Microsoft finalmente se está dando cuenta de una máxima que los expertos en seguridad han aceptado casi universalmente durante años: es probable que los cambios periódicos de contraseña hagan más daño que bien. En una publicación en gran parte pasada por alto publicada a fines del mes pasado, Microsoft dijo que estaba eliminando los cambios periódicos de contraseña de la configuración básica de seguridad que recomienda para clientes y auditores.
|
etiquetas: passwords , microsoft , cambio de contraseña
Passwordmanolo_&001&
Passwordmanolo_$002$
Passwordmanolo_+003+
Passwordmanolo_-004-
Etc...
Enero_2021
Febrero_2021
Marzo_2021
...
Acabo de revelar el password de millones de personas.
Mamá, soy jaker
Mes_Enero_2021
Mes_Febrero_2021
Mes_Marzo_2021
Conocí a una persona que como no se podía repetir ninguna de las 10 últimas claves cada vez que había que cambiar tenía un algoritmo para generar 10 distintas y luego dejaba la original. Eso sí, se pasaba un buen rato cambiando claves cada vez, pero se salía con la suya.
Bueno, si usar la contraseña 00000000 era suficientemente segura para código de lanzamiento de misiles de USA, tampoco nos pongamos exquisitos.
en.m.wikipedia.org/wiki/Permissive_Action_Link
Pass_temporal_1
Pass_temporal_2
Pass_temporal_3
Pass_temporal_4
Pass_temporal_5
Pass_temporal_6
Pass_temporal_7
Pass_temporal_8
Pass_temporal_9
Pass_temporal_10
Pass_Viejo_JDT
Yo lo que mas veo es cosas del tipo:
Veracruz01!
Veracruz02!
Vera....
Cuando llega a veintetrentaitantos o se cansa vuelta a empezar.
"Los investigadores han llegado al consenso de que las mejores claves tienen al menos 11 caracteres, están generadas al azar, y están formadas por mayúsculas, minúsculas, símbolos y números."
"Los mismos investigadores han avisado de que cambiarlas cada 30, 60 o 90 días puede ser perjudicial en muchos sentidos [...] y produce pocos beneficios de seguridad porque las claves se deberían cambiar inmediatamente después de un evento de seguridad en lugar de después de un tiempo concreto fijado por políticas"
A mí me revienta cuando me ponen una seguridad del Pentágono en páginas sin mucha importancia. Quiero poner mi contraseña chorra en todos los sitios chorras!
Pero sí, aunque la noticia sea vieja, la obligación de cambiar contraseña a día de hoy es señal de que quien está detrás de los sistemas es una consultora.
La mayoría de la gente usa la misma contraseña para todo.
Añade a eso que la tarjeta si te la encuentran lo más inteligente es no llevársela sino fotografiarla y listos. Has incordiado al usuario para implementar un sistema que no es necesariamente más seguro.
Por cierto, súmale a esto que si tienes 5 bancos en el trabajo, son 5 tarjetas más que llevar encima. Hoy arreglado con las apps de firma del móvil... que vuelven a estar tras contraseñas, mira por dónde.
Y si no se puede repetir y cambia una vez al mes también he visto:
Abril_20
Mayo__20
Junio_20
Julio_21
O directamente:
Nacho041
Nacho042
Nacho043
A veces algún sistema te pide que cambien varias posiciones para evitar estas secuencias y entonces nuestro sujeto iba alternando:
Nacho044
045Nacho
Nacho046
047Nacho
Y pensaba que había derrotado al sistema, pero lo que de verdad ocurría era que al final para según que cosas todos los nuevos usaban sus claves, porque les faltaban algunos perfiles y mientras les daban de alta o lo que fuera o si algún día tenían la clave bloqueada usaban la de nuestro sujeto, porque era muy fácil de averiguar sabiendo cual tenía el año pasado.
43
El ejemplo que ha puesto #14 no es tan seguro (ejem...), sería mejor "QuijoteRojoOVNIhuerta"
Y en realidad, a nivel de seguridad tiene poco sentido y a nivel de negocio, menos aún. El cambio de contraseña tiene que estar motivado por un incidente de seguridad, en el que tengas seguro que una contraseña ha sido comprometida. Cambiarlas "por si acaso" lo único que genera es problemas a tus usuarios, que cada vez elegirán contraseñas que tengan que pensar menos, ergo la seguridad del acceso a tus sistemas será cada vez más débil.
Doy soporte a servidores que tienen la misma clave desde 2003. Desde entonces ha pasado mucha gente por mi departamento, entre los que despidieron, los que se fueron a otro departamento y los que se jubilaron. Es decir, demasiada gente que ya no vive aquí sigue teniendo las llaves de la casa.
#49 Yo alguna vez lo tengo hecho también en algún sitio, lo malo es que si hay una filtración y alguien ve que tu contraseña es MENEAME123456, igual le da por probar en otros lados con ello
Si un hacker malicioso hiciese un ataque dirigido en lugar de uno al tun tun a lo bestia a ver que sale usaría el método manual, ya que primero hubiera filtrado en los ficheros de claves tus direcciones conocidas de correo electrónico o algo que identificase a su víctima deseada y quizás dedujese el patrón.
Abril2021, NombreDeLaEmpresa2021 son las oficiales homologadas para todos. Siempre me dicen que no se van a acordar, y yo siempre les digo, "dejate de numeros y simbolos raros, ¿te acordarías de MiHijoNuncaHaceLosDeberes ?
En cualquiera de esos casos la implementación se ha cargado el propósito de la tarjeta, porque no se consigue más seguridad. La clave antigua, si era medio decente y no estaba apuntada en ningún sitio, era mucho más segura.
Juan1uno
Juan2dos
Juan3tres
Juan4cuatro
Juan5cinco
...
Salvo que ya fueras un militar de esos medio zumbado que llevan la biblia hasta para cagar y creas que hay que destruir al anticristo.
usar esa misma en otros sitios.
probar a cambiar la parte que huela a patron.
Tenemos un gestor de contraseñas, pero seguro que hay copias, además de gente que insistía en copiar las contraseñas en los procedimientos.
Lo de bloquear las cuentas personales de las personas que dejan de trabajar en la organización se hace correctamente. Lo demás no tanto.
Juan 16:3
Genesis2:4
Apocalipsis 21:4
Y lo mismo en aplicaciones que tenían un usuario administrador genérico. Teniendo un solo administrador lo resuelves, pero entonces hablamos de otro riesgo aún mayor.
Si hasta deja el emoticono de malote para el final. Lo que no entiendo es por qué me votan negativo. Ni que hubiera insultado.
Me da a mí que tu empresa tiene agujeros más importantes que la rutina de cambiar el pwd cada mes.
Pero los demás competidores del sector también lo hacen.
Lo que tiene tela es que encima llores por los negativos.