TECNOLOGíA, INTERNET, JUEGOS
116 meneos
6357 clics
Este envío tiene varios votos negativos. Asegúrate antes de menear

Dos hackers españoles demuestran con una herramienta lo fácil que es reventar contraseñas...

Si crees que tu contraseña es segura porque has puesto símbolos y números, la herramienta de estos hackers españoles demuestra que los usuarios somos previsibles.

| etiquetas: informát , seguridad , contraseñas , 2 hackers , demuestran , facilidad , reventar
59 57 23 K 13
59 57 23 K 13
Y recordar que por muy segura que sea no vale para nada si la usamos en todos los sitios. Por eso lo mejor es un generador random que guarde y gestione nuestras contraseñas, como KeePass.
#5 Estamos de acuerdo. Leeme en #1
#5 Que guarde y gestione? jojo
#16 #19 #30 Está claro que todo es vulnerable. Para algunos es mejor apuntar en un papel todas las contraseñas, otros se conforman con "password1234". Keepass es un punto medio que ofrece una posibilidad de gestionar las contraseñas aceptablemente segura y suficientemente sencilla. Pero cada cual que haga lo que estime oportuno, faltaría más.
#61 Eso es cierto. Al menos hasta que se encuentre una vulnerabilidad en keepass y entonces las contraseñas valdrán lo mismo que 1234.

Keepass está bien para cosas poco importantes como foros y tal. Pero las cosas críticas sólo deberían estar apuntadas en el cerebro. También por ahora.
#62 Yo utilizo "pass" via terminal, junto con un script y xsel.

www.romanzolotarev.com/pass.html
#62 Corre, ponle un email a Kevin Mitnick y le cuentas eso. Usar Keepass para contraseñas de foros xD xD :palm:
#61 en un postit en el monitor
#96 Lo más habitual en todas las empresas xD
#5 pues después de haber trabajado en banca... Ver como las tarjetas se guardaban hasheadas sin salt...(saludos excompañeros) o bancos que permiten saltarse el OTP aun habiéndolo reportado mientras trabajábamos con ellos (en España que yo sepa hay 2 si no son 3 que llevan unos 4 años con este problema)... Como para fiarme del keepass xD
#5 o el punto intermedio. Para las cosas críticas una contraseña difícil como el e-mail, banco, etcétera. Para el resto de cosas tener diferentes categorías de Seguridad. Alto, medio, bajo. Así añ final sólo tienes que recordar un puñado de contraseñas.
Lo que hace segura una contraseña es el número de caracteres. Meter números y símbolos solo sirve para que sea más difícil recordarla.
#12 En realidad no. Es justo al contrario.
Cuando utilizas fuerza bruta para acertar la contraseña el tiempo que lleva depende de la complejidad y la complejidad depende de longitud de la contraseña y número de caracteres.
A menos caracteres menos complejidad, menos tiempo para romperla.
Mucho menos tiempo.

Ejemplo.
Solo minúsculas. Contraseña de 8 caracteres: 282429536481 combinaciones.
Mayúsculas y minúsculas. Contraseña de 8 caracteres: 72301961339136 Combinaciones.
Mayúsculas, minúsculas y asterisco: 83733937890625 Combinaciones
#18 Contraejemplo:

Akm7$2@M: It would take a computer about 9 HOURS to crack your password.
micocheesrojo: It would take a computer about 2 YEARS to crack your password.

Y ya si utilizamos mayúsculas y minúsculas:

MiCocheEsRojo: It would take a computer about 16 THOUSAND YEARS to crack your password.

howsecureismypassword.net
#38 Exacto. Esa moda de las contraseñas "complicadas" solo dan lugar a que acabe apuntada en un post-it, o un esguince de meñique.
#45
"Akm7$2@M" 8 carácteres.
"micocheesrojo" 14 carácteres.

Haciendo trampas al solitario a cualquiera le salen los números que quiera.
#58 Puede que no te hayas dado cuenta pero es precisamente de lo que hablaba el mensaje original que ha iniciado la conversación:

“Lo que hace segura una contraseña es el número de caracteres.”


Y tu respuesta ha sido:

“En realidad no. Es justo al contrario.“

Mi ejemplo señala que una contraseña que solo cuenta con caracteres en minúsculas es más segura que una contraseña con mayúsculas, minúsculas, números y símbolos. Que es lo que él señalaba originalmente y que tú le has corregido: es más segura una contraseña larga que una más corta aleatoria y compleja.

Por supuesto a misma longitud va ser más segura una contraseña compleja.
#67 A ver así.
El número de combinaciones de posibles para una contraseña de longitud L y que puede tener C caracteres por cada posición es:
LC

con nivel ESO de matemáticas deberías entender porqué C es muchísimo más importante que L.
#67 Es sencillo pero da igual. No lo entiende.
#38 Mierda (con perdón) de ejemplo que has puesto.
La primera contraseña es de 8 carácteres y la segunda de 14.
Así también hago yo las cuentas.

¿Sabes lo que se tarda tu ejemplo del coche si lo reduces a 8 caracteres como el ejemplo de arriba?
It would take a computer about
5 seconds
to crack your password


Así que a igual longitud la del coche tardaría en romperse 2 segundos y la de los signos de puntuación 9 horas.
#56 Pero qué trampas al solitario ni qué ejemplo de mierda? Precisamente lo que se está diciendo es que es mejor una contraseña larga a una compleja.

Si es larga y compleja, mejor; es obvio. Pero si vas a meter caracteres especiales, números y mayúsculas en una contraseña de 8 caracteres que vas a olvidar, pues mejor utiliza "micocheesrojo": una de 14 que puedes recordar.
#64 Joder que no es tan difícil.
A igual longitud cuantos más caracteres mayor al complejidad siendo la cantidad de caracteres lo que más pesa en la complejidad por que es la potencia.
#72 Que es, en definitiva, lo que había dicho #12.
#73 Al contrario, lo que dijo 12 es justo al contrario:
Lo que hace segura una contraseña es el número de caracteres. Meter números y símbolos solo sirve para que sea más difícil recordarla.
En ese contexto caracteres es "cantidad de letras de la contraseña". por que de lo contrario la segunda parte "Lo que hace segura una contraseña es el número de caracteres. Meter números y símbolos solo sirve para que sea más difícil recordarla" sería decir justo lo opuesto de lo que dice en la primera parte.
#75 Ya te lo he explicado en #64.

# Meto un break para romper el bucle

break;
#72 creo que no deberías hablar con gente que no aprobó la eso
#76 Me estoy pensando hasta hablar con los de carrera universitaria.
Cada día hay que explicar más todo y darlo mucho más mascado para que se enteren menos.
#77 el tema es la ESO si son de la eso, da igual que tengan carrera
#80 Ya te digo que lo noto. A todos los niveles.
Las pocas veces que comento algo mido las palabras con un cuidado exquisito intentando que no haya margen a la interpretación.
Da igual, la gente no lee lo que escribes solo escuchan sus sesgo de confirmación y se "figuran" que lo que "quieres decir".
#72 joder, que no es tan difícil. Ha que las contraseñas sean de 20 dígitos sin ninguna restricción y no las limites a 8 como se hace ahora en muchos sitios y las tendrás mucho mas seguras. No hay ninguna ley física que limite las contraseñas a 8 dígitos. ¿Por que seguimos con eso?
Lo que has dicho es cierto pero ¿por qué no permitir esos 20 caracteres? Si en vez de una palabra es una frase sería mucho mas fácil de recordar y a la vez mas segura. Esto es lo que te están diciendo y lo que ha dicho #12
#18 Eso es si el atacante conoce el espacio de clave.
#46 No. El atacante tiene que determinar que set de caracteres utiliza para hacer el brute force.
Cuanto más reducido sea tu set de caracteres más fácil es que te lo revienten porque en la práctica hacen falta menos combinaciones.
#57 Pero el atacante no sabe qué set de caracteres esta usando tu contraseña, a no ser que le sistema padezca de information leaking por alguna parte.

Las combinaciones para petar una clave como hola1234 no son siempre las mismas. Con un espacio de clave más grande tardarás más tiempo en petarla.
#63 El atacante no va a utilizar por defecto un set de 256 posibles caracteres que es el máximo en ascii por que tardaría una eternidad en descrifrar la contraseña por corta que fuese.
Por eso se escogen sets de caracteres más o menos reducidos al hacer bruteforce. Por ejemplo mayúsculas, minúsculas y algunos signos de puntuación.
Cuantos más caracteres añadas al bruteforce, más aumentas el tipo exponencialmente.
Por eso cuantos más caracteres añadas a la contraseña, más facil es que uno o varios de esos caracteres no los hayan incluido en el bruteforce.
#74 Si lo que dices es correcto, pero una cosa no quita la otra: El atacante nunca sabe que set de carácteres ha usado el usuario para el password.
Keepass o similares: te ponen la fortaleza de la contraseña, te permiten generar contraseñas aleatoriamente (aunque yo prefiero toquetearlas aún más )...
También cambiar las contraseñas cada 6 meses (lo reconozco, yo no lo hago porque no me quiero pegar dos o tres horas haciéndolo).
#1 Yo desde ha2ce tiempo uso KeePass tanto en Linux c2omo en Windows y siempre una 2contraseña para 2cada sitio. 15 caracteres incluyendo mezcla de mayúsculas, minúsculas, números, símbolos especiales y mínimo uno de cada.
#1 #10 ¿Y eso de que os sirve? los investigadores no hablan de que las contraseñas sean demasiado cortas sino de que son predecibles, tipo 121212 o nombres de allegados, pero si es aleatoria llega con ocho caracteres, básicamente porque el sistema no debería permitir la fuerza bruta.

Cambiar la contraseña cada seis meses... Microsoft www.europapress.es/portaltic/ciberseguridad/noticia-microsoft-eliminar;   » ver todo el comentario
#13 Luego la pones en un postit o la apuntas en el block de notas...
#32 Si, en el bloc de notas que está guardado dentro del rack de telecomunicaciones, a ver cómo viene el hacker a abrirme el rack de casa. xD
#10 tus contraseñas están repletas de doses?
#89 No, es el teclado que ha empezado a fallar se me pasó corregir esos fallos, cuando escribo una "c" me pone además un "2" y algunas otras raras.
#94 te deseo que ninguna de tus 2contraseñas tenga una "c2" :-P

Suerte c2on tu te2clado!
#97 pues por eso me di cuenta de que fallaba, al poner la contraseña, no solo es el problema de la c, pasa a la inversa, pero también con otras teclas al pulsar 5 también envía un Enter y viceversa, al borrar pone una x y así con varias teclas, pero ya lo tengo en la caja para cuando pase por el punto limpio, eso si alguien no lo quiere antes para piezas.

Ahora estoy con MK320 que tenía guardado para estos casos, pero no parece tan cómodo, o me engordaron los dedos o las teclas están muy juntas.
#1 Chrome ya lo hace directamente... Qué ventajas tiene Keepass?
#27 para mi? Lo uso en todas mis plataformas, independientemente del navegador, y puede guardar contraseñas que no son de webs.

Adicionalmente, como lo tengo montado ahora es más seguro que chrome
#27 Que es lo que hace Chrome ¿Guardar las contraseñas con acceso en configuración? ¿Tiene un generador pseudo-aleatorio de contraseñas con varias opciones?


Database Encryption
Key Hashing and Key Derivation
Protection against Dictionary Attacks
Random Number Generation
Process Memory Protection
Enter Master Key on Secure Desktop (Protection against Keyloggers)
Locking the Workspace
Viewing/Editing Attachments
Plugins
Self-Tests
Specialized Spyware…   » ver todo el comentario
#27 la primera es que no es de Chrome.
#27 Que se libra de cualquier bug del navegador que dé acceso a las contraseñas guardadas en él.
#1 Yo utilizo enpass, lo pagas una vez y ya es tuyo para siempre, usé keepass pero tenía el problema de que no era multiplataforma. Puedes guardar tu archivo de contraseñas en drive y te lo sincroniza automáticamente entre dispositivos, tienes app de windows, linux, android e ios, extensiones para navegador, te informa de qué contraseñas tienes comprometidas o repetidas y tiene API para programadores si quisieras integrarlo. Aparte tienen foros en los que te resuelven dudas y problemas.…   » ver todo el comentario
#52 Yo también...

Desde que la descubrí, no puedo vivir sin esa app.

La uso en Windows 10, Vivaldi, Android (móvil y tablet)... Me parece una maravilla.

Aparte, he activado 2FA en todas las cuentas que lo soportan y lo gestiono desde Authy.
#52 Me interesa... Podría importar la base de datos de Keepass? Gracias.
Yo estoy blindado, pongo contraseñas y luego tengo que usar lo de recuperar contraseña porque no me acuerdo cual era :shit:
No voy a descubrir América y seguramente alguno ya conocía el método, pero el otro día me explicaron como poner una contraseña de dificultad alta-muy alta. Es muy simple, aunque cuesta un poquito recordarla.

Consiste en escribir una frase que podamos recordar fácilemente alternando mayúsculas y minúsculas.

Ej. El patio De mi Casa es Particular cuando Llueve se Moja como Los demás. (Sí, lo sé, soy muy viejo)

Ahora cogemos la primera letra de cada palabra respetando mayúsculas y minúsculas: EpDmCePcLsMcLd

Añadimos un número que recordemos, por ejemplo el código postal: EpDmCePcLsMcLd28001

Y le añadimos algún signo ortográfico: *EpDmCePcLsMcLd28001!
#2 ¡Bingo! También es verdad que, creo, que en USA lo hacen poniendo pasajes de la biblia y les acaban pillando.
#2 o mas facil El_patiodemicasa_2018.

i.imgur.com/M5HeB5T.png
#4 No sé, sospecho que esa es susceptible de un ataque por diccionario.
#7 sin saber los simbolos de puntuacion adicionales ni el numero? ( _ y . ) ni de coña.
#9 Perfectamente. Los ataques por diccionario no son solo estáticos.
#44 Yo diría que no es como en las pelis cuando los malos intentan descubrir el código secreto para enviar misiles que van de uno en uno.
O tienes la contraseña completa o no sirve (y no sabes lo lejos que estás de ella)
Pienso.
#53 Así es, pero los ataques con diccionario se combinan con ataques de fuerza bruta. Los patrones de los usuarios son predecibles. Y el separar varias de las palabras con underscores: "_" es muy común. Lo mismo que apendizar números a la cadena de la contraseña.
#55 ya, pero si te das cuenta he usado _ solo en parte de las palabras con lo cual la dificultad se dispara.
#2 Y si te compras una Enigma, ahora pueden tener otro uso
#2 sugiero añadir aletoriedad dislexica:

El particular de mi patio es casa

O

Son los vecinos los que quieren que el alcalde sea el alcalde.
#15 Eso es hiperbaton, no dislexia
#17 Mi intención era referirme a la condición clínica subyacente que provoca dicha figura literaria.
#2 Ese es uno de los métodos que controlará su sistema, o si no lo hacen ya y se empieza a utilizar lo controlaran, ya que basan su análisis en bases de datos de contraseñas y si se usa mucho una forma de generarlas la red neuronal la "aprende" a utilizar.

Lo mejor un generador realmente aleatorio (que no es inmediato) y si es necesario un programa seguro para gestionarlas.
#28 El método del que habla #2 es demasiado aleatorio para poder ser controlado con bases de datos de contraseñas. La frase para crear la contraseña puede ser "el patio de mi casa" o puede ser www.meneame.net/c/28387010 , o puede ser cualquier otra frase de algún libro o similar.
#92 Filtrando X letras seguidas intercaladas mayúsculas y minúsculas y luego X números seguidos ya están filtrando muchisimas opciones aleatorias, si a esto le sumas que dos personas cojan la misma frase ya entraría dentro de diccionarios de contraseñas a probar.
#100 X letras seguidas intercaladas mayúsculas y minúsculas es un ataque por fuerza bruta, y eso no es un ataque por diccionario. Y para saber que dos personas han cogido la misma frase, primero hay que reventar una de esas contraseñas, y si las contraseñas son de ese tipo, difícilmente habrá dos iguales, porque habría que probar cada contraseña del diccionario cambiando las mayúsculas de sitio y una vez por cada número.
#2 O simplemente juntar 2 palabras alternando las letras de cada una de las palabras, convirtiendo en números alguna letra y añadiendo caracteres especiales.
Ejemplo asir + luna => A5ir + 1una! => A15uinra!
#2 y no te acuerdas en tu vida de ella jeje.
Así perdí yo una cuenta de google hace años, y la frase la recuerdo perfectamente jjew
#2 a ver como te acuerdas de 150 contraseñas de esas
#34 otro del Santander!
#48 jajajaja touché
Y luego llegan los bancos y te limitan a máximo 6 caracteres. O menos.
#23 Mi banco, ocho dígitos numéricos. Y de usuario, mi dni. Son la hostia.
No entiendo los negativos la verdad. Menéame es el resumen de las redes sociales hispanas: nueve motivos para quejarse y uno sólo para alabar.  media
Tonterías, yo en menéame uso qwerty123 y nunca me han juaqueado
#14 Mentiroso.
#14 Como te dice #65, eso es mentira. Si pones tu contraseña de verdad, el propio sistema de Menéame la sustituye por asteriscos. Por ejemplo, mira la mia: ***************
#69 A ver ***********
Edit: Ostia, es cierto
Lo más sencillo es que no se permitan ataques por diccionario, vamos que una web no te deje más de tantos intentos cada cierto tiempo.

Eso en webs y similares. Con un archivo zip no puedes evitar esto.
Los usuarios son más previsibles cuando se los obliga a ajustarse a restricciones.
Una teoría preciosa hasta que te acuerdas de que necesitas 30 contraseñas distintas y que algunas solo las utilizas de ciento a viento.
#31 Yo voy cambiando de web en web, pero usando siempre una parte fija, sobre mi anatomía. Ejemplos:
Menéame: Pollon25Mnm
Amazon: Pollon25Amz
Gmail: Pollon25Gml
#37 El problema ahí es que hay un patrón claro. Si consigo tu contraseña de menéame es fácil que adivine cual es tu contraseña en Amazon.
#37 Está muy bien. Así alguien que te conozca jamás supondría esa parte fija.
#37 creo que 25mm son 2.5 cm....
Yo no me se mis contraseñas. Hace tiempo que las gestiona el navegador por mi. Cuando me registro en algun lado me recomienda una contraseña aleatoria impronunciable.
Tanta seguridad al pensar la contraseña para que al final la roben de la pagina en la que te registras....
No soy tan mariquita como para leerme el artículo, encima ciego como estoy pero podría apostar a que han analizado los patrones que los listos nos pensamos que son tan infalibles.
Yo uso la app generadora de claves Villarejo, mano de santo.
Si usas un algoritmo para generar contraseñas, es más fácil averiguarlas
Que Keepass ni que Keepass, yo prefiero lo del siempre que nunca falla. Mi contrasena en el post-it de mi monitor. :-D
Lo que yo no entiendo es que si escribo mal tres veces mi contraseña me bloquea y sin embargo llega un robot o lo que sea y puede intentarlo mil veces impunemente.
manda cojones la tira de años que llevamos con las putas contraseñas y todavía nadie ha sido capaz de encontrar una alternativa
#26 ¿Qué ventajas esperas de una alternativa a las contraseñas?
#29 comodidad y seguridad ,no se a estas alturas la huella dactilar combinada con el iris no es algo que se podria usar ya ?
#26 disculpa, el mismo menéame usa OTP (one time passwords) que son mecanismos de autenticación que sustituyen a las contraseñas habituales...
#26 biométrica
#26 Se llaman certificados, pero muy pocas webs los implementan.
Vaya chasco de herramienta... El titular dice un cosa completamente distinta a lo que dice el artículo. Está de moda decir que todo está hecho con redes neuronales y esas palabrotas tan chungas, pero la realidad es que esa herramienta es incapaz de crear pares de credenciales, es decir es incapaz de correlar usuarios con contraseñas.

Que si, que pueden aportar mogollón de cosas chulis a la seguridad de la información, pero no es un revienta passwords.
#35 por eso es sensacionalista
«12
comentarios cerrados

menéame