#1 jajsjkazjjss el PP hawaiano

Y yo me pregunto, porque si a un trabajador que deja el vehículo de la empresa abierto y con las llaves puestas, es muy probable que le despidan, pero si deja acceso libre a los datos de la empresa poniendo la contraseña en el monitor no pasa absolutamente nada.

Rompiendo los límites de la inutilidad..

Parecen de un chiste de leperos.

Relacionada www.meneame.net/story/nueva-falsa-alarma-sobre-misiles-ahora-japon/c04

No se como el mundo no se va a la mierda.

#9 Tranquilo, ten paciencia.

Yo ya he dicho en varios sitios que si quieren tener la contraseña apuntada, que no sea a la vista de los clientes. Ponedlo dentro de un cajón, debajo del teclado, pero que no lo veas desde el mostrador...
Y eso en empresas que manejan datos de miles de personas.

No serían españoles de Erasmus?

#9 Se va, pero muy lentamente y de forma casi inapreciable a ojo humano.

Interfases menos confusas que estas han causado accidentes de aviación.

Foto del interfecto  

#4 porque son funcionarios, anda que hay que explicártelo todo

#4 Porque

"♪ esto no es Hawai, qué guay! ♪"

#7 y muchos de ellos unos cracks.

#4 porque sus jefes serán los primeros que lo hacen, así que no les extraña ni les preocupa.

#9 Se va, pero vivimos demasiado poco para verlo

#15

enero1
enero2
enero3
enero4
...

Aquí todo el mundo muy listo pero yo he visto a parejas intercambiarse las contraseñas, y no precisamente en un descuido.

¿La aplicación funciona vía web?

Si es así, sólo nos falta la URL.

Yo utilizo KeePass para guardar las contraseñas del trabajo, mano de santo.

#25 veo el postit y subo a fichero txt con todas las contraseñas en texto plano.

Le queda poco ya a las contraseñas tradicionales. Sensores biométricos por todas partes, tokens, smartcards, etc.
Hay que eliminar cuanto antes el lastre de depender del eslabón más débil de la cadena. Por más que se esfuerce IT siempre habrá algún luser que fuerce el fallo de seguridad. Si no es con un postit es compartiendo por emule.

No te olvides de quitar el pass al posar para la foto...

Tendrían que sacar una canción similar a No te olvides de poner el WHERE en el DELETE FROM.

#7: Claro, se equivoca uno y resulta que la culpa la tienen todos.

Porque en la empresa privada no hay errores similares.

#9: ¿Por qué crees que muchas personas creen en la figura del Ángel de la guarda?

#15 Hasta hace nada una gran cantidad de usuarios de una multinacional usaban el mismo password: era el que enviaba por defecto el helpdesk cuando pedian un reset y no se molestaban en cambiarlo.

Lo se porque ahora tengo que usar un password aleatorio cada vez que mando uno

#3

#23 Hay algoritmos de "passwords buenos" que te cazan eso. Yo tengo una lista de palabras, siempre las mismas, que voy utilizando circularmente. Para que cumplan con los criterios de caracteres raros, mayúsculas, números, etc. tengo un sufijo, siempre el mismo.

#35 Las políticas de passwords aleatorios y similares lo complican tanto todo que siempre acaban con todos los usuarios de un departamento utilizando el mismo código de usuario y password, por lo que no se saben ni el suyo. Así pueden preguntarlo, por lo menos. Este usuario acaba por ser alguien que ya dejó ese departamento. Si pones políticas de recertificación, lo que consigues es que lo borren y todo el mundo se quede sin poder entrar, hasta que alguien consigue un password que pasa a ser el password común del departamento otra vez.

#23 Te falta una mayúscula y ser mayor o igual a 8 :
Febrero1
Febrero2
Febrero3
Febrero4
...

#30 Los sensores biométricos nos pueden costar un ojo de la cara, literalmente.

Y respecto a smartcards, tokens, etc. únicamente ofrecen suficiente seguridad asociados con una contraseña. Ya que la smartcard es eso que dejas en el cajón cuando vas a tomar un café.

Por ahora las contraseñas siguen siendo la mejor solución, hasta que lo sustituyan por una IA que te reconozca sin que tenga nadie ni idea de como lo hace.

#35 'qwerty' era el estándar casi seguro, en 5 empresas que he estado es el que envía helpdesk

#28 Y KeePassDroid en el móvil. Comparto la misma base de datos en ambos.

¿Alguna vez te ha parecido poco realista que en los videojuegos te encuentres las contraseñas en la misma sala?

#27 Mi médico tuvo poca ayuda de EEUU, mi profesor tampoco. Los rusos siempre fueron un paso por delante de EEUU en la carrera espacial, y los primeros cohetes de EEUU que subieron al espacio lo hicieron con tecnología alemana.

Sabéis cual es la MAYOR vulnerabilidad de cualquier sistema informático? El usuario. SIEMPRE.

#38 o todo el departamento usa el mismo "estándar" para las contraseñas y no hay ni que pensar para saber la del jefe...

#47 Sí, los primeros los hicieron con tecnología que pudieron robar a los nazis.

#13 hombre... con abrirlos un poco se aprecia bastante

#44 Me he perdido.

¿que tiene que ver tu respuesta con lo que te dice #27?

#25 a mi me la hacen cambiar cada 6 meses creo que es. Tengo dos contraseñas, y voy alternando.

#50 Creí que se refería a los EEUU, no había visto el comentario al que él estaba respondiendo.

#40 uff... No. Ni de lejos.
En cualquier empresa mediana ya se usa 2fa. Por resumir mucho, básicamente hay 3 formas de autenticarse como usuario: lo que eres (biométricos), lo que tienes (tokens, smarts) y lo que sabes (contraseñas) ninguna es válida como factor único. Por lo que en cualquier entorno medianamente seguro se combinan. La tendencia es a dejar de usar las contraseñas usando el resto de factores. Por ejemplo smart + otp|bio|etc
No cuesta ningún ojo de la cara en ningún sentido, además de ser inocuo a tu salud el coste de un sensor de huellas dactilares es irrelevante. Cualquier portátil y móvil de gama media lo trae de serie. Incluso tiene más coste mantener un sistema de contraseñas (como un AD) que has de andar cambiando y recordando que una bbdd de huellas, que no cambian.
Si te dejas la smartcard en el cajón, para desbloquear lo que sea necesitarás también el dedo o el ojo o lo que dispongas. No representa mucho peligro.
La IA no tiene nada que ver con esto.

#23 #39
Enero1
Febrero2
Marzo3
...

#3 me jakiaron!

Da una gran tranquilidad saber que la seguridad mundial está en manos de gente tan competente

#53 Siempre que lo biométrico sea como alternativa; y se pueda elegir entre tokens, contraseñas o una combinación de ambas. No veo por qué ninguna empresa haya de forzar a registrar datos biométricos de empleados. Afortunadamente todavía expiden tarjetas de acceso y no nos obligan a ceder nuestra huella.

Recreación de los hechos: imgur.com/gallery/NRYdOSn

Mira que son burros. Con lo fácil que es poner alguna de estas y así no haría falta post-it:
qwerty
abcdef
1234
password
...

#54
Orene1
2Orerbef
Ozram3

...

Peor seria :

Redtube pasword: Qfsbc
Pornhub: "
viejos y animales: "

#59 Sugiero "00000000" arstechnica.com/tech-policy/2013/12/launch-code-for-us-nukes-was-00000

Bundle of genius!!!

#38 Tambien lo he vivido, con todo un departamento de atencion al publico usando el mismo codigo de usuario y bloqueandose cada 5 minutos porque alguien ha guardado mal la clave del correo en uno de los multiples equipos

es que ni tan siquiera le pusieron color rojo al texto del link jajajaja, cutres hawaianos.

#41 Uno que usabamos mucho en una de las aplicaciones (no en directorio activo) era 1q2w3e4r

#44, #27 habla de los funcionarios en general, no de los EEUU.

Edit: ahora veo que ya te habías dado cuenta en 52.

#51, suerte tienes de que no te diga "esa contraseña ya ha sido usada".

#49

#29 Hey, yo tengo un txt con todas mis contraseñas en texto plano... pero sólo una aplicación de (des)encriptación de la reh*stia es capaz de traducirlo, en función de una contraseña y otros parámetros que determinan conjuntamente la manera en que está todo encriptado.

#53 "...además de ser inocuo a tu salud el coste de un sensor de huellas dactilares es irrelevante"

No van por ahí los tiros de #40 , el quid está en ese "literalmente", todo depende del valor de lo que proteja tu ojo.
"Es el mercado, amigo"

#70 si está cifrado entonces no está en texto plano

#72 din

#25 Pero podrás apuntarlo en una tarjetita que lleves en la cartera, no tienes por qué dejar el post It a la vista de la señora de la limpieza, del pizzero....

Estoy de acuerdo en lo de las políticas de "extrema seguridad" que acaban incitando a que el usuario adopte atajos que acaban haciendo el sistema mucho más inseguro que si se hubiesen adoptando unas medidas no tan extremas. Al final se consigue justo lo contrario de lo que se busca.

#18 No creo que en EEUU tengan problema alguno en despedir funcionarios sin temblarles el pulso.

voy a hacer lo mismo en el trabajo

#25 ¿Qué puede haber más importante que cambiar la contraseña cada mes a una base de datos a la que accedemos las mismas 5 personas desde hace 10 años?

#72 depende de lo que entiendas por texto plano. Es un txt que no contiene más que caracteres ASCII. Puedes abrirlo con un bloc de notas, aunque no entenderás nada. Pero es texto y es plano (sin formatear, o sea, no contiene indicadores de formato).

#25 Bravo!!!! No puede ser más cierto. Yo en mi empresa sufro exactamente todas esas restricciones más las siguientes:
- Diferentes sistemas de información con logins distintos. Es decir, para trabajar, no sólo necesitas recordar tu login y password, sino tu login y password en mínimo 5 plataformas distintas, en las que a veces, ni el login coincide.
- Tan solo 3 intentos después de los cuales, la contrasenya se bloquea y hay que resetearla.
- Puedes resetearla tú, pero tienes que solicitar la ayuda de 2 companyeros de un departamento aprobado para resetarte a tí o bien haber configurado una serie de preguntas y respuestas de seguridad, que también tienes que recordar

Yo al final he desarrollado una estrategia defensiva. Uso una palabra central y utilizo un sufijo o prefijo numérico incremental (que tengo que ir alternando entre prefijo y sufijo o si no, no pasa el check de distancia entre constrasenya). Por ejemplo: 200Tobera, Tobera201, 202Tobera... y así.

Al final, no tengo un post-it, pero sí otro sistema para tenerlas apuntadas, porque es imposible recordar cual es la que está operativa cuando no siempre necesitas todos los servicios todos los días.
Y volver después de dos semanas de vacaciones es volverte loco recordando.

#81 es.wikipedia.org/wiki/Archivo_de_texto
Un archivo de texto simple, texto sencillo o texto sin formato (también llamado texto llano o texto simple; en inglés «plain text»), es un archivo informático que contiene únicamente texto formado solo por caracteres que son legibles por humanos, careciendo de cualquier tipo de formato tipográfico.

Estos archivos están compuestos de bytes que representan caracteres ordinarios como letras, números y signos de puntuación (incluyendo espacios en blanco), también incluye algunos pocos caracteres de control como tabulaciones, saltos de línea y retornos de carro. Estos caracteres se pueden codificar de distintos modos dependiendo de la lengua usada. Algunos de los sistemas de codificación más usados son: ASCII, ISO-8859-1 o Latín-1 y UTF-8.

Está claro por tanto que mi archivo entra de lleno en esta definición y quien tiene que revisar su concepto de texto plano eres tú. Sin acritud.

#25

- Minimo 12 caracteres. vale
- Mayúsculas, minúsculas, números y símbolos. vale
- Caducidad de contraseña: 1 mes. vale
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas. vale
- Check de diccionario y complejidad, para acabar de tocar los huevecillos. vale

- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco. ¿Como haces esto en un sistema seguro?

#84 Pues no lo es, simple y llanamente. Esto lo sufro yo en el curro, e indica que en algún sitio están todas las contraseñas de todo dios en algún formato recuperable...
Zoquete + paranoico de la seguridad = menos seguridad.

#80 eso es como decir que tú no te pones el cinturón de seguridad en el coche por qué es un incordio y pierdes tiempo y te sientes incómodo.

Lógicamente la única forma de luchar contra ese tipo de usuario es reforzando su educación y en el peor de los casos sanción o despido.

Por otro lado si vamos a entrar al peliculeo de que te cortan un dedo... En fin. También van a torturarte si quieren que cantes tu password, que quieres que te diga, como argumento es como poco ridículo. ( CC #40 )

Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.

#84 ostia me has dado que pensar y efectivamente, como dice #85 para poder hacer esto tienes que tener las contraseñas en algún sitio para poder compararlas, vaya cagada!

#86 Por otro lado si vamos a entrar al peliculeo de que te cortan un dedo... En fin. También van a torturarte si quieren que cantes tu password

Prefiero dar gustosamente mi contraseña que dar "gustosamente" mi ojo.

Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.

Lo intentan, suelen fracasar estrepitosamente.

#23 goto #25

Sin ser tan exigentes, con que tengan activada la política de que el password tiene que variar X caracteres, ya estás jodido.

#42 Yo usaba ése mismo, pero no gestiona los adjuntos de la base de datos (como capturas de tarjetas de coordenadas o similar), así que me pasé a Keepass2Android, también gratuito.

#87
Exacto.
La forma en que un sistema seguro puede comprobar que no andas reutilizando contraseñas es comparando las contraseñas una vez cifradas (pepper/salt+algoritmo de cifrado), no en texto plano. Para comparar distancias necesitas el original y un sistema serio NUNCA deberia de guardar la contraseña original.

#89 Jodido no, lo que estoy es usando post-its

#87 #91 O simplemente preguntando por la contraseña actual al momento de cambiarla, como hace Windows. Ahí tienes la anterior y la nueva para compararlas.

#93 pero no 30 contraseñas como sugería el comentario original.

#83 "En el proceso de cifrado/descifrado se establecen una serie de términos y convenios para facilitar referirse a los distintos elementos que intervienen:

El texto en claro o texto plano (en inglés, plain text) es el mensaje que se cifra.
El criptograma o texto cifrado es el mensaje resultante una vez que se ha producido el cifrado, es decir, el mensaje cifrado."
es.wikipedia.org/wiki/Cifrado_(criptografía)

#94 En ese caso, desconozco la técnica empleada, pero se me ocurren dos soluciones, así pensando rápido (ambas inseguras):

a. Guardar las últimas 30 contraseñas en un almacén cifrado.
b. Guardar en dicho almacén, solo indicios de dichas contraseñas, cosas como el número de vocales usadas, si empieza por mayúscula, números usados, etc. Si la nueva contraseña coincide en muchos indicios, no se acepta.

Aunque, sin ser un experto en seguridad informática, en mi opinión me parece una regla de seguridad muy compleja, que ofrece más problemas que soluciones. Supongo que ahí el meneante exageró un poco.

#77 pues igual asegurarte que el usuario no la comparte ni la deja apuntada en post-its. Cuando subes el nivel de complejidad de las contraseñas esto es lo que co sigues, que el usuario acabe hasta los cojones y la apunte, que es precisamente lo que no se tiene que hacer con una contraseña.

#84 usando un cifrado reversible por ejemplo?

#99 Un punto de partida sólido, casi nada.
De todas formas, Wernher von Braun ya sabía como guiar los cohetes, porque los cohetes ya habían sido lanzados y ya habían sido dirigidos. Y la terminología "hipergólico" fue acuñada por el Dr. Wolfgang Nöggerath, de la Universidad Técnica de Braunschweig, Alemania, lo que hace suponer que Von Braun tenía amplios conocimientos sobre ello.