Chema Alonso: "Hay que acabar con las contraseñas"

Namco69 escribió:Y como linux es codigo libre un pirata informatico puede encontrar un bug y usarlo en su provecho.

Y aún así la NSA usa Linux.

Todo sistema de seguridad que se precie es software libre, así como los algoritmos de cifrado utilizados actualmente son públicos.

La falacia de la seguridad por oscuridad cayó por su propio peso el siglo pasado.

josemurcia escribió:

Namco69 escribió:Y como linux es codigo libre un pirata informatico puede encontrar un bug y usarlo en su provecho.

Y aún así la NSA usa Linux.

Todo sistema de seguridad que se precie es software libre, así como los algoritmos de cifrado utilizados actualmente son públicos.

La falacia de la seguridad por oscuridad cayó por su propio peso el siglo pasado.

Que linux sea mas seguro que windows, no te lo voy a discutir. Que en el codigo libre todo son ventajas y no tiene bugs, no me lo voy a creer.

Namco69 escribió:Que linux sea mas seguro que windows, no te lo voy a discutir. Que en el codigo libre todo son ventajas y no tiene bugs, no me lo voy a creer.

No es cuestión de que el software libre no tenga bugs, es cuestión de que el hecho de que un software sea privativo o un algoritmo de cifrado no sea público, ya es motivo para descartarlos si lo que se busca es seguridad.

Es algo básico.

Namco69 escribió:

josemurcia escribió:

Namco69 escribió:Y como linux es codigo libre un pirata informatico puede encontrar un bug y usarlo en su provecho.

Y aún así la NSA usa Linux.

Todo sistema de seguridad que se precie es software libre, así como los algoritmos de cifrado utilizados actualmente son públicos.

La falacia de la seguridad por oscuridad cayó por su propio peso el siglo pasado.

Que linux sea mas seguro que windows, no te lo voy a discutir. Que en el codigo libre todo son ventajas y no tiene bugs, no me lo voy a creer.

No, el código libre es solo una ventaja más. Si luego lo escriben monos pues

Namco69 escribió:En cambio una huella digital (por ejemplo) te tendrian que cortar un dedo.

Lol, la huella digital no significa eso

amchacon escribió:

Namco69 escribió:

josemurcia escribió:Y aún así la NSA usa Linux.

Todo sistema de seguridad que se precie es software libre, así como los algoritmos de cifrado utilizados actualmente son públicos.

La falacia de la seguridad por oscuridad cayó por su propio peso el siglo pasado.

Que linux sea mas seguro que windows, no te lo voy a discutir. Que en el codigo libre todo son ventajas y no tiene bugs, no me lo voy a creer.

No, el código libre es solo una ventaja más. Si luego lo escriben monos pues

Namco69 escribió:En cambio una huella digital (por ejemplo) te tendrian que cortar un dedo.

Lol, la huella digital no significa eso

- Si lo escriben monos y no tienes el codigo, lo tienes mas chungo para encontrarle fallos [/joke]
- ha sido lo primero que he pensado porque se que hay equipos con lectores de huellas. Si no era eso, pues sorry, solo era un ejemplo.

Namco69 escribió:- Si lo escriben monos y no tienes el codigo, lo tienes mas chungo para encontrarle fallos [/joke]

Si tienes el código, te PUEDES asegurar que no haya sido escrito por un mono

Y luego está la comunidad que puede sacar parches que vayan corrigiendo lo que hacen los monos

Namco69 escribió:ha sido lo primero que he pensado porque se que hay equipos con lectores de huellas. Si no era eso, pues sorry, solo era un ejemplo.

Creo que eso forma parte de los escaneres biometricos. Que solo serviría para algo local (abrir tu teléfono por ejemplo).

La huella digital es una especie de firma digital.

Zorius escribió:

amchacon escribió:Se encripta y ya. No hay ninguna contraseña de descifrado que te la devuelva.

Por poner un ejemplo, suponte que la contraseña es:

calabazagorda

El algoritmo de cifrado unidirrecional que usaremos es coger la primera letra de cada palabra:

cg

Esto es lo que guardamos. ¿Es posible reconstruir la contraseña original si nos dan esto? No, es imposible.

Evidentemente el algoritmo usado es mucho más potente que este.

Hombre, pero se encripta bajo un método, como has aplicado el método es la clave de encriptación.

Por ejemplo, encriptamos con un método sencillo, conocido como César, que sustituye la letra por otra letra del abecedario, definiendo antes cuántas letras debes desplazarte para sustituir la letra. El método de encriptación sería César y la clave, las veces que desplazas para sustituir esa letra, es la clave, si desplazas si te desplazas 3 veces, la clave de encriptación es 3.

Cuando encriptas un mensaje, bajo un método existe una clave de encriptación, si no.. no podrías desencriptarlo.

un saludo!

La gracia está en eso. ¿No te suenan las web que no te dejan recuperar la contraseña sino que tienes que crear una nueva? Es porque ni los administradores tienen acceso a ella, si la pierdes no hay forma de recuperarla y por eso tienes que crear una nueva.

PD: sobre la seguridad por oscuridad, en el software libre pueden descubrir un bug y explotarlo. Pero en el propietario pueden descubrirlo, explotarlo y encima si la empresa no se pone a ello no se entera ni dios, como los xploits que salieron hace uno o dos años en windows que llevaban abiertos más de 10 años.

banderas20 escribió:que a mí al menos me rechinan en algunos puntos:

Chema Alonso escribió:hay que acabar con las contraseñas", pues no son ni mucho menos el secreto que deberían ser: no solo conoce la contraseña el propio usuario, sino también el servidor, y por tanto pueden estar expuestas (ser robadas)

Para eso existe el cifrado asimétrico, por ejemplo. Y luego me propones que use mi móvil. ¿Eso no me lo pueden robar?

Chema Alonso escribió:Habréis oído muchas veces eso de que las contraseñas tienen que tener caracteres tipo mayúsculas, números, un punto... Pues eso no sirve de nada, es una chorrada

Sí que sirve para evitar ataques por fuerza bruta, o para evitar.que la puedan adivinar fácilmente.

Chema Alonso quiere decir aquí que la mayoría de intrusiones en cuentas ajenas no vienen del uso de la fuerza bruta sobre una determinada cuenta (y tiene razón, no sirve de nada hacer un ataque por fuerza bruta sobre un servicio web. Sólo te protege en caso de que la BBDD sea expuesta), sino de la información recabada para conseguir recuperar la contraseña o para hacerse con el control de la cuenta. Si alguien quiere acceder a tu cuenta será más efectivo hacer uso de la ingeniería social y del pensamiento lateral que de la fuerza bruta. Con una contraseña que sólo use letras y números (sin caracteres especiales) y tenga 8 caractéres hasheada con MD5 tardarías 4 años en romperla.

Y por otro lado, lo que hace el servidor con tu contraseña es algo de lo que no tienes ni idea, y es bastante probable que alguna de tus contraseñas se haya movido por ahí en texto plano, para migración de datos o incluso porque algún junior la metió en un log para sus pruebas. Por eso dice que las contraseñas pueden estar expuestas, y lo están más a menudo de lo que pensamos. A esto hay que sumarle el hecho de que en muchas ocasiones las contraseñas son la misma para todos los servicios por la desgana que provoca conocer 10.000 contraseñas, o por el coñazo que es tener y mantener un llavero en cada dispositivo.

josemurcia escribió:

Namco69 escribió:Que linux sea mas seguro que windows, no te lo voy a discutir. Que en el codigo libre todo son ventajas y no tiene bugs, no me lo voy a creer.

No es cuestión de que el software libre no tenga bugs, es cuestión de que el hecho de que un software sea privativo o un algoritmo de cifrado no sea público, ya es motivo para descartarlos si lo que se busca es seguridad.

Es algo básico.

cuanto tiempo fue el que paso para descubrir el fallo del Heartbleed?

Akiles_X escribió:

amchacon escribió:
Ahí he puesto un ejemplo, dado el algoritmo anterior y estas letras:

cg

¿Cual eran las palabras originales? No hay forma de saberlo, hay infinitas soluciones.

Si haces un texto de mayor longitud por analisis de frecuencias lo podrias sacar, siempre y cuando sean palabras y no idioma cani xD

Para dejarlo más claro, lo normal es que las contraseñas no se encriptan, se "hashean".

La diferencia de una cosa y la otra, es que en el hash la información se pierde. El análisis de frecuencias por lo tanto no sirve de nada.

Sí tu encriptas un texto más largo obtienes un resultado más largo, pero si tu hasheas un texto largo, la longitud del hash no aumenta. ¿La razón? Pues cómo he dicho, la información se pierde.

NewDump escribió:

josemurcia escribió:

Namco69 escribió:Que linux sea mas seguro que windows, no te lo voy a discutir. Que en el codigo libre todo son ventajas y no tiene bugs, no me lo voy a creer.

No es cuestión de que el software libre no tenga bugs, es cuestión de que el hecho de que un software sea privativo o un algoritmo de cifrado no sea público, ya es motivo para descartarlos si lo que se busca es seguridad.

Es algo básico.

cuanto tiempo fue el que paso para descubrir el fallo del Heartbleed?

15 días

Pero cuanto tiempo hacia que estaba ?

dark_hunter escribió:

Zorius escribió:

amchacon escribió:Se encripta y ya. No hay ninguna contraseña de descifrado que te la devuelva.

Por poner un ejemplo, suponte que la contraseña es:

calabazagorda

El algoritmo de cifrado unidirrecional que usaremos es coger la primera letra de cada palabra:

cg

Esto es lo que guardamos. ¿Es posible reconstruir la contraseña original si nos dan esto? No, es imposible.

Evidentemente el algoritmo usado es mucho más potente que este.

Hombre, pero se encripta bajo un método, como has aplicado el método es la clave de encriptación.

Por ejemplo, encriptamos con un método sencillo, conocido como César, que sustituye la letra por otra letra del abecedario, definiendo antes cuántas letras debes desplazarte para sustituir la letra. El método de encriptación sería César y la clave, las veces que desplazas para sustituir esa letra, es la clave, si desplazas si te desplazas 3 veces, la clave de encriptación es 3.

Cuando encriptas un mensaje, bajo un método existe una clave de encriptación, si no.. no podrías desencriptarlo.

un saludo!

La gracia está en eso. ¿No te suenan las web que no te dejan recuperar la contraseña sino que tienes que crear una nueva? Es porque ni los administradores tienen acceso a ella, si la pierdes no hay forma de recuperarla y por eso tienes que crear una nueva.

PD: sobre la seguridad por oscuridad, en el software libre pueden descubrir un bug y explotarlo. Pero en el propietario pueden descubrirlo, explotarlo y encima si la empresa no se pone a ello no se entera ni dios, como los xploits que salieron hace uno o dos años en windows que llevaban abiertos más de 10 años.

Si si me suenan, pero sencillamente no conocía el proceso.

De nuevo gracias, tanto por este hilo, como por el de Homeopatía, que al final no te comenté nada.

un saludo!

NewDump escribió:Pero cuanto tiempo hacia que estaba ?

http://hipertextual.com/archivo/2014/04 ... eartbleed/
Un par de añitos, pero te diran que es poco en comparacion con 10 años, "que no pasa na".

Sobre cifrar las contraseñas. En su dia hice las practicas como programador del portal de una tienda online, y esta fue mi cara al ver que las contraseñas no estaban cifradas en la BBDD Ahora la pregunta es cuantas personas de las que estaban ahi registradas usaban distinta pass para su correo, su fb, etc...

nikiforo escribió:Sistemas de comunicacion seguros ya hay y existen desde hace mas de 20 años,. Lo que dice Chema es que hay que meter a un tercero, una unidad certificadora que garantice que las claves de cifrado solamente se estan intercambiando entre los finales de dicha comunicacion. No me parece tan extraño la verdad. Solo que como ya ha apuntado algun forero, tengo que asegurarme de que ese tercero es de total confianza.

El tio ha trabajado para Microsoft y para Telefonica ahora, de que va a hablar? Es marketin puro y duro. De todas maneras de ahi a decir que odia linux es de no haberse pasado por su blog en la vida.

Yo creo que se refiere a eso, pero es que cuando haces panfletos publicitarios, se pierde el mensaje.

Las contraseñas, tal cual, no son útiles (aunque son más útiles que no usarlas ), por los keyloggers, etc. Enviar la contraseña al móvil no es útil, porque SI que te lo pueden robar. Quizá proteger el móvil con el pin, y que se bloquee al intentar desbloquearlo sin éxito un número limitado de veces (20, por ejemplo), copiando el sistema PIN-PUK de la SIM, pero para desbloquear, así como el encriptado del mismo (como hace Windows 10 en los terminales móviles) si que ayudaría.

El problema de las contraseñas es que, por muy complicada que la pongas, si tienes el correo configurado en el móvil (o en el PC, que todos asumimos que NO se puede robar ), con pedir un restablecimiento lo tienes hecho.

Por poner un ejemplo de esto, hace tiempo un pavo puso como correo de recuperación de facebook el que yo tengo en mi curro (aun sigo sin entender porqué). Total que me llegaban correos con lo que le llegaba en el facebook. Me cansé de recibirlos, solicité una contraseña nueva, entré y di de baja la cuenta. Ahora poned que os entran en casa, y os roban el portatil. Entrar a la cuenta de paypal, es tan fácil como pedir una contraseña nueva. Cansado estoy de ver preguntas en este foro de "¿Cómo se puede hacer para que Windows no pida la clave al encender?".

Hay que añadir un segundo nivel de seguridad. Si te roban el portatil, es bastante raro que te roben también el móvil, a no ser que lo hayas dejado en casa cargando, o que te roben "con fuerza". En cualquier caso, en cuanto te pase, lo primero: llamar al banco para que anulen las tarjetas, y luego a cambiar contraseñas (e incluso correos de recuperación dentro de las cuentas).

Creo que se refiere a eso. Aparte de que pongáis lo seguro o no que pueden ser los servidores... que ahí también hay tela. NO se usan las mismas contraseñas en las cosas importantes (bancos, correo, etc.) que en las chorradas (fb, tweeter, foros). Y viendo lo que pasó con Sony en su día, hay que tener otro juego de contraseñas para las tiendas de las consolas. Y usar tarjetas de crédito virtuales, con recarga para esas compras.

Hay tantas cosas que la gente ignora (o conoce y pasa) en el tema de la seguridad, que asusta, pero en estas conferencias, creo que los interlocutores son más empresas que usuarios. Es decir, que la charla está más destinada a que los servidores empiecen a reforzar su nivel de seguridad, que a que lo hagan los usuarios.

Otra cosa es que el Chema ese os caiga mal. Pero lo que ha dicho, tiene cierta lógica.

Un saludo.

Me hacen gracia los primeros mensajes del hilo, no las contraseñas NO son seguras, ni poniéndole caracteres especiales, ni con mayúsculas ni con artificios, no son seguras. En el momento que tu contraseña es almacenada en un servidor dejas tu seguridad en manos de un tercero, quien me asegura a mi que ese tercero cifra la contraseña? quien se asegura que no hay nadie que pueda interceptar dicha contraseña y que luego las almacene para un uso delictivo??

En cierto sentido es como darle las llaves de tu casa a otro y "confiar" que esa otra persona la guarde de forma segura para que nadie le de un mal uso. Absurdo totalmente...

Si vosotros queréis dejar las llaves de vuestra casa a otros, adelante, pero la realidad es que la seguridad de tus datos debe venir por parte de cada uno: contraseñas diferentes en cada cuenta que creéis, usar verificación doble mediante SMS o cualquier sistema similar donde esté habilitada, etc... Y si, como dice Chema Alonso, cuando antes desaparezca el sistema de contraseñas mejor. Ya tenemos sistemas de seguridad por huella dactilar y similares que, en principio, aseguran más seguridad que una contraseña.

minmaster escribió:Me hacen gracia los primeros mensajes del hilo, no las contraseñas NO son seguras, ni poniéndole caracteres especiales, ni con mayúsculas ni con artificios, no son seguras. En el momento que tu contraseña es almacenada en un servidor dejas tu seguridad en manos de un tercero, quien me asegura a mi que ese tercero cifra la contraseña? quien se asegura que no hay nadie que pueda interceptar dicha contraseña y que luego las almacene para un uso delictivo??

En cierto sentido es como darle las llaves de tu casa a otro y "confiar" que esa otra persona la guarde de forma segura para que nadie le de un mal uso. Absurdo totalmente...

Si vosotros queréis dejar las llaves de vuestra casa a otros, adelante, pero la realidad es que la seguridad de tus datos debe venir por parte de cada uno: contraseñas diferentes en cada cuenta que creéis, usar verificación doble mediante SMS o cualquier sistema similar donde esté habilitada, etc... Y si, como dice Chema Alonso, cuando antes desaparezca el sistema de contraseñas mejor. Ya tenemos sistemas de seguridad por huella dactilar y similares que, en principio, aseguran más seguridad que una contraseña.

Em, los sistemas de seguridad biométricos tienen la misma seguridad que una contraseña fuerte (de hecho menos), al fin y al cabo vienen a ser lo mismo, si la BBDD del escáner está comprometida te la pueden sacar igualmente.

Yo en todos los trabajos que e tenido, ninguna base de datos tenia las contraseñas encryptadas ni usaban ningun tipo de cifrado en ninguna parte.. xd

Namco69 escribió:

NewDump escribió:Pero cuanto tiempo hacia que estaba ?

http://hipertextual.com/archivo/2014/04 ... eartbleed/
Un par de añitos, pero te diran que es poco en comparacion con 10 años, "que no pasa na".

Sobre cifrar las contraseñas. En su dia hice las practicas como programador del portal de una tienda online, y esta fue mi cara al ver que las contraseñas no estaban cifradas en la BBDD Ahora la pregunta es cuantas personas de las que estaban ahi registradas usaban distinta pass para su correo, su fb, etc...

A eso voy. .. 2 años.. de algo tan crítico . Muchos usuarios mirando el código fuente etc etc xc

dark_hunter escribió:

minmaster escribió:Me hacen gracia los primeros mensajes del hilo, no las contraseñas NO son seguras, ni poniéndole caracteres especiales, ni con mayúsculas ni con artificios, no son seguras. En el momento que tu contraseña es almacenada en un servidor dejas tu seguridad en manos de un tercero, quien me asegura a mi que ese tercero cifra la contraseña? quien se asegura que no hay nadie que pueda interceptar dicha contraseña y que luego las almacene para un uso delictivo??

En cierto sentido es como darle las llaves de tu casa a otro y "confiar" que esa otra persona la guarde de forma segura para que nadie le de un mal uso. Absurdo totalmente...

Si vosotros queréis dejar las llaves de vuestra casa a otros, adelante, pero la realidad es que la seguridad de tus datos debe venir por parte de cada uno: contraseñas diferentes en cada cuenta que creéis, usar verificación doble mediante SMS o cualquier sistema similar donde esté habilitada, etc... Y si, como dice Chema Alonso, cuando antes desaparezca el sistema de contraseñas mejor. Ya tenemos sistemas de seguridad por huella dactilar y similares que, en principio, aseguran más seguridad que una contraseña.

Em, los sistemas de seguridad biométricos tienen la misma seguridad que una contraseña fuerte (de hecho menos), al fin y al cabo vienen a ser lo mismo, si la BBDD del escáner está comprometida te la pueden sacar igualmente.

La biometría es un buen añadido, es mucho más pesado que una contraseña fuerte de generar con fuerza bruta, pero por si solo tampoco es la panacea, estamos de acuerdo. Yo creo que la seguridad solo llegará si se externaliza la autentificación hacia algún tipo de proveedor cuyo código e infraestructura sea no solo auditado constantemente si no además totalmente transparente a la comunidad y realiza algún tipo de doble check como los que este tío comenta. Es un proyecto que solo podría prosperar como estándar internacional, y requiere incluso voluntad política así que me parece jodido.

Namco69 escribió:

NewDump escribió:Pero cuanto tiempo hacia que estaba ?

http://hipertextual.com/archivo/2014/04 ... eartbleed/
Un par de añitos, pero te diran que es poco en comparacion con 10 años, "que no pasa na".

Sobre cifrar las contraseñas. En su dia hice las practicas como programador del portal de una tienda online, y esta fue mi cara al ver que las contraseñas no estaban cifradas en la BBDD Ahora la pregunta es cuantas personas de las que estaban ahi registradas usaban distinta pass para su correo, su fb, etc...

NewDump escribió:

Namco69 escribió:

NewDump escribió:Pero cuanto tiempo hacia que estaba ?

http://hipertextual.com/archivo/2014/04 ... eartbleed/
Un par de añitos, pero te diran que es poco en comparacion con 10 años, "que no pasa na".

Sobre cifrar las contraseñas. En su dia hice las practicas como programador del portal de una tienda online, y esta fue mi cara al ver que las contraseñas no estaban cifradas en la BBDD Ahora la pregunta es cuantas personas de las que estaban ahi registradas usaban distinta pass para su correo, su fb, etc...

A eso voy. .. 2 años.. de algo tan crítico . Muchos usuarios mirando el código fuente etc etc xc

Cierto es un gran error. ¿Pero cual es vuestro punto?

Lo que se defiende aquí esque el código abierto facilita estas cosas. Por poner un ejemplo, es como tomar proteínas para conseguir músculos, es una ayuda pero si luego fallas en las rutinas de ejercicios pues no vas a ninguna parte.

Elelegido escribió:

dark_hunter escribió:

minmaster escribió:Me hacen gracia los primeros mensajes del hilo, no las contraseñas NO son seguras, ni poniéndole caracteres especiales, ni con mayúsculas ni con artificios, no son seguras. En el momento que tu contraseña es almacenada en un servidor dejas tu seguridad en manos de un tercero, quien me asegura a mi que ese tercero cifra la contraseña? quien se asegura que no hay nadie que pueda interceptar dicha contraseña y que luego las almacene para un uso delictivo??

En cierto sentido es como darle las llaves de tu casa a otro y "confiar" que esa otra persona la guarde de forma segura para que nadie le de un mal uso. Absurdo totalmente...

Si vosotros queréis dejar las llaves de vuestra casa a otros, adelante, pero la realidad es que la seguridad de tus datos debe venir por parte de cada uno: contraseñas diferentes en cada cuenta que creéis, usar verificación doble mediante SMS o cualquier sistema similar donde esté habilitada, etc... Y si, como dice Chema Alonso, cuando antes desaparezca el sistema de contraseñas mejor. Ya tenemos sistemas de seguridad por huella dactilar y similares que, en principio, aseguran más seguridad que una contraseña.

Em, los sistemas de seguridad biométricos tienen la misma seguridad que una contraseña fuerte (de hecho menos), al fin y al cabo vienen a ser lo mismo, si la BBDD del escáner está comprometida te la pueden sacar igualmente.

La biometría es un buen añadido, es mucho más pesado que una contraseña fuerte de generar con fuerza bruta, pero por si solo tampoco es la panacea, estamos de acuerdo. Yo creo que la seguridad solo llegará si se externaliza la autentificación hacia algún tipo de proveedor cuyo código e infraestructura sea no solo auditado constantemente si no además totalmente transparente a la comunidad y realiza algún tipo de doble check como los que este tío comenta. Es un proyecto que solo podría prosperar como estándar internacional, y requiere incluso voluntad política así que me parece jodido.

Eso ya existe. Se llama autoridad certificadora.

NewDump escribió:Pero cuanto tiempo hacia que estaba ?

Pero si la primera frase del usuario era que no es que el software libre no tuviera bugs. La cuestión es bien simple, ni el software libre ni el privativo son ajenos a posibles fallos de seguridad. Es que la imposibilidad de revisar el código fuente hace que el error tienda a permanecer más sin ser reportado, aumentando el tiempo de exposición. OpenSSL estuvo 2 años expuesto. Windows llevó un bug crítico durante casi 20 años.

De hecho, el bug de Heartbleed fue descubierto gracias a que era de código abierto:
Speaking with Australian IT security podcast Risky.biz more than six months after Heartbleed was disclosed publicly on April 7, Google's Neel Mehta said he found the bug after conducting a "laborious" source code review of the open source software that contained it, OpenSSL.
[...]
"I was doing laborious auditing of OpenSSL, going through the [Secure Sockets Layer] stack line by line," Mehta said, adding that he hadn't spoken about it until now because it made him "nervous".

http://www.smh.com.au/it-pro/security-i ... z41MpeRX5K

Es decir, si el creador de OpenSSL hubiera decidido crear la aplicación como software privativo, y sin alternativas libres, es bastante probable que también tuviéramos ese bug y que, además, aún no hubiera sido descubierto y reportado.

amchacon escribió:Eso ya existe. Se llama autoridad certificadora.

Eso es algo que no tiene nada que ver con las contraseñas ni con la autenticación del usuario (EDIT: de hecho acabo de recordar el certificado de la FNMT en el que sí sería justamente eso, aún así, ahora mismo es prácticamente imposible llevarlo a todos los servicios web).

Elelegido escribió:La biometría es un buen añadido, es mucho más pesado que una contraseña fuerte de generar con fuerza bruta, pero por si solo tampoco es la panacea, estamos de acuerdo. Yo creo que la seguridad solo llegará si se externaliza la autentificación hacia algún tipo de proveedor cuyo código e infraestructura sea no solo auditado constantemente si no además totalmente transparente a la comunidad y realiza algún tipo de doble check como los que este tío comenta. Es un proyecto que solo podría prosperar como estándar internacional, y requiere incluso voluntad política así que me parece jodido.

En verdad es por el estilo, con un generador de contraseñas aleatorias y un llavero los datos que envíes van a ser similares. Dirás, te pueden meter un keylogger, también te pueden interceptar los datos del sensor.

Para lo del doble check ya existen los certificados, sin necesidad de recibir nada. El doble check es tan seguro como lo sea su implementación, y el principal problema de las contraseñas más que su seguridad es precisamente como se tratan, ya han salido aquí varios casos de texto plano. También hay casos sonados de grandes empresas, como Nintendo en su día (fallo descubierto por un usuario de eol, y en vez de agradecerlo Nintendo le denunció), no sólo de la típica tienda online chapuza de la pizzería de la esquina. En el caso que comento de Nintendo se podía acceder a todos los datos de los usuarios sin meter usuario ni contraseña, simplemente escribiendo "admin" delante de la web. Pues permíteme dudar del doble check con un administrador tan chapuzas, te cuelan un MitM rápido.

_Locke_ escribió:

amchacon escribió:Eso ya existe. Se llama autoridad certificadora.

Eso es algo que no tiene nada que ver con las contraseñas ni con la autenticación del usuario (EDIT: de hecho acabo de recordar el certificado de la FNMT en el que sí sería justamente eso, aún así, ahora mismo es prácticamente imposible llevarlo a todos los servicios web).

Bueno... Sirve para que el usuario sepa que se está conectando al servicio web correcto.

amchacon escribió:

_Locke_ escribió:

amchacon escribió:Eso ya existe. Se llama autoridad certificadora.

Eso es algo que no tiene nada que ver con las contraseñas ni con la autenticación del usuario (EDIT: de hecho acabo de recordar el certificado de la FNMT en el que sí sería justamente eso, aún así, ahora mismo es prácticamente imposible llevarlo a todos los servicios web).

Bueno... Sirve para que el usuario sepa que se está conectando al servicio web correcto.

Que al fin y al cabo es lo que que critica Chema, que por muy buena que sea la contraseña una vez sale de ti no sabes lo que ocurre con ella. Pueden haber desviado los datos a otro servidor, haber robado la BBDD o ponerse de intermediarios. Lo primero y lo último lo evitas con los certificados.

@eraser

Me acuerdo de esa tira. Siempre he tenido una duda.

¿J3boqueronis5P7 sería menos seguro que nomepiseelfregaolahostia ?

baronluigi escribió:@eraser

Me acuerdo de esa tira. Siempre he tenido una duda.

¿J3boqueronis5P7 sería menos seguro que nomepiseelfregaolahostia ?

Ponte 10 caracteres al azar y ya esta:

her+3Cas-5

Unos cuantos milenios van a tardar

@amchacon Gracias. Tengo algunas cuentas con contraseñas que no siguen alguna lógica, pero no son alfanuméricas.

baronluigi escribió:@amchacon Gracias. Tengo algunas cuentas con contraseñas que no siguen alguna lógica, pero no son alfanuméricas.

Importa más que pongas simbolos diferentes que a que sea más larga.

Una contraseña de 10 caracteres minusculas es menos segura que una de 7 caracteres mayúscula/minúscula. Una contraseña de 6 caracteres con al menos una mayúscula, un número y un simbolo es más segura que una de 10 caracteres con mayusculas y minusculas

Las mias suelen ser asi q)(!-2ZQ]w3cU_*d

xD

baronluigi escribió:@eraser

Me acuerdo de esa tira. Siempre he tenido una duda.

¿J3boqueronis5P7 sería menos seguro que nomepiseelfregaolahostia ?

He hecho un numerito para comparar, la segunda contraseña tiene 11843634 veces más combinaciones que la primera.

Y lo dice el director del Negocio de Seguridad Global de Telefónica?

Cagate lorito para fiarte ahora de Telefonica...

Y este tipo es el responsable de seguridad de la mayor empresa de comunicaciones española? Debería no sorprenderme de la marca España. Lo que me sorprende es que la empresa esté en pie.

_Charles_ escribió:

baronluigi escribió:@eraser

Me acuerdo de esa tira. Siempre he tenido una duda.

¿J3boqueronis5P7 sería menos seguro que nomepiseelfregaolahostia ?

He hecho un numerito para comparar, la segunda contraseña tiene 11843634 veces más combinaciones que la segunda.

Pero es más fácil de atacar por diccionario. Bueno espera, que has puesto segunda dos veces

baronluigi escribió:@amchacon Gracias. Tengo algunas cuentas con contraseñas que no siguen alguna lógica, pero no son alfanuméricas.

Es mucho más útil y seguro utilizar contraseñas largas que puedas recordar fácilmente, diferentes para cada servicio y cambiarlas a menudo que utilizar esas secuencias de caracteres aleatorios.

dark_hunter escribió:Pero es más fácil de atacar por diccionario. Bueno espera, que has puesto segunda dos veces

El problema es que tienes que decidir la estrategia de antemano. No sabes si la contraseña es más susceptible de un ataque por diccionario, o si debes meter cualquier carácter y comenzar desde 0... Ahí hay 7 palabras, si el diccionario contiene 100.000 palabras (y suerte si incluye "fregao") no la romperás hasta que no hayas probado entre 100.000^6 y 100.000^7 posibles passwords.

dark_hunter escribió:Pero es más fácil de atacar por diccionario. Bueno espera, que has puesto segunda dos veces

No creas. Una palabra de uso común del diccionario puede tener 12 o 13 bits. Si pones 4 palabras seguidas ya tienes 48 bits de dificultad, como un ataque de diccionario de todas las combinaciones de 6 bytes. Si en vez de 4 palabras te pones una passphrase de 10 palabras, ya tienes un pedazo de contraseña robustísima sin letras, números y símbolos raros.

Telefónica

Hasta aqui deje de leer, la verdad que piense lo que quiera, total no me importa ni el ni la empresa en donde trabaja, ahora bien, que no se moleste si suelto una carcajada al dar por sentado que el AES no aguantaria

dark_hunter escribió:Pero es más fácil de atacar por diccionario. Bueno espera, que has puesto segunda dos veces

Chocheo tío , ya está arreglao.

oscx7 escribió:

Telefónica

Hasta aqui deje de leer, la verdad que piense lo que quiera, total no me importa ni el ni la empresa en donde trabaja, ahora bien, que no se moleste si suelto una carcajada al dar por sentado que el AES no aguantaria

Pero vamos a ver, aquí habéis entendido la mitad lo que os da la gana. Chema dice que la contraseña es un secreto entre tú y el servidor, y que no puedes confiar en lo que está haciendo el servidor porque no tienes acceso a él, ni a su algoritmo, ni nada. Por no hablar mucho, tengo la certeza de que cierta empresa internacional manejaba los passwords de cientos de miles de clientes en texto plano, y que cualquier desarrollador del proyecto tenía acceso a esas contraseñas. Sé de otra empresa de pizza a domicilio (sí, una de esas dos, aunque no recuerdo cuál) que al darle a "recordar password" te la reenviaban, con todos sus huevos, a tu correo, lo que significaba que indudablemente esas contraseñas no estaban hasheadas. Me llegó otro rumor (no sé si será cierto, pero no me extrañaría) de que una gran empresa se llevó una multaza (creo que no fue público) por guardar datos de la tarjeta de crédito en los logs de la aplicación. De Adobe (empresa que factura más de 2.000M anuales) se descubrió que encriptaban las contraseñas sin salt ni nada, dejando expuestas 38.000.000 de cuentas. Se tiende a confiar ciegamente en la profesionalidad de esas grandes empresas, pero no os imagináis la cantidad de ñapas que hay. Que los sistemas de contraseñas no son seguros se puede tomar como un hecho impepinable.

oscx7 escribió:

Telefónica

Hasta aqui deje de leer, la verdad que piense lo que quiera, total no me importa ni el ni la empresa en donde trabaja, ahora bien, que no se moleste si suelto una carcajada al dar por sentado que el AES no aguantaria

Meh, a la NSA desde luego no le aguanta muchos asaltos, ya salió el escándalo hace unos meses.

minmaster escribió:Me hacen gracia los primeros mensajes del hilo, no las contraseñas NO son seguras, ni poniéndole caracteres especiales, ni con mayúsculas ni con artificios, no son seguras. En el momento que tu contraseña es almacenada en un servidor dejas tu seguridad en manos de un tercero, quien me asegura a mi que ese tercero cifra la contraseña? quien se asegura que no hay nadie que pueda interceptar dicha contraseña y que luego las almacene para un uso delictivo??

En cierto sentido es como darle las llaves de tu casa a otro y "confiar" que esa otra persona la guarde de forma segura para que nadie le de un mal uso. Absurdo totalmente...

Si vosotros queréis dejar las llaves de vuestra casa a otros, adelante, pero la realidad es que la seguridad de tus datos debe venir por parte de cada uno: contraseñas diferentes en cada cuenta que creéis, usar verificación doble mediante SMS o cualquier sistema similar donde esté habilitada, etc... Y si, como dice Chema Alonso, cuando antes desaparezca el sistema de contraseñas mejor. Ya tenemos sistemas de seguridad por huella dactilar y similares que, en principio, aseguran más seguridad que una contraseña.

Esos sistemas de seguridad no aseguran mas seguridad que una contraseña, entre otras cosas porque son contraseñas.

El funcionamiento es sencillo. El sistema analiza tu huella, generando una imagen que es analizada, buscando las posiciones relativas de ciertas características únicas de tu huella. Con esta información se genera un hash, una cadena alfanumérica que, oh sorpresa, se tiene que almacenar en el servidor.

Cuando vuelves a poner tu huella se repite el proceso, el cliente manda el hash al servidor, lo compara y si es correcto te da acceso. Es literalmente una contraseña.

La forma correcta de usarlo es como factor adicional de autenticación. Sin embargo, siempre que medie una petición al servidor en la que se envíen las credenciales, existe el riesgo tanto de captura de los mismos como de obtención de la BD del servidor.

Puedes tener un sistema cojonudo de triple factor y cagarla usando SSL3. O cifrar las comunicaciones, tener tres factores y cagarla no cifrando la BD en el lado servidor o permitiendo ataques de inyección SQL que acaben en un volcado de la BD.

Luego aunque hay cosas que dices en las que estoy de acuerdo, eso de que la huella dactilar es implícitamente mas segura que una contraseña es, sintiéndolo mucho, mentira.

Acabo de encontrarme un tutorial de como saltarse la protección de Latch xD de Chema , invoco a la moderación a ver si puedo ponerlo a modo el tema que hablamos @melado

NewDump escribió:Las mias suelen ser asi q)(!-2ZQ]w3cU_*d

xD

El mensaje de arriba lo he puesto yo desde la cuenta de NewDump.

FanDeNintendo escribió:

NewDump escribió:Las mias suelen ser asi q)(!-2ZQ]w3cU_*d

xD

El mensaje de arriba lo he puesto yo desde la cuenta de NewDump.

Me volviste a hackear! pues la proxima tendra 18 asteriscos! xD

oscx7 escribió:

Telefónica

Hasta aqui deje de leer, la verdad que piense lo que quiera, total no me importa ni el ni la empresa en donde trabaja, ahora bien, que no se moleste si suelto una carcajada al dar por sentado que el AES no aguantaria

Ya. Vale que es de Telefónica y defiende su empresa, pero hay que medir lo que se dice y cómo, ¿no?

Shikamaru escribió:Luego aunque hay cosas que dices en las que estoy de acuerdo, eso de que la huella dactilar es implícitamente mas segura que una contraseña es, sintiéndolo mucho, mentira.

Yo no he dicho eso, me refería a que la huella dactilar es más segura que la contraseña ya que al menos el usuario que la use no pondrá un "1234" o cosas así que son bastante más habituales de lo que creemos usando contraseñas. Sabéis cuantos robos de datos se han hecho porque los hackers se han aprovechado de contraseñas ridículas como la que he dicho que usaban los propios sysadmin o empleados de la empresa?? Cientos de casos.

Pero vamos os habéis concentrado en lo del uso de huellas dactilares como contraseñas y más que eso yo quería recalcar el tema de que la seguridad debe estar en manos nuestras, las llaves de nuestra casa no deberíamos dárselas a nadie y eso es lo que hacemos cuando usamos una contraseña como sistema de seguridad.