Cambio de password cada X meses vía Active Directory, rutina de empresa . Al final son:

Passwordmanolo_&001&
Passwordmanolo_$002$
Passwordmanolo_+003+
Passwordmanolo_-004-
Etc...

1234

Acabo de revelar el password de millones de personas.

Mamá, soy jaker

#2 o al menos 2 de cada y mas de 10 caracteres:

Mes_Enero_2021
Mes_Febrero_2021
Mes_Marzo_2021

#1

Conocí a una persona que como no se podía repetir ninguna de las 10 últimas claves cada vez que había que cambiar tenía un algoritmo para generar 10 distintas y luego dejaba la original. Eso sí, se pasaba un buen rato cambiando claves cada vez, pero se salía con la suya.

#3

Bueno, si usar la contraseña 00000000 era suficientemente segura para código de lanzamiento de misiles de USA, tampoco nos pongamos exquisitos.

en.m.wikipedia.org/wiki/Permissive_Action_Link

#3 la mía, sólo por joder a los jaquers, es 1235

#5
Pass_temporal_1
Pass_temporal_2
Pass_temporal_3
Pass_temporal_4
Pass_temporal_5
Pass_temporal_6
Pass_temporal_7
Pass_temporal_8
Pass_temporal_9
Pass_temporal_10
Pass_Viejo_JDT

#6 bueno, para introducir esa contraseña tenias que atravesar un ejercito, buena suerte.

#5 Cool!

sembrando poco a poco metodos intrusivos de identificacion... camara, reconocimiento facial, huella, etc etc..

Hace un tiempo leí que era más seguro juntar cuatro palabras que un código alfanumérico corto. Algo en plan "LugarManchaQuijoteSancho" acaba por ser más segura y fácil de recordar que $1~Asc0!

#11 Para mogollon de gente su "Gestor de Contraseñas" es una libreta en el mejor de los casos. El post-it debajo del teclado es un clasico tambien.

vaya, una noticia de 2019

#2 Acabas de hackear mi cuenta del trabajo

#5 Antes era habitual eso y mas de uno lo hacia; hoy en día la mayoría de sistemas no te permiten cambiar la contraseña mas de 3 o 5 veces en un mismo día y te hace esperar otras 24 horas o contactar con el admin/soporte si se diera el caso.

Yo lo que mas veo es cosas del tipo:
Veracruz01!
Veracruz02!
Vera....

Cuando llega a veintetrentaitantos o se cansa vuelta a empezar.

Traducción libre de algunos puntos importantes:

"Los investigadores han llegado al consenso de que las mejores claves tienen al menos 11 caracteres, están generadas al azar, y están formadas por mayúsculas, minúsculas, símbolos y números."

"Los mismos investigadores han avisado de que cambiarlas cada 30, 60 o 90 días puede ser perjudicial en muchos sentidos [...] y produce pocos beneficios de seguridad porque las claves se deberían cambiar inmediatamente después de un evento de seguridad en lugar de después de un tiempo concreto fijado por políticas"

#5 para hacerlo bien, el administrador no debe dejar cambiar lacontraseña como minimo pasadas 48 horas. De esta manera se tiraría 20 dias para volver a tener la “original”. No sale a cuenta

#14 luego te piden puntos, guiones y números y ya estás jodido.

A mí me revienta cuando me ponen una seguridad del Pentágono en páginas sin mucha importancia. Quiero poner mi contraseña chorra en todos los sitios chorras!

#16 y desde entonces los de IT han obligado a la gente a cambiar por lo menos 5 veces la contraseña...

Pero sí, aunque la noticia sea vieja, la obligación de cambiar contraseña a día de hoy es señal de que quien está detrás de los sistemas es una consultora.

#7 me da TOC

#22 Lo mismo para los que obligan a que tenga sus filias personales (símbolo, número, minúscula, mayúscula, número de la bestia, etc.).

#3 Imposible, la mía son **

#11 y si tenemos en cuenta que hoy en día solemos gestionar una docena (como mínimo)

La mayoría de la gente usa la misma contraseña para todo.

#14 xkcd.com/936/

#24 bueno, eso se hace para generar robustez en las contraseñas, pero sí es cierto que con pedir alguna mayúscula y algún número no hace falta pedir caracteres extraños que, por otra parte, si cambia el idioma del teclado es muy complicado acertar.

#13 ¿Por qué te interesa su edad? ¿Le vas a pedir rollo?

#28 "Esta es mi contraseña y por mis cojones que por mucho que me pidas caracteres y mierdas no va a ser mejor que esta".

#5 Ostias, qué jáquer

Por fin. Ahora sólo falta que dejen de obligarte a poner ciertos caracteres.

Cuando muchos bancos nos impusieron por la fuerza las tarjetas de coordenadas tuve unas buenas peloteras con más de un director. Mi contraseña, razonablemente segura, sin apuntar en ningún sitio (ni la de entrada ni la de firma), tenía la ventaja de que para hacer una operación había que saltarse las dos, cosa complicada (más con las medidas del banco). Pero ahora, con la tarjetita de coordenadas, una de las contraseñas reside físicamente en algún sitio: en un cajón, bajo un teclado, en una cartera, etc. Y al final estás dejando la mayor parte de la seguridad en 1) la clave de entrada al banco y 2) que no te pillen la tarjeta, cosa que no es tan difícil porque si gestionas varias cuentas no te las puedes llevar encima.

Añade a eso que la tarjeta si te la encuentran lo más inteligente es no llevársela sino fotografiarla y listos. Has incordiado al usuario para implementar un sistema que no es necesariamente más seguro.

Por cierto, súmale a esto que si tienes 5 bancos en el trabajo, son 5 tarjetas más que llevar encima. Hoy arreglado con las apps de firma del móvil... que vuelven a estar tras contraseñas, mira por dónde.

12345porelculotelahinco

#8 Es un clásico.

Y si no se puede repetir y cambia una vez al mes también he visto:

Abril_20
Mayo__20
Junio_20
Julio_21

O directamente:
Nacho041
Nacho042
Nacho043

A veces algún sistema te pide que cambien varias posiciones para evitar estas secuencias y entonces nuestro sujeto iba alternando:

Nacho044
045Nacho
Nacho046
047Nacho

Y pensaba que había derrotado al sistema, pero lo que de verdad ocurría era que al final para según que cosas todos los nuevos usaban sus claves, porque les faltaban algunos perfiles y mientras les daban de alta o lo que fuera o si algún día tenían la clave bloqueada usaban la de nuestro sujeto, porque era muy fácil de averiguar sabiendo cual tenía el año pasado.

#33 la gracia de la tarjeta de coordenadas es que una parte de la contraseña sea de un solo uso (aunque se repitan cada 50 veces) y si te "ven" la contraseña (ya sea virtualmente o físicamente) no puedan entrar ellos. pero hoy en día habiendo móviles y teniendo códigos otp de 2048 bits, no hay necesidad.

#13
43

#27 Venía a poner esto.
El ejemplo que ha puesto #14 no es tan seguro (ejem...), sería mejor "QuijoteRojoOVNIhuerta"

#26 Pero son diferentes contraseñas para diferentes cosas. Le estás diciendo a tu proveedor de correo electrónico cual es la contraseña de tu red social y de la VPN del trabajo.

#29 rollo bollo

#7 Versión pro (también con TOC #23): qwerth

El cambio periódico de contraseñas viene de una publicación de NIST que la gente entendió mal. De hecho, el propio NIST tuvo que sacar otra publicación explicando que no se referían a eso, pero el daño ya estaba hecho.

Y en realidad, a nivel de seguridad tiene poco sentido y a nivel de negocio, menos aún. El cambio de contraseña tiene que estar motivado por un incidente de seguridad, en el que tengas seguro que una contraseña ha sido comprometida. Cambiarlas "por si acaso" lo único que genera es problemas a tus usuarios, que cada vez elegirán contraseñas que tengan que pensar menos, ergo la seguridad del acceso a tus sistemas será cada vez más débil.

#26 Y eso sí que es un problema...

#15 El post-it en el marco del monitor es ya la repera (visto con mis propios hojos).

#19 Después de un incidente de seguridad las contraseñas deben cambiar, obviamente, pero también deben cambiar cada cierto tiempo, aunque sea en periodos largos.

Doy soporte a servidores que tienen la misma clave desde 2003. Desde entonces ha pasado mucha gente por mi departamento, entre los que despidieron, los que se fueron a otro departamento y los que se jubilaron. Es decir, demasiada gente que ya no vive aquí sigue teniendo las llaves de la casa.

#21 Chorizo_Arrogante_Culea+69

#15 Al menos esa libreta exige acceso físico. Mucho más seguro que un word en Dropbox.

#5 Yo hago eso. ¿Te conozco?

#26 Hace poco que un amigo me sugirió un algoritmo para generar contraseñas diferentes peros según un mismo patrón, que además tienen que ver con el nombre del sitio al que pertenecen. De esa manera te tienes que acordar solo de una palabra y un patrón, pero tienes una pass distinta y personalizada para cada servicio

si eso opinaban en Junio 2019... que opinaran ahora?

#49 y no es ContrasenaDeFacebook1, ContasenaDeGmail1

#39 No, si ya, pero es lo que hay, generalmente es lo que hace casi todo el mundo.

#49 Yo alguna vez lo tengo hecho también en algún sitio, lo malo es que si hay una filtración y alguien ve que tu contraseña es MENEAME123456, igual le da por probar en otros lados con ello

#21 Y luego hay otras páginas chorras que no permiten símbolos, con lo que tienes que andar probando...

#43 Pues sí, pero es como los números de teléfono, ¿cuántos se sabe la gente hoy en día de memoria? Al final le das a recordar contraseña y te tiras meses sin tener que meterla otra vez, si la usan distinta no suelen acordarse.

#1 Yo en una empresa para la que trabajaba hace años llevaba la cuenta del número de meses que llevaba trabajando con el numerito que añadía a la contraseña En aquel sitio no nos dejaban instalar nada así que no podía usar un gestor de contraseñas.

#5 por eso se suele configurar una edad mínima de la contraseña de 24 horas, para que mínimo esa rotación dure 10 dias y no tenga sentido

#42 “Hay que cambiar las contraseñas cada 30 días en caso de que alguien nos robe las contraseñas y decida usarlas el mes que viene.”

Estoy_hasta_los_cojones_debuscar_password1234

#45 Totalmente de acuerdo. La cuestión es que no le damos suficiente importancia a este área, aunque hay normativas que obligan específicamente a gestionarlas, definidas en muchos ámbitos (protección de datos, esquema nacional de seguridad, ISO 2700x, etc.), y que si nos saltamos a la torera nos pueden comprometer gravemente en caso de una brecha de seguridad, porque pasaríamos de un accidente a la negligencia.

#52 Con respecto a la contraseña MENEAME123456 manualmente probaría en gmail tu dirección de correo y la ontraseña GMAIL123456, pero obviamente en una herramienta automatizada no funcionaría.

Si un hacker malicioso hiciese un ataque dirigido en lugar de uno al tun tun a lo bestia a ver que sale usaría el método manual, ya que primero hubiera filtrado en los ficheros de claves tus direcciones conocidas de correo electrónico o algo que identificase a su víctima deseada y quizás dedujese el patrón.

#1¡ JAjajajajajajaja ojalá mis usuarios utilizasen esa!.

Abril2021, NombreDeLaEmpresa2021 son las oficiales homologadas para todos. Siempre me dicen que no se van a acordar, y yo siempre les digo, "dejate de numeros y simbolos raros, ¿te acordarías de MiHijoNuncaHaceLosDeberes ?

#36 Si la idea de la clave múltiple es buenísima. El problema era la implementación, caso real: tener un "tocho" de tarjetas de coordenadas que usar casi a diario. ¿Cómo se compagina eso con la usabilidad? Porque realmente no es práctico tenerlas en una caja fuerte e ir cada vez a buscarlas. Pues en un caso tenían fotocopias de las tarjetas (porque eran más finas) recortaditas y metidas en un sobre pegado bajo una mesa. En otro, estaban en una carpeta de la oficina. En otro tenían fotos en el móvil.

En cualquiera de esos casos la implementación se ha cargado el propósito de la tarjeta, porque no se consigue más seguridad. La clave antigua, si era medio decente y no estaba apuntada en ningún sitio, era mucho más segura.

#1 ¿Estás diciendo que más gente lo hace?

Microsoft dando consejos de seguridad

#60 Sí, al final esos ataques suelen ser automáticos y en la mayoría de los casos estarías a salvo. Pero la duda ahí queda

#47 yo he visto ficheros txt en el escritorio, que abrían mientras compartían pantalla con los clientes

Trabajando en un service desk, en mi vida había escuchado tanta blasfemia como cuando un usuario le ha caducado la contraseña y tiene que poner una nueva...

#53 O como alguna cosa puntual que piden en la contraseña y no es habitual hace que tengas que recuperar contraseña y cuando quieres poner una nueva ¡Sorpresa! tu contraseña no puede ser la misma que quieres cambiar.

#45 primera norma de seguridad: si despides a alguien revoca las contraseñas a las que tiene acceso ANTES de despedirle.

#35 jaja, y para los sistemas que tienen control para que no pongas contraseñas parecidas:

Juan1uno
Juan2dos
Juan3tres
Juan4cuatro
Juan5cinco
...

#61 al final, poner una frase, es bastante seguro.

#9

Salvo que ya fueras un militar de esos medio zumbado que llevan la biblia hasta para cagar y creas que hay que destruir al anticristo.

#49 el problema de las contraseñas con patron es que si te piratean una pueden intentar:
usar esa misma en otros sitios.
probar a cambiar la parte que huela a patron.

#44 yo ahí tengo mi número de teléfono, que no me sé el del trabajo y siempre lo tenía que estar buscando jaja, pero seguro que la gente se piensa que es una contraseña.

#47 espero que ese word en Dropbox no sea donde se guarde la contraseña de Dropbox.

#53 o páginas con cosas importantes que no te dejan meter más de 8 caracteres y además exigen símbolos que en el algoritmo caían después del 8⁰

#61 te falta al final un $1 o un 01.

#33 me llamó mi madre el otro día porque en una compra por internet, en una página en la que lleva años comprando, le pidieron el pin de la tarjeta. Supuse que sería la pasarela del banco pero por si acaso no la puso. Toda la vida diciendo que no hay que poner en internet el número de la tarjeta y el pin, que luego te roban y ¿hay bancos que en esta época de autenticación en 2 pasos te piden el pin? A algunos listos habría que fusilarlos

#5 pero eso es un sistema mal diseñado porque no debe dejarte realizar tantos cambios de la misma contraseña en poco tiempo

#74 ¡Qué buena idea! Poner una contraseña falsa, escrita a mano con algún caracter que no se entienda. Si un día te encuentras que se ha bloqueado el acceso a tu cuenta es que alguien ha estado trasteando.

#45 Hombre, es que una contraseña compartida ya es un riesgo gordote en si mismo.

#18 ¿Guardando contraseñas en texto claro?

#69 Damos soporte a sistemas legacy que llevan más años en producción que yo trabajando en esto (y posiblemente algunos tengan las contraseñas que tenían los sistemas que les precedían). Cambiar las contraseñas de administración de los sistemas es una tarea titánica. Contraseñas hardcodeadas en scripts, sistemas en los que cuando cambias la contraseña tardan quince minutos en aplicar el cambio porque la base de datos de usuarios está hecha unos zorros...

Tenemos un gestor de contraseñas, pero seguro que hay copias, además de gente que insistía en copiar las contraseñas en los procedimientos.

Lo de bloquear las cuentas personales de las personas que dejan de trabajar en la organización se hace correctamente. Lo demás no tanto.

#5 Lo mejor es un texto de la Biblia, hay millones de combinaciones

Juan 16:3

Genesis2:4

Apocalipsis 21:4

#81 ¿Ya, pero como gestionas las contraseñas de las consolas y de los usuarios administradores genéricos en servidores?

Y lo mismo en aplicaciones que tenían un usuario administrador genérico. Teniendo un solo administrador lo resuelves, pero entonces hablamos de otro riesgo aún mayor.

#62 la idea de la clave múltiple, con cierto soporte físico o en el móvil, será algo con lo que los torpes de la oficina no dejarán hacer otra cosa a los informáticos. Eso y cambiar constantemente las contraseñas.

#78 son las nuevas medidas de seguridad provenientes de la union europea.

#29 Simplemente como curiosidad sobre qué clase de persona aporta un comentario tan tan profundo, constructivo e interesante como #8

Si hasta deja el emoticono de malote para el final. Lo que no entiendo es por qué me votan negativo. Ni que hubiera insultado.

#12 quizá dar por saco con el cambio continuo de contraseñas y obligarte a instalarte aplicaciones en el móvil lleva, a la larga, inevitablemente a obligarte a una autentificación biométrica, regalando por tu parte información vital e inmodificable, con tal de huir del calvario de calentarte la cabeza con los otros sistemas.

#45 Yo entendía lo de "evento de seguridad" de una forma muy amplia, por ejemplo, una contraseña compartida tiene que cambiar cuando efectivamente cambian los administradores, incluso antes para evitar venganzas.

#1 Bajo ningún concepto deberías tú saber las contraseñas de tus usuarios.
Me da a mí que tu empresa tiene agujeros más importantes que la rutina de cambiar el pwd cada mes.

A mí me tienen hasta las narices con el cambio de contraseña, pero he aprendido a hacer de la necesidad virtud y meto siempre las palabras del idioma que estoy aprendiendo que más se me resisten. La anterior fue vörubill$$$...

#90 Efectivamente los administradores nuevos deberíamos cambiar las contraseñas al llegar. En mi caso el problema es que administro un parque de cacharros muy enorme y heterogéneo. En cinco años hay dispositivos a los que aún no me he conectado nunca. Quizás el enfoque del cliente es erróneo y alguien le tiene que explicar que tener equipos de menos personas administrando cada vez más cosas es inviable, que se pierde conocimiento, que resolver problemas es cada vez más difícil y que el ahorro de costes le pone en un riesgo muy elevado.

Pero los demás competidores del sector también lo hacen.

#5 te deja cambiar a la décima por la que tenías ?

#88 El menosprecio es peor que un insulto.
Lo que tiene tela es que encima llores por los negativos.

#85 Sí, sí, está claro, pero precisamente... compartir contraseña es un riesgo grande, así que, si no queda otro remedio, una razón de más para tener especial cuidado en cómo gestionarlo cuando uno de los que la conocen deja la empresa.

#53 O no puede ser más de X caracteres como microsoft. A las que hacen eso les pongo insultos.

#88 Eres un caso digno de estudio. Eso es innegable

#66 ¡La virgen santa!

#7 Uff, muy astuto, me has jodido!