Microsoft finalmente se está dando cuenta de una máxima que los expertos en seguridad han aceptado casi universalmente durante años: es probable que los cambios periódicos de contraseña hagan más daño que bien. En una publicación en gran parte pasada por alto publicada a fines del mes pasado, Microsoft dijo que estaba eliminando los cambios periódicos de contraseña de la configuración básica de seguridad que recomienda para clientes y auditores.
|
etiquetas: passwords , microsoft , cambio de contraseña
Enero_2021
Febrero_2021
Marzo_2021
...
Conocí a una persona que como no se podía repetir ninguna de las 10 últimas claves cada vez que había que cambiar tenía un algoritmo para generar 10 distintas y luego dejaba la original. Eso sí, se pasaba un buen rato cambiando claves cada vez, pero se salía con la suya.
Pass_temporal_1
Pass_temporal_2
Pass_temporal_3
Pass_temporal_4
Pass_temporal_5
Pass_temporal_6
Pass_temporal_7
Pass_temporal_8
Pass_temporal_9
Pass_temporal_10
Pass_Viejo_JDT
A mí me revienta cuando me ponen una seguridad del Pentágono en páginas sin mucha importancia. Quiero poner mi contraseña chorra en todos los sitios chorras!
Passwordmanolo_&001&
Passwordmanolo_$002$
Passwordmanolo_+003+
Passwordmanolo_-004-
Etc...
Y en realidad, a nivel de seguridad tiene poco sentido y a nivel de negocio, menos aún. El cambio de contraseña tiene que estar motivado por un incidente de seguridad, en el que tengas seguro que una contraseña ha sido comprometida. Cambiarlas "por si acaso" lo único que genera es problemas a tus usuarios, que cada vez elegirán contraseñas que tengan que pensar menos, ergo la seguridad del acceso a tus sistemas será cada vez más débil.
Acabo de revelar el password de millones de personas.
Mamá, soy jaker
43
Mes_Enero_2021
Mes_Febrero_2021
Mes_Marzo_2021
La mayoría de la gente usa la misma contraseña para todo.
- Necesito acceder a la web para ver si funciona correctamente.
- Claro que si guapi, aquí tienes todas mis contraseñas
Yo lo que mas veo es cosas del tipo:
Veracruz01!
Veracruz02!
Vera....
Cuando llega a veintetrentaitantos o se cansa vuelta a empezar.
"Los investigadores han llegado al consenso de que las mejores claves tienen al menos 11 caracteres, están generadas al azar, y están formadas por mayúsculas, minúsculas, símbolos y números."
"Los mismos investigadores han avisado de que cambiarlas cada 30, 60 o 90 días puede ser perjudicial en muchos sentidos [...] y produce pocos beneficios de seguridad porque las claves se deberían cambiar inmediatamente después de un evento de seguridad en lugar de después de un tiempo concreto fijado por políticas"
Pero sí, aunque la noticia sea vieja, la obligación de cambiar contraseña a día de hoy es señal de que quien está detrás de los sistemas es una consultora.
Abril2021, NombreDeLaEmpresa2021 son las oficiales homologadas para todos. Siempre me dicen que no se van a acordar, y yo siempre les digo, "dejate de numeros y simbolos raros, ¿te acordarías de MiHijoNuncaHaceLosDeberes ?
Me da a mí que tu empresa tiene agujeros más importantes que la rutina de cambiar el pwd cada mes.
Eso sí, yo estoy de acuerdo en lo del gestor de contraseñas, pero el usuario de a pie no sabe ni lo que es eso.
Bueno, si usar la contraseña 00000000 era suficientemente segura para código de lanzamiento de misiles de USA, tampoco nos pongamos exquisitos.
en.m.wikipedia.org/wiki/Permissive_Action_Link
usar esa misma en otros sitios.
probar a cambiar la parte que huela a patron.
Con un poco de suerte, te llaman de algún banco porque uno de sus cajeros se tragó tu tarjeta extraviada
En mi caso eran las claves del correo y la app interna de algunos de los trabajadores de una universidad privada. Con eso podías acceder desde tu casa a los exámenes en maquetación (preguntas y respuestas, incluyendo cuál era la correcta).
Y si no se puede repetir y cambia una vez al mes también he visto:
Abril_20
Mayo__20
Junio_20
Julio_21
O directamente:
Nacho041
Nacho042
Nacho043
A veces algún sistema te pide que cambien varias posiciones para evitar estas secuencias y entonces nuestro sujeto iba alternando:
Nacho044
045Nacho
Nacho046
047Nacho
Y pensaba que había derrotado al sistema, pero lo que de verdad ocurría era que al final para según que cosas todos los nuevos usaban sus claves, porque les faltaban algunos perfiles y mientras les daban de alta o lo que fuera o si algún día tenían la clave bloqueada usaban la de nuestro sujeto, porque era muy fácil de averiguar sabiendo cual tenía el año pasado.
Juan1uno
Juan2dos
Juan3tres
Juan4cuatro
Juan5cinco
...
que si el de la vpn
que si el de administrador de la máquina A
que si el de usuario de la máquina A
que si el usuario con licencia en tal aplicación o tal otra en la máquina A
todo lo mismo para la máquina B
que si el de ftp contra el servidor C
que si el de ftp contra el servidor D
el usuario administrador de la base de datos TAL_db
el usuario administrador de la base de datos CUAL_db
los dos mismos para PRE y DES
que si el usuario con acceso de solo lectura a la base de datos Tal
el usuario que tiene permisos para....
en fin...
Tenemos un gestor de contraseñas, pero seguro que hay copias, además de gente que insistía en copiar las contraseñas en los procedimientos.
Lo de bloquear las cuentas personales de las personas que dejan de trabajar en la organización se hace correctamente. Lo demás no tanto.
#49 Yo alguna vez lo tengo hecho también en algún sitio, lo malo es que si hay una filtración y alguien ve que tu contraseña es MENEAME123456, igual le da por probar en otros lados con ello
Y que tampoco sea una función que cambia una letra por la siguiente
Yo he pensado algo similar muchas veces, pero me da pereza cambiar mis contraseñas ahora...
Cambiar tu contraseña a menudo está poniendo tu seguridad en peligro.
curiosos.info/cambiar-tu-contrasena-a-menudo-esta-poniendo-tu-segurida
¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad.
www.genbeta.com/seguridad/cambiar-de-contrasena-cada-dos-por-tres-mala
Porqué cambiar de contraseña a menudo es una mala idea.
as.com/betech/2016/08/08/portada/1470651312_264383.html
Cambiar tu contraseña cada poco tiempo no sirve de nada.
omicrono.elespanol.com/2016/08/cambiar-contrasena-no-sirve/
Si cambias tu contraseña con frecuencia pierdes seguridad.
www.ticbeat.com/seguridad/si-cambias-tu-contrasena-con-frecuencia-pier
Cambiar constantemente de contraseña y usar caracteres especiales es inútil, según quien lo recomendó originalmente.
www.genbeta.com/seguridad/cambiar-constantemente-de-contrasena-y-usar-
Microsoft renuncia a la caducidad de las contraseñas por ser un método inútil. "Si no la han robado, no hay que cambiarla y si lo han hecho, no hay que esperar a que caduque para modificarla", explica el consultor principal de la compañía.
elpais.com/tecnologia/2019/04/25/actualidad/1556185091_716349.html
Aun así, mi universidad me obliga a cambiar la contraseña cada año, como puede verse en webidentidad.usal.es/politicaspassword .
Salvo que ya fueras un militar de esos medio zumbado que llevan la biblia hasta para cagar y creas que hay que destruir al anticristo.
#95 no es que llore, sino que me asombra con qué facilidad se juzga un comentario con tan poco contexto, solo porque alguien se ha ofendido y le ha votado negativo. ¿Ya no es políticamente correcto no querer leer en cada noticia decenas de comentarios basura?
Encima algunos preguntándome que si quiero rollo por preguntar la edad. Joder cómo está el nivel y cómo han cambiado los foros desde 2005
- El sitio a pide cambio de contraseña cada mes, el b cada 6 meses, el c si llevas sin conectarte más de 3 meses, el d cuando lo decide la dirección...
- El sitio a requiere más de 6 digitos con una mayuscula, una minuscula, un simbolo y un número, el sitio b requiere exactamente 8 digitos, el sitio c requiere 10 caracteres y ninguno puede ser un simbolo, el stio d requiere una contraseña númerica de 6 posiciones...
Añade a eso que la tarjeta si te la encuentran lo más inteligente es no llevársela sino fotografiarla y listos. Has incordiado al usuario para implementar un sistema que no es necesariamente más seguro.
Por cierto, súmale a esto que si tienes 5 bancos en el trabajo, son 5 tarjetas más que llevar encima. Hoy arreglado con las apps de firma del móvil... que vuelven a estar tras contraseñas, mira por dónde.
Doy soporte a servidores que tienen la misma clave desde 2003. Desde entonces ha pasado mucha gente por mi departamento, entre los que despidieron, los que se fueron a otro departamento y los que se jubilaron. Es decir, demasiada gente que ya no vive aquí sigue teniendo las llaves de la casa.