#1

Conocí a una persona que como no se podía repetir ninguna de las 10 últimas claves cada vez que había que cambiar tenía un algoritmo para generar 10 distintas y luego dejaba la original. Eso sí, se pasaba un buen rato cambiando claves cada vez, pero se salía con la suya.

#5
Pass_temporal_1
Pass_temporal_2
Pass_temporal_3
Pass_temporal_4
Pass_temporal_5
Pass_temporal_6
Pass_temporal_7
Pass_temporal_8
Pass_temporal_9
Pass_temporal_10
Pass_Viejo_JDT

#14 luego te piden puntos, guiones y números y ya estás jodido.

A mí me revienta cuando me ponen una seguridad del Pentágono en páginas sin mucha importancia. Quiero poner mi contraseña chorra en todos los sitios chorras!

Cambio de password cada X meses vía Active Directory, rutina de empresa . Al final son:

Passwordmanolo_&001&
Passwordmanolo_$002$
Passwordmanolo_+003+
Passwordmanolo_-004-
Etc...

#3 la mía, sólo por joder a los jaquers, es 1235

#7 me da TOC

#14 xkcd.com/936/

El cambio periódico de contraseñas viene de una publicación de NIST que la gente entendió mal. De hecho, el propio NIST tuvo que sacar otra publicación explicando que no se referían a eso, pero el daño ya estaba hecho.

Y en realidad, a nivel de seguridad tiene poco sentido y a nivel de negocio, menos aún. El cambio de contraseña tiene que estar motivado por un incidente de seguridad, en el que tengas seguro que una contraseña ha sido comprometida. Cambiarlas "por si acaso" lo único que genera es problemas a tus usuarios, que cada vez elegirán contraseñas que tengan que pensar menos, ergo la seguridad del acceso a tus sistemas será cada vez más débil.

1234

Acabo de revelar el password de millones de personas.

Mamá, soy jaker

#13 ¿Por qué te interesa su edad? ¿Le vas a pedir rollo?

#6 bueno, para introducir esa contraseña tenias que atravesar un ejercito, buena suerte.

#2 Acabas de hackear mi cuenta del trabajo

#13
43

#18 ¿Guardando contraseñas en texto claro?

#11 Para mogollon de gente su "Gestor de Contraseñas" es una libreta en el mejor de los casos. El post-it debajo del teclado es un clasico tambien.

#7 Versión pro (también con TOC #23): qwerth

#2 o al menos 2 de cada y mas de 10 caracteres:

Mes_Enero_2021
Mes_Febrero_2021
Mes_Marzo_2021

#15 Al menos esa libreta exige acceso físico. Mucho más seguro que un word en Dropbox.

#11 y si tenemos en cuenta que hoy en día solemos gestionar una docena (como mínimo)

La mayoría de la gente usa la misma contraseña para todo.

#33 la gracia de la tarjeta de coordenadas es que una parte de la contraseña sea de un solo uso (aunque se repitan cada 50 veces) y si te "ven" la contraseña (ya sea virtualmente o físicamente) no puedan entrar ellos. pero hoy en día habiendo móviles y teniendo códigos otp de 2048 bits, no hay necesidad.

vaya, una noticia de 2019

#11 ¿una docena solo?

#66 A mi un usuario me llego a mandar ese TXT con todas sus contraseñas al pedirle que necesitaba un usuario y contraseña para probar el funcionamiento de un servicio web.

- Necesito acceder a la web para ver si funciona correctamente.
- Claro que si guapi, aquí tienes todas mis contraseñas

#21 Y luego hay otras páginas chorras que no permiten símbolos, con lo que tienes que andar probando...

#5 Antes era habitual eso y mas de uno lo hacia; hoy en día la mayoría de sistemas no te permiten cambiar la contraseña mas de 3 o 5 veces en un mismo día y te hace esperar otras 24 horas o contactar con el admin/soporte si se diera el caso.

Yo lo que mas veo es cosas del tipo:
Veracruz01!
Veracruz02!
Vera....

Cuando llega a veintetrentaitantos o se cansa vuelta a empezar.

#47 peor, delante de un auditor PCI

Traducción libre de algunos puntos importantes:

"Los investigadores han llegado al consenso de que las mejores claves tienen al menos 11 caracteres, están generadas al azar, y están formadas por mayúsculas, minúsculas, símbolos y números."

"Los mismos investigadores han avisado de que cambiarlas cada 30, 60 o 90 días puede ser perjudicial en muchos sentidos [...] y produce pocos beneficios de seguridad porque las claves se deberían cambiar inmediatamente después de un evento de seguridad en lugar de después de un tiempo concreto fijado por políticas"

#53 O como alguna cosa puntual que piden en la contraseña y no es habitual hace que tengas que recuperar contraseña y cuando quieres poner una nueva ¡Sorpresa! tu contraseña no puede ser la misma que quieres cambiar.

#53 O no puede ser más de X caracteres como microsoft. A las que hacen eso les pongo insultos.

#44 yo ahí tengo mi número de teléfono, que no me sé el del trabajo y siempre lo tenía que estar buscando jaja, pero seguro que la gente se piensa que es una contraseña.

#16 y desde entonces los de IT han obligado a la gente a cambiar por lo menos 5 veces la contraseña...

Pero sí, aunque la noticia sea vieja, la obligación de cambiar contraseña a día de hoy es señal de que quien está detrás de los sistemas es una consultora.

#1¡ JAjajajajajajaja ojalá mis usuarios utilizasen esa!.

Abril2021, NombreDeLaEmpresa2021 son las oficiales homologadas para todos. Siempre me dicen que no se van a acordar, y yo siempre les digo, "dejate de numeros y simbolos raros, ¿te acordarías de MiHijoNuncaHaceLosDeberes ?

Trabajando en un service desk, en mi vida había escuchado tanta blasfemia como cuando un usuario le ha caducado la contraseña y tiene que poner una nueva...

#1 Bajo ningún concepto deberías tú saber las contraseñas de tus usuarios.
Me da a mí que tu empresa tiene agujeros más importantes que la rutina de cambiar el pwd cada mes.

#114 No creo que el machine learning se pueda aplicar aquí. Cualquier página web o servicio que se precie tiene un máximo número de intentos antes de decirte que o te bloquean la cuenta o tienes que esperar X minutos, así que hacerlo por fuerza bruta es muy difícil.

Eso sí, yo estoy de acuerdo en lo del gestor de contraseñas, pero el usuario de a pie no sabe ni lo que es eso.

#116 Aún así no sé si el ML supondría mucha mejora a la hora de averiguar contraseñas, creo que es mucho más fácil, rápido y menos costoso hacerlo por diccionarios como se hace ahora.

#3

Bueno, si usar la contraseña 00000000 era suficientemente segura para código de lanzamiento de misiles de USA, tampoco nos pongamos exquisitos.

en.m.wikipedia.org/wiki/Permissive_Action_Link

#15 El post-it en el marco del monitor es ya la repera (visto con mis propios hojos).

Microsoft dando consejos de seguridad

#49 el problema de las contraseñas con patron es que si te piratean una pueden intentar:
usar esa misma en otros sitios.
probar a cambiar la parte que huela a patron.

#44 Lo corroboro. Visto en una noticia de un periódico hace ya muchos años. Hablaban de unos productos financieros de un banco acompañada de una foto con una persona sentada frente a su ordenador. En primer plano el Post-It con las credenciales de acceso al sistema. Por supuesto me faltó tiempo para probar

#80 y en la tarjeta de crédito escrito con rotulador indeleble pones cuatro dígitos que puedan leerse de derecha a izda o viceversa y que no se entiendan muy bien, en plan 1658 -> 8291 -> 8297 -> 7658... o metes varios números tipo 4 + 3 (del CCV) y por supuesto el CCV original arrancado con navaja.

Con un poco de suerte, te llaman de algún banco porque uno de sus cajeros se tragó tu tarjeta extraviada

#104 JAJAJA
En mi caso eran las claves del correo y la app interna de algunos de los trabajadores de una universidad privada. Con eso podías acceder desde tu casa a los exámenes en maquetación (preguntas y respuestas, incluyendo cuál era la correcta).

#41 ERES EL DIABLO EN PERSONA!

#108 uffff, qué bien sabe eso

#8 Es un clásico.

Y si no se puede repetir y cambia una vez al mes también he visto:

Abril_20
Mayo__20
Junio_20
Julio_21

O directamente:
Nacho041
Nacho042
Nacho043

A veces algún sistema te pide que cambien varias posiciones para evitar estas secuencias y entonces nuestro sujeto iba alternando:

Nacho044
045Nacho
Nacho046
047Nacho

Y pensaba que había derrotado al sistema, pero lo que de verdad ocurría era que al final para según que cosas todos los nuevos usaban sus claves, porque les faltaban algunos perfiles y mientras les daban de alta o lo que fuera o si algún día tenían la clave bloqueada usaban la de nuestro sujeto, porque era muy fácil de averiguar sabiendo cual tenía el año pasado.

#26 Hace poco que un amigo me sugirió un algoritmo para generar contraseñas diferentes peros según un mismo patrón, que además tienen que ver con el nombre del sitio al que pertenecen. De esa manera te tienes que acordar solo de una palabra y un patrón, pero tienes una pass distinta y personalizada para cada servicio

Hace un tiempo leí que era más seguro juntar cuatro palabras que un código alfanumérico corto. Algo en plan "LugarManchaQuijoteSancho" acaba por ser más segura y fácil de recordar que $1~Asc0!

#26 Pero son diferentes contraseñas para diferentes cosas. Le estás diciendo a tu proveedor de correo electrónico cual es la contraseña de tu red social y de la VPN del trabajo.

#35 jaja, y para los sistemas que tienen control para que no pongas contraseñas parecidas:

Juan1uno
Juan2dos
Juan3tres
Juan4cuatro
Juan5cinco
...

#53 o páginas con cosas importantes que no te dejan meter más de 8 caracteres y además exigen símbolos que en el algoritmo caían después del 8⁰

A mí me tienen hasta las narices con el cambio de contraseña, pero he aprendido a hacer de la necesidad virtud y meto siempre las palabras del idioma que estoy aprendiendo que más se me resisten. La anterior fue vörubill$$$...

#102 Je! justo ayer me pasaron un excel con más de 30 passwords de un cliente...

que si el de la vpn
que si el de administrador de la máquina A
que si el de usuario de la máquina A
que si el usuario con licencia en tal aplicación o tal otra en la máquina A
todo lo mismo para la máquina B
que si el de ftp contra el servidor C
que si el de ftp contra el servidor D
el usuario administrador de la base de datos TAL_db
el usuario administrador de la base de datos CUAL_db
los dos mismos para PRE y DES
que si el usuario con acceso de solo lectura a la base de datos Tal
el usuario que tiene permisos para....

en fin...

#3 Imposible, la mía son **

#42 “Hay que cambiar las contraseñas cada 30 días en caso de que alguien nos robe las contraseñas y decida usarlas el mes que viene.”

#69 Damos soporte a sistemas legacy que llevan más años en producción que yo trabajando en esto (y posiblemente algunos tengan las contraseñas que tenían los sistemas que les precedían). Cambiar las contraseñas de administración de los sistemas es una tarea titánica. Contraseñas hardcodeadas en scripts, sistemas en los que cuando cambias la contraseña tardan quince minutos en aplicar el cambio porque la base de datos de usuarios está hecha unos zorros...

Tenemos un gestor de contraseñas, pero seguro que hay copias, además de gente que insistía en copiar las contraseñas en los procedimientos.

Lo de bloquear las cuentas personales de las personas que dejan de trabajar en la organización se hace correctamente. Lo demás no tanto.

#66 ¡La virgen santa!

#21 Chorizo_Arrogante_Culea+69

#74 ¡Qué buena idea! Poner una contraseña falsa, escrita a mano con algún caracter que no se entienda. Si un día te encuentras que se ha bloqueado el acceso a tu cuenta es que alguien ha estado trasteando.

#110 No tan ideal si no recuerdas la contraseña de Windows.

sembrando poco a poco metodos intrusivos de identificacion... camara, reconocimiento facial, huella, etc etc..

#22 Lo mismo para los que obligan a que tenga sus filias personales (símbolo, número, minúscula, mayúscula, número de la bestia, etc.).

#28 "Esta es mi contraseña y por mis cojones que por mucho que me pidas caracteres y mierdas no va a ser mejor que esta".

#45 Hombre, es que una contraseña compartida ya es un riesgo gordote en si mismo.

#85 Sí, sí, está claro, pero precisamente... compartir contraseña es un riesgo grande, así que, si no queda otro remedio, una razón de más para tener especial cuidado en cómo gestionarlo cuando uno de los que la conocen deja la empresa.

Por fin. Ahora sólo falta que dejen de obligarte a poner ciertos caracteres.

#39 No, si ya, pero es lo que hay, generalmente es lo que hace casi todo el mundo.

#49 Yo alguna vez lo tengo hecho también en algún sitio, lo malo es que si hay una filtración y alguien ve que tu contraseña es MENEAME123456, igual le da por probar en otros lados con ello

#43 Pues sí, pero es como los números de teléfono, ¿cuántos se sabe la gente hoy en día de memoria? Al final le das a recordar contraseña y te tiras meses sin tener que meterla otra vez, si la usan distinta no suelen acordarse.

#60 Sí, al final esos ataques suelen ser automáticos y en la mayoría de los casos estarías a salvo. Pero la duda ahí queda

#27 Esa viñeta estuvo bien en su momento pero me da que con el machine learning va a envejecer mal. Lo mejor es tenerlo todo en un gestor de contraseñas, generar para cada cuenta un password aleatorio de 14 caracteres mínimo y olvidarse.

#115 Bueno el ML tendría sentido una vez han conseguido acceso a las contraseñas cifradas.

#73 hombre, digo yo que #49 (como aclara en #51) se refiere a algo más complejo, es decir, que no se note que es un patrón
Y que tampoco sea una función que cambia una letra por la siguiente

Yo he pensado algo similar muchas veces, pero me da pereza cambiar mis contraseñas ahora...

#122 Jajaja, bueno, generalmente con tener una de 8 posiciones, mayúsculas minúsculas, número y símbolo suele servir para todo. Pero vamos, que yo no estoy a favor, me parece un error.

Es un tema bien conocido y documentado desde hace años.

Cambiar tu contraseña a menudo está poniendo tu seguridad en peligro.
curiosos.info/cambiar-tu-contrasena-a-menudo-esta-poniendo-tu-segurida

¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad.
www.genbeta.com/seguridad/cambiar-de-contrasena-cada-dos-por-tres-mala

Porqué cambiar de contraseña a menudo es una mala idea.
as.com/betech/2016/08/08/portada/1470651312_264383.html

Cambiar tu contraseña cada poco tiempo no sirve de nada.
omicrono.elespanol.com/2016/08/cambiar-contrasena-no-sirve/

Si cambias tu contraseña con frecuencia pierdes seguridad.
www.ticbeat.com/seguridad/si-cambias-tu-contrasena-con-frecuencia-pier

Cambiar constantemente de contraseña y usar caracteres especiales es inútil, según quien lo recomendó originalmente.
www.genbeta.com/seguridad/cambiar-constantemente-de-contrasena-y-usar-

Microsoft renuncia a la caducidad de las contraseñas por ser un método inútil. "Si no la han robado, no hay que cambiarla y si lo han hecho, no hay que esperar a que caduque para modificarla", explica el consultor principal de la compañía.
elpais.com/tecnologia/2019/04/25/actualidad/1556185091_716349.html

Aun así, mi universidad me obliga a cambiar la contraseña cada año, como puede verse en webidentidad.usal.es/politicaspassword .

#5 Cool!

#5 Ostias, qué jáquer

12345porelculotelahinco

#26 Y eso sí que es un problema...

#45 Totalmente de acuerdo. La cuestión es que no le damos suficiente importancia a este área, aunque hay normativas que obligan específicamente a gestionarlas, definidas en muchos ámbitos (protección de datos, esquema nacional de seguridad, ISO 2700x, etc.), y que si nos saltamos a la torera nos pueden comprometer gravemente en caso de una brecha de seguridad, porque pasaríamos de un accidente a la negligencia.

#47 yo he visto ficheros txt en el escritorio, que abrían mientras compartían pantalla con los clientes

#45 primera norma de seguridad: si despides a alguien revoca las contraseñas a las que tiene acceso ANTES de despedirle.

#61 al final, poner una frase, es bastante seguro.

#9

Salvo que ya fueras un militar de esos medio zumbado que llevan la biblia hasta para cagar y creas que hay que destruir al anticristo.

#47 espero que ese word en Dropbox no sea donde se guarde la contraseña de Dropbox.

#78 son las nuevas medidas de seguridad provenientes de la union europea.

#98 lo que es innegable es que menéame está lleno de críos que no tienen dinero ni contactos para meterse en ForoCoches a soltar las gilipolleces de turno de milenial.

#95 no es que llore, sino que me asombra con qué facilidad se juzga un comentario con tan poco contexto, solo porque alguien se ha ofendido y le ha votado negativo. ¿Ya no es políticamente correcto no querer leer en cada noticia decenas de comentarios basura?

Encima algunos preguntándome que si quiero rollo por preguntar la edad. Joder cómo está el nivel y cómo han cambiado los foros desde 2005

#64 Qué sabrán ellos

#11 por eso es mejor el single sing on o aplicaciones como keepass o similares. Hace tiempo que se va en esa dirección, pero en Microsoft se han dado cuenta algo más tarde.

#24 bueno, eso se hace para generar robustez en las contraseñas, pero sí es cierto que con pedir alguna mayúscula y algún número no hace falta pedir caracteres extraños que, por otra parte, si cambia el idioma del teclado es muy complicado acertar.

#5 Yo hago eso. ¿Te conozco?

Estoy_hasta_los_cojones_debuscar_password1234

#88 Eres un caso digno de estudio. Eso es innegable

#26 Sería buena idea sino ocurrirera que:

- El sitio a pide cambio de contraseña cada mes, el b cada 6 meses, el c si llevas sin conectarte más de 3 meses, el d cuando lo decide la dirección...

- El sitio a requiere más de 6 digitos con una mayuscula, una minuscula, un simbolo y un número, el sitio b requiere exactamente 8 digitos, el sitio c requiere 10 caracteres y ninguno puede ser un simbolo, el stio d requiere una contraseña númerica de 6 posiciones...

Cuando muchos bancos nos impusieron por la fuerza las tarjetas de coordenadas tuve unas buenas peloteras con más de un director. Mi contraseña, razonablemente segura, sin apuntar en ningún sitio (ni la de entrada ni la de firma), tenía la ventaja de que para hacer una operación había que saltarse las dos, cosa complicada (más con las medidas del banco). Pero ahora, con la tarjetita de coordenadas, una de las contraseñas reside físicamente en algún sitio: en un cajón, bajo un teclado, en una cartera, etc. Y al final estás dejando la mayor parte de la seguridad en 1) la clave de entrada al banco y 2) que no te pillen la tarjeta, cosa que no es tan difícil porque si gestionas varias cuentas no te las puedes llevar encima.

Añade a eso que la tarjeta si te la encuentran lo más inteligente es no llevársela sino fotografiarla y listos. Has incordiado al usuario para implementar un sistema que no es necesariamente más seguro.

Por cierto, súmale a esto que si tienes 5 bancos en el trabajo, son 5 tarjetas más que llevar encima. Hoy arreglado con las apps de firma del móvil... que vuelven a estar tras contraseñas, mira por dónde.

#29 rollo bollo

#19 Después de un incidente de seguridad las contraseñas deben cambiar, obviamente, pero también deben cambiar cada cierto tiempo, aunque sea en periodos largos.

Doy soporte a servidores que tienen la misma clave desde 2003. Desde entonces ha pasado mucha gente por mi departamento, entre los que despidieron, los que se fueron a otro departamento y los que se jubilaron. Es decir, demasiada gente que ya no vive aquí sigue teniendo las llaves de la casa.

si eso opinaban en Junio 2019... que opinaran ahora?

#49 y no es ContrasenaDeFacebook1, ContasenaDeGmail1