Chema Alonso: "Hay que acabar con las contraseñas"

Archivado
1, 2
Buenas.

En el marco del Mobile World Congress, el director del Negocio de Seguridad Global de Telefónica ha hecho estas declaraciones:

http://www.elperiodico.com/es/noticias/ ... as-4926497

que a mí al menos me rechinan en algunos puntos:

Chema Alonso escribió:hay que acabar con las contraseñas", pues no son ni mucho menos el secreto que deberían ser: no solo conoce la contraseña el propio usuario, sino también el servidor, y por tanto pueden estar expuestas (ser robadas)

Para eso existe el cifrado asimétrico, por ejemplo. Y luego me propones que use mi móvil. ¿Eso no me lo pueden robar?

Chema Alonso escribió:Habréis oído muchas veces eso de que las contraseñas tienen que tener caracteres tipo mayúsculas, números, un punto... Pues eso no sirve de nada, es una chorrada

Sí que sirve para evitar ataques por fuerza bruta, o para evitar.que la puedan adivinar fácilmente.

Chema Alonso escribió:Por ello, muchas veces hay que recurrir al segundo nivel de seguridad para evitar la pérdida de los datos.

Bien. Un segundo nivel de seguridad no reemplaza a las contraseñas, sino que la complementa.

El Periódico escribió:Para evitar esos robos y como sustituto de las contraseñas, ha defendido sistemas de seguridad como el Mobile Connect, presentado en el Mobile World Congress [...]
al intentar acceder a un servicio, se le pide el DNI y su número de teléfono; y el sistema envía una señal mediante el canal de la SIM para comprobar que el usuario es realmente el que está frente al móvil. Según la seguridad requerida, puede pedir luego un PIN o incluso la identificación biométrica.

OK. ¿El DNI y mi teléfono no me los pueden robar? ¿Mi número de teléfono sólo lo sé yo? ¿El PIN no es una contraseña?

El Periódico escribió:Por ello, ha defendido el uso del móvil como forma de identificación pues "la cuenta de correo te la pueden robar, pero el móvil siempre va con los usuarios". "El teléfono móvil no te lo roban, se tiene siempre controlado. Y además está protegido, pues el usuario tiene derechos sobre el número de teléfono"

Ah! Que el móvil no te lo pueden robar....

Entiendo que el móvil añade una capa más de seguridad, pero no reemplaza a las contraseñas, pues son algo que sólo nosotros sabemos y que guardamos en nuestro cerebro.

Me parece que ha querido ir muy de guays y de cool, y creo que ha hecho unas declaraciones muy atrevidas.

Saludos!
Generalmente cuando alguien de Telefónica habla, o bien dicen tonterías, o bien dicen tonterías que suponen un menoscabo para los consumidores.
Lucy_Sky_Diam escribió:Generalmente cuando alguien de Telefónica habla, o bien dicen tonterías, o bien dicen tonterías que suponen un menoscabo para los consumidores.

Ya....me lo esperaba de su presidente, pero no de un "referente" en seguridad.

No sé....ya esperaba que me vendiera su producto, pero que no me venda la moto....que hay gente que le escucha y sabe del tema... ¬_¬
Habla para generar confianza y vender a su empresa, no hay más.

Coincido contigo totalmente. Una contraseña fácil te la revientan en hora hora y media, más con las bases estas gigantes que andan por internet
Azulmeth escribió:Habla para generar confianza y vender a su empresa, no hay más.

Eso está claro, pero joder, que se le puede cerrar la boca en un tris tras. Además, este hombre también tiene una reputación, ¿no? No se puede decir barrabasadas tan bestias. Maquíllamelo un poco, hombre de Dios [carcajad]
Vaya, ¿alguien ha reventado por fin el cifrado AES y yo no me he enterado? ¿O esto sólo es una maniobra para ponernos a todos bajo la piel unos chips con GPS como a los perros para tenernos vigilados?
banderas20 escribió:
Lucy_Sky_Diam escribió:Generalmente cuando alguien de Telefónica habla, o bien dicen tonterías, o bien dicen tonterías que suponen un menoscabo para los consumidores.

Ya....me lo esperaba de su presidente, pero no de un "referente" en seguridad.

No sé....ya esperaba que me vendiera su producto, pero que no me venda la moto....que hay gente que le escucha y sabe del tema... ¬_¬


A mi si una fortuna me va de por medio, me podrías ver decir cualquier cosa [360º] [360º]

Coge una contraseña, dale dos vueltas, girala 90º, luego barájala, cámbiale el nombre, métela en una SIM y dime qué le queda de contraseña ahora. Pues eso, como el PP, hace desaparecer el término "imputado" del ámbito jurídico y ya está, limpio de imputados.
Para evitar esos robos y como sustituto de las contraseñas, ha defendido sistemas de seguridad como el Mobile Connect, presentado en el Mobile World Congress [...]
al intentar acceder a un servicio, se le pide el DNI y su número de teléfono; y el sistema envía una señal mediante el canal de la SIM para comprobar que el usuario es realmente el que está frente al móvil. Según la seguridad requerida, puede pedir luego un PIN o incluso la identificación biométrica.

Acaba de descubrir la rueda el tío, ni que esto no se hiciera con los bancos y el doble check de algunas empresas (Google por ejemplo). Si no triunfa es porque para cosas del día a día es un coñazo.

Lo que no se es que hace el tío ese en seguridad, una base de datos de contraseñas con hash y salt es difícilisimo de petar, si acaso se puede, por lo que los servidores no suponen problema alguno si los técnicos hacen su trabajo. Cierto es que eso es mucho pedir vistas las filtraciones de contraseñas de los últimos años, con contraseñas en texto plano, pero eso no se soluciona con un doble check, pues se debe a la incompetencia del informático. Si es un incompetente, el doble check tampoco va a ser una solución, porque también lo puede implementar mal.
coyote-san escribió:Vaya, ¿alguien ha reventado por fin el cifrado AES y yo no me he enterado?

Eso he pensado yo [+risas] [+risas] [+risas] . Pero mola mucho hablar como él habla, vestido de Manu Chao en un foro como el MWC.
Hace mucho que Chema Alonso dejó de ser un referente en algo, vive de su imagen y cada vez que sale en la tele es para soltar fantasmadas. Además siempre ha odiado Linux y ha puesto a Microsoft como referente en seguridad, lo cual ya dice mucho sobre él.
dark_hunter escribió:
Para evitar esos robos y como sustituto de las contraseñas, ha defendido sistemas de seguridad como el Mobile Connect, presentado en el Mobile World Congress [...]
al intentar acceder a un servicio, se le pide el DNI y su número de teléfono; y el sistema envía una señal mediante el canal de la SIM para comprobar que el usuario es realmente el que está frente al móvil. Según la seguridad requerida, puede pedir luego un PIN o incluso la identificación biométrica.

Acaba de descubrir la rueda el tío, ni que esto no se hiciera con los bancos y el doble check de algunas empresas (Google por ejemplo). Si no triunfa es porque para cosas del día a día es un coñazo.

Lo que no se es que hace el tío ese en seguridad, una base de datos de contraseñas con hash y salt es difícilisimo de petar, si acaso se puede, por lo que los servidores no suponen problema alguno si los técnicos hacen su trabajo. Cierto es que eso es mucho pedir vistas las filtraciones de contraseñas de los últimos años, con contraseñas en texto plano, pero eso no se soluciona con un doble check, pues se debe a la incompetencia del informático. Si es un incompetente, el doble check tampoco va a ser una solución, porque también lo puede implementar mal.


Es cierto que las contraseñas entran en las aplicaciones totalmente peladas. Luego harán el paripé que quieran con la db pero registrar contraseñas está al alcance de cualquier developer.
josemurcia escribió:Hace mucho que Chema Alonso dejó de ser un referente en algo, vive de su imagen y cada vez que sale en la tele es para soltar fantasmadas. Además siempre ha odiado Linux y ha puesto a Microsoft como referente en seguridad, lo cual ya dice mucho sobre él.

Ya te digo, yo le he escuchado decir que el software libre es peligroso, y que linux no vale para nada por que no hay aplicaciones.
josemurcia escribió:Hace mucho que Chema Alonso dejó de ser un referente en algo, vive de su imagen y cada vez que sale en la tele es para soltar fantasmadas. Además siempre ha odiado Linux y ha puesto a Microsoft como referente en seguridad, lo cual ya dice mucho sobre él.


Hombre, que un especialista prefiera Microsoft a Linux ¿cuál es el problema?. Cuestión de gustos, supongo.

No obstante a este hombre le conocí hace unos años. El tio lo poco que vi parecía un crack. Otra cosa es que te esté vendiendo un producto (que no lo sé).
La única forma que se me ocurre para quitar las claves es usar la huella digital, o el reconocimiento del iris, reconocimiento facial, ese tipo de cosas.
pampero21 escribió:
josemurcia escribió:Hace mucho que Chema Alonso dejó de ser un referente en algo, vive de su imagen y cada vez que sale en la tele es para soltar fantasmadas. Además siempre ha odiado Linux y ha puesto a Microsoft como referente en seguridad, lo cual ya dice mucho sobre él.


Hombre, que un especialista prefiera Microsoft a Linux ¿cuál es el problema?. Cuestión de gustos, supongo.

No obstante a este hombre le conocí hace unos años. El tio lo poco que vi parecía un crack. Otra cosa es que te esté vendiendo un producto (que no lo sé).


En linux puedes ver el código que estás ejecutando. En windows/Mac la NSA te pone todas las puertas traseras del mundo y no te enteras porque sólo tienes el ejecutable, no el código.
Es un cantamañanas, un vende-humo y en los círculos de seguridad le hemos perdido el respeto por completo.

Se ha convertido en un empresario que ha venido a hablar de su libro. Lleva intentando meter Latch con calzador en todas las malditas conferencias a las que va. Como si es de Embutidos de Cuenca, le da igual.

Esta sufriendo el proceso de transformación de Mitnick, solo que este ultimo si que ha tenido una trayectoria y una vida interesante, mientras que Chema se vale de una leyenda que no esta a la altura y se pone las medallas de todo lo que hacen los pedazo de maquinas que tiene trabajando para él.


Chema Alonso... para lo que has quedado macho.
Shikamaru escribió:Es un cantamañanas, un vende-humo y en los círculos de seguridad le hemos perdido el respeto por completo.

Se ha convertido en un empresario que ha venido a hablar de su libro. Lleva intentando meter Latch con calzador en todas las malditas conferencias a las que va. Como si es de Embutidos de Cuenca, le da igual.

Esta sufriendo el proceso de transformación de Mitnick, solo que este ultimo si que ha tenido una trayectoria y una vida interesante, mientras que Chema se vale de una leyenda que no esta a la altura y se pone las medallas de todo lo que hacen los pedazo de maquinas que tiene trabajando para él.


Chema Alonso... para lo que has quedado macho.


Amén... amén.... +1

Saludos.
Shikamaru escribió:Es un cantamañanas, un vende-humo y en los círculos de seguridad le hemos perdido el respeto por completo.

Se ha convertido en un empresario que ha venido a hablar de su libro. Lleva intentando meter Latch con calzador en todas las malditas conferencias a las que va. Como si es de Embutidos de Cuenca, le da igual.

Esta sufriendo el proceso de transformación de Mitnick, solo que este ultimo si que ha tenido una trayectoria y una vida interesante, mientras que Chema se vale de una leyenda que no esta a la altura y se pone las medallas de todo lo que hacen los pedazo de maquinas que tiene trabajando para él.


Chema Alonso... para lo que has quedado macho.


+100

el jaker oficial de las tertulias televisivas...
Las contraseñas complejas no son seguras. Nunca lo han sido. Te infectan el equipo con cualquier keylogger, o te infectan la cache del navegador con cualquier js que se dedique a recoger los campos de contraseña en texto plano enviandolo al atacante y a tomar por culo toda la complejidad de las contraseñas.

Es necesario un segundo factor de autentificación para considerar las contraseñas medianamente seguras. Eso si, lo de eliminar las contraseñas es un campaña de marketin para sus propios productos de seguridad. De eso no hay duda. Yo no voy a jugar con eso. Paso soberanamente de dejarles mi datos biometricos a ninguna empresa por siempre de los jamases. Una vez que te roban eso estas jodido.
Saludos.
Brutico escribió:
josemurcia escribió:Hace mucho que Chema Alonso dejó de ser un referente en algo, vive de su imagen y cada vez que sale en la tele es para soltar fantasmadas. Además siempre ha odiado Linux y ha puesto a Microsoft como referente en seguridad, lo cual ya dice mucho sobre él.

Ya te digo, yo le he escuchado decir que el software libre es peligroso, y que linux no vale para nada por que no hay aplicaciones.

[mad] [mad] [mad]
Las contraseñas siguen siendo la mejor medida para usuarios avanzados.

Decir que las contraseñas no valen porque te pueden meter un keyloger, es lo mismo que decir que las cerraduras no valen porque puedes invitar a un desconocido a tu casa.
El Joseph Ajram de la informática.
ese es el mega hacker ese que sabe comprar spywares ya hechos y copiarlos a otro móvil no? que crack [qmparto] [qmparto] [qmparto] [qmparto] [qmparto] [qmparto] lo que hay que ver por el mundo xD

obviamente este tío no es hacker... a lo mejor sabe arreglar pc´s y poco más. es un falsante
Findeton escribió:En linux puedes ver el código que estás ejecutando. En windows/Mac la NSA te pone todas las puertas traseras del mundo y no te enteras porque sólo tienes el ejecutable, no el código.

te veo muy enterado

http://www.opensource.apple.com

Por cierto, el debate sobre las contraseñas me ha recordado esta viñeta
Imagen
arriquitaum está baneado por "Game over, flames y faltas de respeto continuos"
google estaba trabajando en un sistema para quitar las contraseñas ojo, no se como lo llevará
Brutico escribió:
josemurcia escribió:Hace mucho que Chema Alonso dejó de ser un referente en algo, vive de su imagen y cada vez que sale en la tele es para soltar fantasmadas. Además siempre ha odiado Linux y ha puesto a Microsoft como referente en seguridad, lo cual ya dice mucho sobre él.

Ya te digo, yo le he escuchado decir que el software libre es peligroso, y que linux no vale para nada por que no hay aplicaciones.


Pues se hincha a usar Kali xD
banderas20 escribió:
Lucy_Sky_Diam escribió:Generalmente cuando alguien de Telefónica habla, o bien dicen tonterías, o bien dicen tonterías que suponen un menoscabo para los consumidores.

Ya....me lo esperaba de su presidente, pero no de un "referente" en seguridad.

No sé....ya esperaba que me vendiera su producto, pero que no me venda la moto....que hay gente que le escucha y sabe del tema... ¬_¬


El es marketing y una cara visible . Para mi nada más.

Además de un presumido de narices. Antes se le tenía un respeto pero después para mi no es ningún referente
No lo conozco, pero lo poco que estoy viendo ya me parece chorrada.

eraser escribió:
Findeton escribió:En linux puedes ver el código que estás ejecutando. En windows/Mac la NSA te pone todas las puertas traseras del mundo y no te enteras porque sólo tienes el ejecutable, no el código.

te veo muy enterado

http://www.opensource.apple.com

Me alegro que esten pasando cosas a Open Source. También me gusta que Apple use muchas conocidas librerías open source (OpenSSL, OpenAL)...
NewDump escribió:
banderas20 escribió:
Lucy_Sky_Diam escribió:Generalmente cuando alguien de Telefónica habla, o bien dicen tonterías, o bien dicen tonterías que suponen un menoscabo para los consumidores.

Ya....me lo esperaba de su presidente, pero no de un "referente" en seguridad.

No sé....ya esperaba que me vendiera su producto, pero que no me venda la moto....que hay gente que le escucha y sabe del tema... ¬_¬


El es marketing y una cara visible . Para mi nada más.

Además de un presumido de narices. Antes se le tenía un respeto pero después para mi no es ningún referente


Justo estuve viendo conferencias de este tio, me parece que lo que hace es meter miedo para vender soluciones de seguridad. Segun el a todos nos vigilan, todos tenemos malware en el PC y a todos nos estan grabando todo el dia desde la cam del portatil.
El problema de la contraseña es que se está haciendo un mal uso de ella, como bien decís debido a la criptografía asimétrica, se necesitarías siglos.

Evidentemente, el descifrado de una contraseña varía muchísimo en función de como sea ésta. Si se utilizan unos caracteres alfanuméricos con la introducción de algún símbolo y unos 10 dígitos de contraseña, veo poco probable descifrarla si no es con unos cuantos millones de años.

Eso si, ojo si hablamos de hackers profesionales.


un saludo!
amchacon escribió:Me alegro que esten pasando cosas a Open Source. También me gusta que Apple use muchas conocidas librerías open source (OpenSSL, OpenAL)...

El kernel del Mac OS X es Darwin, que es FreeBSD

https://es.wikipedia.org/wiki/Darwin_(sistema_operativo)
dnL7up escribió:
Decir que las contraseñas no valen porque te pueden meter un keyloger, es lo mismo que decir que las cerraduras no valen porque puedes invitar a un desconocido a tu casa.


Genial símil. Estoy de acuerdo.
Zorius escribió:El problema de la contraseña es que se está haciendo un mal uso de ella, como bien decís debido a la criptografía asimétrica, se necesitarías siglos.

Evidentemente, el descifrado de una contraseña varía muchísimo en función de como sea ésta. Si se utilizan unos caracteres alfanuméricos con la introducción de algún símbolo y unos 10 dígitos de contraseña, veo poco probable descifrarla si no es con unos cuantos millones de años.

Eso si, ojo si hablamos de hackers profesionales.


un saludo!

La criptografía asimétrica no pinta nada aquí. Lo que se usa en contraseñas es el cifrado unidireccional, y como dice el nombre, no tiene forma de invertirse.

Solo te queda ir probando contraseñas hasta que des con la buena.
De nada te vale tener contraseñas seguras de 18 caracteres si las subes como fichero xml a el hostig de tu web. Y esto lo visto justo ayer mismo con universidades .

Si no eres capaz de poner una contraseña de 16 caracteres no la guardes y menos en texto plano en tu en /passwords .

Cuando yo trabaje en telefónica recuerdo ver post it en las mesas de usuarios y contraseñas a servidores criticos
NewDump escribió:De nada te vale tener contraseñas seguras de 18 caracteres si las subes como fichero xml a el hostig de tu web. Y esto lo visto justo ayer mismo con universidades .

Si no eres capaz de poner una contraseña de 16 caracteres no la guardes y menos en texto plano en tu en /passwords .

Cuando yo trabaje en telefónica recuerdo ver post it en las mesas de usuarios y contraseñas a servidores criticos


Yo eso también lo he visto en la empresa pública que trabajé aquí en Marbella [sonrisa]
amchacon escribió:
Zorius escribió:El problema de la contraseña es que se está haciendo un mal uso de ella, como bien decís debido a la criptografía asimétrica, se necesitarías siglos.

Evidentemente, el descifrado de una contraseña varía muchísimo en función de como sea ésta. Si se utilizan unos caracteres alfanuméricos con la introducción de algún símbolo y unos 10 dígitos de contraseña, veo poco probable descifrarla si no es con unos cuantos millones de años.

Eso si, ojo si hablamos de hackers profesionales.


un saludo!

La criptografía asimétrica no pinta nada aquí. Lo que se usa en contraseñas es el cifrado unidireccional, y como dice el nombre, no tiene forma de invertirse.

Solo te queda ir probando contraseñas hasta que des con la buena.


Entonces mediante que clave si encripta la contraseña?

O no se encripta?
Sistemas de comunicacion seguros ya hay y existen desde hace mas de 20 años,. Lo que dice Chema es que hay que meter a un tercero, una unidad certificadora que garantice que las claves de cifrado solamente se estan intercambiando entre los finales de dicha comunicacion. No me parece tan extraño la verdad. Solo que como ya ha apuntado algun forero, tengo que asegurarme de que ese tercero es de total confianza.

El tio ha trabajado para Microsoft y para Telefonica ahora, de que va a hablar? Es marketin puro y duro. De todas maneras de ahi a decir que odia linux es de no haberse pasado por su blog en la vida.
Zorius escribió:
amchacon escribió:
Zorius escribió:El problema de la contraseña es que se está haciendo un mal uso de ella, como bien decís debido a la criptografía asimétrica, se necesitarías siglos.

Evidentemente, el descifrado de una contraseña varía muchísimo en función de como sea ésta. Si se utilizan unos caracteres alfanuméricos con la introducción de algún símbolo y unos 10 dígitos de contraseña, veo poco probable descifrarla si no es con unos cuantos millones de años.

Eso si, ojo si hablamos de hackers profesionales.


un saludo!

La criptografía asimétrica no pinta nada aquí. Lo que se usa en contraseñas es el cifrado unidireccional, y como dice el nombre, no tiene forma de invertirse.

Solo te queda ir probando contraseñas hasta que des con la buena.


Entonces mediante que clave si encripta la contraseña?

O no se encripta?

Se encripta y ya. No hay ninguna contraseña de descifrado que te la devuelva.

Por poner un ejemplo, suponte que la contraseña es:

calabazagorda

El algoritmo de cifrado unidirrecional que usaremos es coger la primera letra de cada palabra:

cg

Esto es lo que guardamos. ¿Es posible reconstruir la contraseña original si nos dan esto? No, es imposible.

Evidentemente el algoritmo usado es mucho más potente que este.
Zorius escribió:Entonces mediante que clave si encripta la contraseña?

O no se encripta?

Hashes.
amchacon escribió:Se encripta y ya. No hay ninguna contraseña de descifrado que te la devuelva.

Por poner un ejemplo, suponte que la contraseña es:

calabazagorda

El algoritmo de cifrado unidirrecional que usaremos es coger la primera letra de cada palabra:

cg

Esto es lo que guardamos. ¿Es posible reconstruir la contraseña original si nos dan esto? No, es imposible.

Evidentemente el algoritmo usado es mucho más potente que este.


Hombre, pero se encripta bajo un método, como has aplicado el método es la clave de encriptación.

Por ejemplo, encriptamos con un método sencillo, conocido como César, que sustituye la letra por otra letra del abecedario, definiendo antes cuántas letras debes desplazarte para sustituir la letra. El método de encriptación sería César y la clave, las veces que desplazas para sustituir esa letra, es la clave, si desplazas si te desplazas 3 veces, la clave de encriptación es 3.

Cuando encriptas un mensaje, bajo un método existe una clave de encriptación, si no.. no podrías desencriptarlo.

un saludo!
Zorius escribió:
amchacon escribió:Se encripta y ya. No hay ninguna contraseña de descifrado que te la devuelva.

Por poner un ejemplo, suponte que la contraseña es:

calabazagorda

El algoritmo de cifrado unidirrecional que usaremos es coger la primera letra de cada palabra:

cg

Esto es lo que guardamos. ¿Es posible reconstruir la contraseña original si nos dan esto? No, es imposible.

Evidentemente el algoritmo usado es mucho más potente que este.


Hombre, pero se encripta bajo un método, como has aplicado el método es la clave de encriptación.

Por ejemplo, encriptamos con un método sencillo, conocido como César, que sustituye la letra por otra letra del abecedario, definiendo antes cuántas letras debes desplazarte para sustituir la letra. El método de encriptación sería César y la clave, las veces que desplazas para sustituir esa letra, es la clave, si desplazas si te desplazas 3 veces, la clave de encriptación es 3.

Cuando encriptas un mensaje, bajo un método existe una clave de encriptación, si no.. no podrías desencriptarlo.

un saludo!


La gracia es esa. No poder desencriptarlo, o que lleve tanto tiempo que se de como inviable.
Rokzo escribió:
Zorius escribió:
amchacon escribió:Se encripta y ya. No hay ninguna contraseña de descifrado que te la devuelva.

Por poner un ejemplo, suponte que la contraseña es:

calabazagorda

El algoritmo de cifrado unidirrecional que usaremos es coger la primera letra de cada palabra:

cg

Esto es lo que guardamos. ¿Es posible reconstruir la contraseña original si nos dan esto? No, es imposible.

Evidentemente el algoritmo usado es mucho más potente que este.


Hombre, pero se encripta bajo un método, como has aplicado el método es la clave de encriptación.

Por ejemplo, encriptamos con un método sencillo, conocido como César, que sustituye la letra por otra letra del abecedario, definiendo antes cuántas letras debes desplazarte para sustituir la letra. El método de encriptación sería César y la clave, las veces que desplazas para sustituir esa letra, es la clave, si desplazas si te desplazas 3 veces, la clave de encriptación es 3.

Cuando encriptas un mensaje, bajo un método existe una clave de encriptación, si no.. no podrías desencriptarlo.

un saludo!


La gracia es esa. No poder desencriptarlo, o que lleve tanto tiempo que se de como inviable.


Pero al utilizar un método, utilizas una clave de encriptación, que sea tan compleja que implique que no puedas desencriptarla tiene su lógica, que no utilices ninguna clave, no me resulta lógico. Pero claro, quizás es por que lo desconozco.

un saludo!
Zorius escribió:Pero al utilizar un método, utilizas una clave de encriptación, que sea tan compleja que implique que no puedas desencriptarla tiene su lógica, que no utilices ninguna clave, no me resulta lógico. Pero claro, quizás es por que lo desconozco.

un saludo!


Para la unidireccional (hash) no se usa clave de encriptación. Es una función matemática que te dará un código aleatorio fijo y ya. Se trata de que sea imposible desencriptarla, ya que no necesitas hacerlo. Y que la única forma de comparar que has escrito la clave correcta sea volviendo a encriptarla y compararla con el resultado almacenado.
Rokzo escribió:
Zorius escribió:Pero al utilizar un método, utilizas una clave de encriptación, que sea tan compleja que implique que no puedas desencriptarla tiene su lógica, que no utilices ninguna clave, no me resulta lógico. Pero claro, quizás es por que lo desconozco.

un saludo!


Para la unidireccional (hash) no se usa clave de encriptación. Es una función matemática que te dará un código aleatorio fijo y ya. Se trata de que sea imposible desencriptarla, ya que no necesitas hacerlo. Y que la única forma de comparar que has escrito la clave correcta sea volviendo a encriptarla y compararla con el resultado almacenado.


Perfecto, ahora lo entiendo!

Merci por la explicación!

un saludo!
Zorius escribió:
amchacon escribió:Se encripta y ya. No hay ninguna contraseña de descifrado que te la devuelva.

Por poner un ejemplo, suponte que la contraseña es:

calabazagorda

El algoritmo de cifrado unidirrecional que usaremos es coger la primera letra de cada palabra:

cg

Esto es lo que guardamos. ¿Es posible reconstruir la contraseña original si nos dan esto? No, es imposible.

Evidentemente el algoritmo usado es mucho más potente que este.


Hombre, pero se encripta bajo un método, como has aplicado el método es la clave de encriptación.

Por ejemplo, encriptamos con un método sencillo, conocido como César, que sustituye la letra por otra letra del abecedario, definiendo antes cuántas letras debes desplazarte para sustituir la letra. El método de encriptación sería César y la clave, las veces que desplazas para sustituir esa letra, es la clave, si desplazas si te desplazas 3 veces, la clave de encriptación es 3.

Cuando encriptas un mensaje, bajo un método existe una clave de encriptación, si no.. no podrías desencriptarlo.

un saludo!

Esque NO QUEREMOS desencriptarlo ;)

Ahí he puesto un ejemplo, dado el algoritmo anterior y estas letras:

cg


¿Cual eran las palabras originales? No hay forma de saberlo, hay infinitas soluciones.
amchacon escribió:
Ahí he puesto un ejemplo, dado el algoritmo anterior y estas letras:

cg


¿Cual eran las palabras originales? No hay forma de saberlo, hay infinitas soluciones.


Si haces un texto de mayor longitud por analisis de frecuencias lo podrias sacar, siempre y cuando sean palabras y no idioma cani xD
Akiles_X escribió:
amchacon escribió:
Ahí he puesto un ejemplo, dado el algoritmo anterior y estas letras:

cg


¿Cual eran las palabras originales? No hay forma de saberlo, hay infinitas soluciones.


Si haces un texto de mayor longitud por analisis de frecuencias lo podrias sacar, siempre y cuando sean palabras y no idioma cani xD

Bueno esque en teoría no son palabras, es un ejemplo [+risas]
Lo que hay que acabar es con las contraseñas fáciles y los CMS que usan una encriptacion like-shit.

Que cualquiera puede descifrar easy.

Me da más miedo que pillen mi huella antes que una contraseña.
A ver, que criticamos a un extremista y nos ponemos en la otra punta de la cuerda:
banderas20 escribió:
dnL7up escribió:
Decir que las contraseñas no valen porque te pueden meter un keyloger, es lo mismo que decir que las cerraduras no valen porque puedes invitar a un desconocido a tu casa.


Genial símil. Estoy de acuerdo.

hombre lo del keylogger mentira no es, así como otros metodos de robar passwords. En cambio una huella digital (por ejemplo) te tendrian que cortar un dedo.
Findeton escribió:
pampero21 escribió:
josemurcia escribió:Hace mucho que Chema Alonso dejó de ser un referente en algo, vive de su imagen y cada vez que sale en la tele es para soltar fantasmadas. Además siempre ha odiado Linux y ha puesto a Microsoft como referente en seguridad, lo cual ya dice mucho sobre él.


Hombre, que un especialista prefiera Microsoft a Linux ¿cuál es el problema?. Cuestión de gustos, supongo.

No obstante a este hombre le conocí hace unos años. El tio lo poco que vi parecía un crack. Otra cosa es que te esté vendiendo un producto (que no lo sé).


En linux puedes ver el código que estás ejecutando. En windows/Mac la NSA te pone todas las puertas traseras del mundo y no te enteras porque sólo tienes el ejecutable, no el código.

Y como linux es codigo libre un pirata informatico puede encontrar un bug y usarlo en su provecho.
chema es un vendido desde hace años.... lo que hace el dinero.
95 respuestas
Archivado
1, 2
Volver a Miscelánea