En julio del año pasado una reportera de Associated Press acudió a la hoy famosa oficina de gestión de emergencias y tomó varias imágenes de los operadores que se encargarían de alertar sobre cualquier lanzamiento de misil. En una de las imágenes, ocurre esto...
|
etiquetas: facepalm , hawaii , eeuu
- Minimo 12 caracteres.
- Mayúsculas, minúsculas, números y símbolos.
- Caducidad de contraseña: 1 mes.
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas.
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco.
- Check de diccionario y complejidad, para acabar de tocar los huevecillos.
Y listo amigos! Ya habéis forzado a vuestros operadores 24/7 a apuntar la contraseña en un post-it.
Ni que decir que esto se define a nivel de requisitos por el jefe de seguridad del proyecto. Un saludo!
Y eso en empresas que manejan datos de miles de personas.
"♪ esto no es Hawai, qué guay! ♪"
enero1
enero2
enero3
enero4
...
Si es así, sólo nos falta la URL.
Hay que eliminar cuanto antes el lastre de depender del eslabón más débil de la cadena. Por más que se esfuerce IT siempre habrá algún luser que fuerce el fallo de seguridad. Si no es con un postit es compartiendo por emule.
Tendrían que sacar una canción similar a No te olvides de poner el WHERE en el DELETE FROM.
Porque en la empresa privada no hay errores similares.
Lo se porque ahora tengo que usar un password aleatorio cada vez que mando uno
Febrero1
Febrero2
Febrero3
Febrero4
...
Y respecto a smartcards, tokens, etc. únicamente ofrecen suficiente seguridad asociados con una contraseña. Ya que la smartcard es eso que dejas en el cajón cuando vas a tomar un café.
Por ahora las contraseñas siguen siendo la mejor solución, hasta que lo sustituyan por una IA que te reconozca sin que tenga nadie ni idea de como lo hace.
¿que tiene que ver tu respuesta con lo que te dice #27?
En cualquier empresa mediana ya se usa 2fa. Por resumir mucho, básicamente hay 3 formas de autenticarse como usuario: lo que eres (biométricos), lo que tienes (tokens, smarts) y lo que sabes (contraseñas) ninguna es válida como factor único. Por lo que en cualquier entorno medianamente seguro se combinan. La tendencia es a dejar de usar las contraseñas usando el resto de factores. Por ejemplo smart + otp|bio|etc
No cuesta ningún ojo de la cara en ningún sentido, además de ser inocuo a tu salud el coste de un sensor de huellas dactilares es irrelevante. Cualquier portátil y móvil de gama media lo trae de serie. Incluso tiene más coste mantener un sistema de contraseñas (como un AD) que has de andar cambiando y recordando que una bbdd de huellas, que no cambian.
Si te dejas la smartcard en el cajón, para desbloquear lo que sea necesitarás también el dedo o el ojo o lo que dispongas. No representa mucho peligro.
La IA no tiene nada que ver con esto.
Enero1
Febrero2
Marzo3
...
qwerty
abcdef
1234
password
...
Orene1
2Orerbef
Ozram3
...
Redtube pasword: Qfsbc
Pornhub: "
viejos y animales: "
Edit: ahora veo que ya te habías dado cuenta en 52.
No van por ahí los tiros de #40 , el quid está en ese "literalmente", todo depende del valor de lo que proteja tu ojo.
"Es el mercado, amigo"
Estoy de acuerdo en lo de las políticas de "extrema seguridad" que acaban incitando a que el usuario adopte atajos que acaban haciendo el sistema mucho más inseguro que si se hubiesen adoptando unas medidas no tan extremas. Al final se consigue justo lo contrario de lo que se busca.
- Diferentes sistemas de información con logins distintos. Es decir, para trabajar, no sólo necesitas recordar tu login y password, sino tu login y password en mínimo 5 plataformas distintas, en las que a veces, ni el login coincide.
- Tan solo 3 intentos después de los cuales, la contrasenya se bloquea y hay que resetearla.
- Puedes resetearla tú, pero tienes que solicitar la ayuda de 2 companyeros de un departamento aprobado para resetarte a tí o bien haber configurado una serie de preguntas y respuestas de seguridad, que también tienes que recordar
Yo al final he desarrollado una estrategia defensiva. Uso una palabra central y utilizo un sufijo o prefijo numérico incremental (que tengo que ir alternando entre prefijo y sufijo o si no, no pasa el check de distancia entre constrasenya). Por ejemplo: 200Tobera, Tobera201, 202Tobera... y así.
Al final, no tengo un post-it, pero sí otro sistema para tenerlas apuntadas, porque es imposible recordar cual es la que está operativa cuando no siempre necesitas todos los servicios todos los días.
Y volver después de dos semanas de vacaciones es volverte loco recordando.
Un archivo de texto simple, texto sencillo o texto sin formato (también llamado texto llano o texto simple; en inglés «plain text»), es un archivo informático que contiene únicamente texto formado solo por caracteres que son legibles por humanos, careciendo de cualquier tipo de formato tipográfico.
Estos archivos están compuestos de bytes que representan caracteres ordinarios como letras, números y signos de puntuación (incluyendo espacios en blanco), también incluye algunos pocos caracteres de control como tabulaciones, saltos de línea y retornos de carro. Estos caracteres se pueden codificar de distintos modos dependiendo de la lengua usada. Algunos de los sistemas de codificación más usados son: ASCII, ISO-8859-1 o Latín-1 y UTF-8.
Está claro por tanto que mi archivo entra de lleno en esta definición y quien tiene que revisar su concepto de texto plano eres tú. Sin acritud.
- Minimo 12 caracteres. vale
- Mayúsculas, minúsculas, números y símbolos. vale
- Caducidad de contraseña: 1 mes. vale
- Check en el histórico de antiguas contraseñas: almacena las 30 últimas. vale
- Check de diccionario y complejidad, para acabar de tocar los huevecillos. vale
- Check en la distancia entre contraseñas: no acepta contraseñas que varíen poco. ¿Como haces esto en un sistema seguro?
Zoquete + paranoico de la seguridad = menos seguridad.
Lógicamente la única forma de luchar contra ese tipo de usuario es reforzando su educación y en el peor de los casos sanción o despido.
Por otro lado si vamos a entrar al peliculeo de que te cortan un dedo... En fin. También van a torturarte si quieren que cantes tu password, que quieres que te diga, como argumento es como poco ridículo. ( CC #40 )
Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.
Prefiero dar gustosamente mi contraseña que dar "gustosamente" mi ojo.
Por otro lado los sensores de huellas nuevos detectan que el dedo este vivo, por ejemplo.
Lo intentan, suelen fracasar estrepitosamente.
Sin ser tan exigentes, con que tengan activada la política de que el password tiene que variar X caracteres, ya estás jodido.
Exacto.
La forma en que un sistema seguro puede comprobar que no andas reutilizando contraseñas es comparando las contraseñas una vez cifradas (pepper/salt+algoritmo de cifrado), no en texto plano. Para comparar distancias necesitas el original y un sistema serio NUNCA deberia de guardar la contraseña original.
El texto en claro o texto plano (en inglés, plain text) es el mensaje que se cifra.
El criptograma o texto cifrado es el mensaje resultante una vez que se ha producido el cifrado, es decir, el mensaje cifrado."
es.wikipedia.org/wiki/Cifrado_(criptografía)
a. Guardar las últimas 30 contraseñas en un almacén cifrado.
b. Guardar en dicho almacén, solo indicios de dichas contraseñas, cosas como el número de vocales usadas, si empieza por mayúscula, números usados, etc. Si la nueva contraseña coincide en muchos indicios, no se acepta.
Aunque, sin ser un experto en seguridad informática, en mi opinión me parece una regla de seguridad muy compleja, que ofrece más problemas que soluciones. Supongo que ahí el meneante exageró un poco.
De todas formas, Wernher von Braun ya sabía como guiar los cohetes, porque los cohetes ya habían sido lanzados y ya habían sido dirigidos. Y la terminología "hipergólico" fue acuñada por el Dr. Wolfgang Nöggerath, de la Universidad Técnica de Braunschweig, Alemania, lo que hace suponer que Von Braun tenía amplios conocimientos sobre ello.