tag:blogger.com,1999:blog-21555208.post3716058264156162828..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: Hay que acabar con las passwords complejas en servicios onlineChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger18125tag:blogger.com,1999:blog-21555208.post-72694574532893009982014-07-20T23:03:23.314+02:002014-07-20T23:03:23.314+02:00Yo apunto todos mis "user" y todas mis &...Yo apunto todos mis "user" y todas mis "password" en una libreta. Y eso es siempre lo recomiendo a familiares y amigos que suelen poner la misma contraseña en todos los sitios. Y ya han perdido cuentas en, por ejemplo, Google o Hotmail, por no acordarse si se llevan un tiempo sin entrar o porque tienen creadas más de una cuenta en un mismo sitio web.<br />Y eso, apuntarlo todo en una libreta, es una costumbre que cogí hace ya años. Como siempre, es mejor coger una costumbre antes que lamentarse.<br />Adiós.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71505531856943116792014-07-05T03:52:38.943+02:002014-07-05T03:52:38.943+02:00Jesús, recuerdo una historia de un programador fa...Jesús, recuerdo una historia de un programador famoso en una conferencia que puso su pass a lo " hola.soy55.blackhack ", el tipo salio corriendo porque le estaban haciendo en todos los servicios en los que estaba escrito. Por cambiar black.. por Facebook. ..Bitcoiner y fan de Latch y Malignonoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-67181896946108492512014-07-04T11:08:41.645+02:002014-07-04T11:08:41.645+02:00Yo creo que las contraseñas tienen que ser complej...Yo creo que las contraseñas tienen que ser complejas, pero no difíciles. Me explico, lo que no tiene sentido es tener una contraseña de 16 caracteres hexadecimales aleatorios para el correo, otra para el Facebook y otra para el Dropbox. Porque eso no lo recuerda ni el tato, y acabas jorobando el tema apuntándolas en un papel o desastre similar. Pero tampoco hace falta irse al otro extremo, que es poner "pepito1234" en todas partes, y palante. Un término medio es poner contraseñas diferentes, pero usando siempre el mismo criterio. Por ejemplo, usando "corr-pepito-01" para el correo, "face-pepito-01" para el facebook, y así sucesivamente. De esta manera tenemos contraseñas relativamente fuertes (son diferentes entre servicios, largas y con caracteres diferentes de letras), pero triviales de recordar.Jesúshttps://www.blogger.com/profile/12409405192533104737noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-20582129215707683932014-06-28T15:08:32.755+02:002014-06-28T15:08:32.755+02:00esto de las pass es un gran tema, y de que sea sim...esto de las pass es un gran tema, y de que sea simple para la usuarios finales es lo ideal. (ya a nivel corporativo ó gubernamental, tendrían que asegurarse de otras maneras) Y también creo, que el tema pasa por educar al usuario de hogar y al admin, al uso de las mismas. No creo que sea un tema menor. El 2fa es un buen sistema, luego vamos a pasar al 3fa, 4fa y así. y no olvidemos la ingenieria social, el trashing, etc.pilinxnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-16074463296207881242014-06-28T15:08:15.406+02:002014-06-28T15:08:15.406+02:00esto de las pass es un gran tema, y de que sea sim...esto de las pass es un gran tema, y de que sea simple para la usuarios finales es lo ideal. (ya a nivel corporativo ó gubernamental, tendrían que asegurarse de otras maneras) Y también creo, que el tema pasa por educar al usuario de hogar y al admin, al uso de las mismas. No creo que sea un tema menor. El 2fa es un buen sistema, luego vamos a pasar al 3fa, 4fa y así. y no olvidemos la ingenieria social, el trashing, etc. pilinxnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-43031389475394626862014-06-28T02:16:48.946+02:002014-06-28T02:16:48.946+02:00Y hablando de contraseñas seguras qué opinas de us...Y hablando de contraseñas seguras qué opinas de usar servicios como LastPass o Password? Ya que son tan largas o son tan diferentes las que creamos que tal o qué ventajas o desventas de sobre un servicio como este?<br />Salu2problemasconsuordenadorhttps://www.blogger.com/profile/05408499159522618619noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-65062302922093386792014-06-28T02:15:03.282+02:002014-06-28T02:15:03.282+02:00Un ejemplo claro de que es mas seguro algo incluso...Un ejemplo claro de que es mas seguro algo incluso sin passwod que con la password mas chunga del mundo mundial :) pero yo sigo siendo vulnerable :(<br /><br />He dicho¡Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-22585229504636632982014-06-28T02:09:40.389+02:002014-06-28T02:09:40.389+02:00Buenas,
Totalmente deacuerdo Dr.Maligno.
No sirve ...Buenas,<br />Totalmente deacuerdo Dr.Maligno.<br />No sirve de nada poner contraseñas robustas si los servicios online no ponen de su parte y dejan en pelote a sus clientes, Muy mal¡ Caca Cacota¡ Pues a mi proveedor de Hosting; Webnode.es les mande esto el 12 de jun. 2014:<br /><br />Buenas, <br />Hola mi nombre es Jonathan, vivo en las Islas Baleares, apasionado a la informática y su seguridad en especial y cliente de Webnode.<br /><br />Hoy me encontraba con tiempo(estoy en paro, osease todo el del mundo)XD y he realizado algunas pruebas a ver que ocurriría si alguien atacara mi red y realizase un ataque Man-in-the-middle y/o mediante Phishing (en el segunado ataque la responsabilidad reside en principalmente en el usuario)el obtener mis credenciales ha resultado muy sencillo ya que no implementáis el protocolo HTTPS ni encriptais las passwords.<br /><br />Mi consejo es el siguiente:<br />Pueden empezar o bien Encriptando las Passwords de los clientes en el Login de inicio de sesión para editar la web o implementando el protocolo HTTPS para para complicarle las cosas a los atacantes para que en caso de un ataque Man-in-the-middle, captura de Cookies(mediante Phishing cagada la emos) pues una vez obtenido las passwords si se dirigen al login del sitio entraran sin problema alguno :(<br /><br />Otra opción seria implementar la verificación en dos pasos como en Google o similar. Saber mas: http://www.google.com/intl/es/landing/2step/<br /><br />Pero si lo que quieren es algo fuera de serie y mas sofisticado, estar actualizados y a la altura de los mejores les recomiendo Latch, un servicio de Eleven Patch, la start-up de Telefónica dirigida por Chema Alonso, propone un sencillo y muy práctico sistema para proteger tus cuentas y servicios online. <br />¿En qué consiste? Saber mas: https://latch.elevenpaths.com/<br /><br />El implementar algunas de estas medidas de seguridad les ahorrara muchos quebraderos de cabeza y ese tiempo lo pueden emplear en otras cosas y no "perderlo" pidiendo disculpas y explicaciones a todo aquel que le ocurra, que no haya ocurrido no quiere decir que no pueda ocurrir, mas vale prevenir que curar :)<br /><br />Atentamente: Jonathan Novel<br /><br />PD: Queres es poder, visto lo visto, ajo y agua... yo protejo a mis usuarios o lectores eliminando el registro al sitio :)<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-18907630998526720992014-06-27T18:10:24.771+02:002014-06-27T18:10:24.771+02:00Hola, Chema.
Llevo siguiendo tu blog desde que lo...Hola, Chema.<br /><br />Llevo siguiendo tu blog desde que lo descubrí hace un par de meses, y quiero felicitarte por tu trabajo.<br /><br />Es muy fácil hacer críticas destructivas. No se necesita demasiado para ello. Personalmente pienso que tienes toda la razón en los planteamientos, y considero LATCH como una magnífica innovación en seguridad. Sería absurdo no hablar de ella y evitar darla a conocer en tu propia página.<br /><br />Llevo programando desde 1986, y hoy me has hecho replantearme los mecanismos de seguridad de mi proyecto actual.<br /><br />Un abrazo, y mi agradecimiento por tus aportaciones.<br /><br />Francisco del Aguila.Francisco del Aguilahttps://www.blogger.com/profile/03707350476676262072noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-84383102053608526442014-06-27T16:39:35.892+02:002014-06-27T16:39:35.892+02:00@Anónimo, por eso digo que "hay que acabar co...@Anónimo, por eso digo que "hay que acabar con ellas" y les mando deberes a los servicios online. A Google, Microsoft, Apple, etcétera se las supongo.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-44801353582139548322014-06-27T16:30:19.620+02:002014-06-27T16:30:19.620+02:00Hola, coincido contigo en todo Chema, pero en real...Hola, coincido contigo en todo Chema, pero en realidad ¿cuántos servicios tienen todos estos deberes hechos de forma eficaz?<br /><br />Si resulta que estos son solo unos pocos ¿lo único que quedaría sería intentar utilizar una contraseña compleja desde nuestro lado para, por lo menos, dar algo más de dificultad ante ciertos ataques?<br /><br /><br />Un saludo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-65187592799310652602014-06-27T16:30:05.843+02:002014-06-27T16:30:05.843+02:00Hola, coincido contigo en todo Chema, pero en real...Hola, coincido contigo en todo Chema, pero en realidad ¿cuántos servicios tienen todos estos deberes hechos de forma eficaz?<br /><br />Si resulta que estos son solo unos pocos ¿lo único que quedaría sería intentar utilizar una contraseña compleja desde nuestro lado para, por lo menos, dar algo más de dificultad ante ciertos ataques?<br /><br /><br />Un saludo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-63634558600384998732014-06-27T15:50:26.088+02:002014-06-27T15:50:26.088+02:00@Anónimo, no soy yo el único que dice que las cont...@Anónimo, no soy yo el único que dice que las contraseñas hay que acabar con ellas. Me encantaría que yo hubiera sido el ideólogo de esta teoría completa, pero no es así. <br /><br />Este artículo está muy centrado en las contraseñas de Servicios ONLINE que tienen unas características muy concretas, tal y como he desarrollado en el artículo. ¿a parte de intentar meterte conmigo has querido rebatir algún "lineamiento" de mi argumentario?<br /><br />Citas a los bancos, y tras hablar mucho con ellos, su deseo es rebajar la complejidad de la password al mínimo. De hecho algunos piensan volver al PIN y dejar el motor antifraude por detrás.<br /><br />Las passwords complejas hay que usarlas en sitios donde tengan sentido, como cuando el atacante puede tener acceso físico a ellas - por eso he hablado claramente de Servicios Online y el cracking de la base de datos tras un owning -.<br /><br />Por último, si no pensase que Latch tiene sentido no lo hubiera creado e invertido tanto cariño y tanto amor, pero en este sitio habla de 2FA en general, incluido Latch, Google Authenticator y SMS (que también vendemos en Telefónica).<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-66359651186896737592014-06-27T14:33:54.099+02:002014-06-27T14:33:54.099+02:00Te felicito Chema, te habéis convertido en todo un...Te felicito Chema, te habéis convertido en todo un charlatán! Todo esto lo dices para justificar el hecho de que tu producto Latch, no soporta contraseñas seguras, las cuales haz recomendado durante décadas en este blog, para no quedar mal ahora lo justificas subliminalmente. <br /><br />Podrás ser un gurú de la seguridad informática, pero no eres una autoridad ni ente regulador en la materia. Lo que recomiendas viola lineamientos de seguridad establecidos para empresas y bancos por razones de peso. <br /><br />Te estoy perdiendo todo el respeto. En este blog no pasa un solo artículo sin que queráis vendernos a fuerza uno de tus libros o productos. Actuáis igual que los magufos y mediocres.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-91130522784936032422014-06-27T13:21:36.941+02:002014-06-27T13:21:36.941+02:00Latch hasta en la sopa...Latch hasta en la sopa...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-29490842091128590092014-06-27T12:15:35.075+02:002014-06-27T12:15:35.075+02:00Hola Chema, coincido contigo, llevo mucho tiempo p...Hola Chema, coincido contigo, llevo mucho tiempo pensando en que las contraseñas seguras son una absoluta molestia y además siempre se olvidan. Voto por 2FA como Latch. <br /><br />El tiempo hablará.<br /><br />Saludos!Daniel Ferreirahttps://www.blogger.com/profile/06379416899268270642noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-2784928122262765772014-06-27T11:15:59.981+02:002014-06-27T11:15:59.981+02:00¿Y los que utilizamos gestores de contraseñas (Kee...¿Y los que utilizamos gestores de contraseñas (KeePass, p.ej.) para guardar las credenciales de todos los sitios en los que estamos registrados?<br /><br />Empiezo con las <b>desventajas</b>:<br /><b>1-</b> Las contraseñas de los correos "piedra angular" nunca se guardan en estos gestores => hay que sabérselas sí o sí y proteger estas cuentas con 2FA.<br /><b>2-</b> Cada que que arrancas el sistema, muy probablemente lo primero que hagas es abrir el gestor de contraseñas.<br /><b>3-</b> Relacionado con 2, dependes de un programita para poder iniciar sesión en los sitios. Ese programita puede que no esté disponible para todas las plataformas (KeePass está programado en .NET, por ejemplo).<br /><b>4-</b> Relacionado con 2 y 3, aparte de depender del programa, dependes de traerte siempre los almacenes de contraseñas. Y ya que estamos, por si se nos pierde o nos roban el pendrive, no está de más utilizar TrueCrypt para proteger además otros datos (sigo sin encontrar alguna alternativa, y tampoco creo que a la NSA le interese por ahora mi pen).<br /><b>5-</b> Hablando de Truecrypt y de la NSA, ¿puedo fiarme de mi gestor aunque sea código abierto?<br /><br />Sigo con las <b>ventajas</b>:<br /><b>1-</b> De un vistazo tengo controlados todos los sitios en los que estoy registrado. ¿Le preguntamos al internauta medio que si sabe todos los sitios en los que se ha registrado?<br /><b>2-</b> Puedo colocar contraseñas todo lo compleja que quiera, total, luego hago un "Auto-type" con ofuscación de doble canal (teclado y portapapeles con avances y retrocesos al azar) y ya he iniciado sesión. Esto es mucho más robusto frente a keyloggers que la introducción manual de contraseñas, aunque no siempre funciona.<br /><br />Por último, comentar que no veo del todo claro esto de utilizar contraseñas "sencillas". ¿Puedo acordarme de 5 contraseñas sencillas? Probablemente, sí. Pero, y si de esas 5, ¿solo una la escribiría a menudo y el resto de pascuas a ramos? Total, que para no olvidarlas haría lo que hacen muchos: utilizar la misma pass para todo. Lo que nos lleva inevitablemente al gestor de contraseñas para gestionar responsablemente nuestra "vida digital". Siempre está la opción de usar pass fáciles para los servicios utilizados más a menudo (simpre que tengan 2FA), respaldadas en un gestor que almacene además, todas aquellas credenciales que por infrecuentes nunca nos acordaríamos.Lector habitualnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-19433474279915207302014-06-27T10:44:37.013+02:002014-06-27T10:44:37.013+02:00¿y así?
http://xkcd.com/936/¿y así?<br />http://xkcd.com/936/redondeadohttps://www.blogger.com/profile/02133018935588777174noreply@blogger.com