se quiere impedir que se acceda a tal enlace.

Pero es que con el pésimo diseño actual si alguien se hace con el control de tu móvil puede acceder a todos los sitios en los que estés registrado en cuestión de minutos.

#17 eso solo evita que se ataquen en grupo, pero por mucha salt que tengas como este en diccionario o sea simple, te puedes dar por jo*.
Por otra parte, la mayoría de sitios no usan salts distintos por contraseña, si no por sitio, lo que solo elimina las Rainbow tables.

Os doy mi receta:

openssl rand -base64 32

y lo que salga, al gestor de contraseñas.

#15 Y más si eres dislexico.

#15 Sacado de aquí (antes no lo encontraba):  

#26 En el mío igual, excepto que caducan cada 30 días... En la siguiente actualización nos pedirán sacrificar Pokémon con cada cambio.

#7 Yo llevo un pendrive cifrado. Ahí el ataque por fuerza bruta es factible. Aunque lo veo difícil