Acabo de leer de rebote (como siempre en internet) una tira comica de xkcd sobre las contraseñas. Sólo quería saber si es cierto lo que dice o lo esta exagerando.
Dejo el link y la imagen. En el link tiene Alt la foto.
Pues si las pongo en la web, la del trobador da 100% y la del caballo 39%..........
en que quedamos
A mi lo de que me obliguen a poner contraseñas con exigencias me toca la moral. Que avisen de que es muy débil, pero que dejen tirar palante que a veces solo la quieres para usarla muy de vez en cuando. Pa mi que lo hacen para que siempre pongas la misma porque si no te olvidas y así sabiendo una ya saben todas. La gente es tonta pero los listos no.
El problema de la segunda es que son 4 palabras de diccionario, por lo que si un atacante consigue hacer un ataque con palabras de diccionario y contempla que se puedan usar 4 seguidas, pues ya la hemos liado. Yo creo que con eso y un numerito y un símbolo en alguna de las palabras lo tienes hecho.
Si te obligan a una longitud determinada, como la mierda de web de Movistar, quiere decir que no guardan un hash de la contraseña, sino la propia contraseña, lo cual denota una manera horrorosa de implantar seguridad.
MutantCamel escribió:Si te obligan a una longitud determinada, como la mierda de web de Movistar, quiere decir que no guardan un hash de la contraseña, sino la propia contraseña, lo cual denota una manera horrorosa de implantar seguridad.
Si se guarda el Hash de la contraseña, lo se de primera mano.
Lo mismo que dijo Korso10, con las 4 palabras normales al atacar por diccionario son como una unidad con lo cual tienes 4 unidades que es mas dificil de atacar que 4 letras pero mucho menos que la contraseña chunga de la primera viñeta.
Si simplemente consideramos protecion ante un ataque de fuerza bruta sin nada mas pues si que es mas seguro.
Lo que si muchas veces algo tan sencillo como cojer varias plabras y seguir una regla sencilla estilo la X letra en mayuscula y todas la palabrasa acabadas en el simbolo Y mejora mucho la seguridad y sigue siendo facil de recordar, eso si, es un coñazo como tenga que escribirla a menudo
MutantCamel escribió:Si te obligan a una longitud determinada, como la mierda de web de Movistar, quiere decir que no guardan un hash de la contraseña, sino la propia contraseña, lo cual denota una manera horrorosa de implantar seguridad.
Se hacen las validaciones de las condiciones de la contraseña cuando aún es un string. Cuando se han cumplido todas las condiciones, se genera el hash de la contraseña.
MutantCamel escribió:Si te obligan a una longitud determinada, como la mierda de web de Movistar, quiere decir que no guardan un hash de la contraseña, sino la propia contraseña, lo cual denota una manera horrorosa de implantar seguridad.
Se hacen las validaciones de las condiciones de la contraseña cuando aún es un string. Cuando se han cumplido todas las condiciones, se genera el hash de la contraseña.
Saludos,
¿Entonces qué más les da la longitud de la string?
Un poco offtopic, pero bueno, ya que estamos lo cuento: Creo que fue para series.ly (igual no, me suena pero a saber) que tuve que abrir el inspector del navegador para quitar el "maxlength" de la etiqueta HTML porque me tocaba las narices no poner la contraseña que yo quería, ya que me lo ponían fácil... A dia de hoy no hay ningún problema con mi contraseña "fuera de la ley". Vamos, que es un ejemplo de limitación arbitraria, inútil y no del lado de la seguridad precisamente.
MutantCamel escribió:Si te obligan a una longitud determinada, como la mierda de web de Movistar, quiere decir que no guardan un hash de la contraseña, sino la propia contraseña, lo cual denota una manera horrorosa de implantar seguridad.
Se hacen las validaciones de las condiciones de la contraseña cuando aún es un string. Cuando se han cumplido todas las condiciones, se genera el hash de la contraseña.
Saludos,
¿Entonces qué más les da la longitud de la string?
Un poco offtopic, pero bueno, ya que estamos lo cuento: Creo que fue para series.ly (igual no, me suena pero a saber) que tuve que abrir el inspector del navegador para quitar el "maxlength" de la etiqueta HTML porque me tocaba las narices no poner la contraseña que yo quería, ya que me lo ponían fácil... A dia de hoy no hay ningún problema con mi contraseña "fuera de la ley". Vamos, que es un ejemplo de limitación arbitraria, inútil y no del lado de la seguridad precisamente.
No, no es inútil. Se puede hacer un ataque por fuerza bruta y si sólo tienes letras es más rápido de conseguir la contraseña (y si además es corta ya ni te cuento...).
Yo no soy de imponer ninguna restricción en la contraseña, pero lo hacen para que la gente no ponga de contraseña "pepe" o "manolo".
Sobre el tema del maxlength, si esta bien hecho da igual porque lo controlaran del lado del servidor. Eso se hace básicamente para que el usuario no entre más caracteres de la cuenta, pero en el código que procesa el formulario tiene que estar también la validación del tamaño.
Que toca los cojones? pues sí, pero es lo que hay.
nserbass escribió:No, no es inútil. Se puede hacer un ataque por fuerza bruta y si sólo tienes letras es más rápido de conseguir la contraseña (y si además es corta ya ni te cuento...).
Yo no soy de imponer ninguna restricción en la contraseña, pero lo hacen para que la gente no ponga de contraseña "pepe" o "manolo".
Sobre el tema del maxlength, si esta bien hecho da igual porque lo controlaran del lado del servidor. Eso se hace básicamente para que el usuario no entre más caracteres de la cuenta, pero en el código que procesa el formulario tiene que estar también la validación del tamaño.
Que toca los cojones? pues sí, pero es lo que hay.
Saludos,
Me refería exclusivamente a limitar la longitud máxima, me parece correcto que limiten la longitud mínima, y bueno, "obliguen" a que la contraseña sea decente en general, ya que no hay "educación" en ese aspecto por parte de la gran mayoría de usuarios.
También supongo que en el lado del servidor se encargarían de truncar la string (o no). Pero sigue sin ser correcto que se haga eso.
nserbass escribió:No, no es inútil. Se puede hacer un ataque por fuerza bruta y si sólo tienes letras es más rápido de conseguir la contraseña (y si además es corta ya ni te cuento...).
Yo no soy de imponer ninguna restricción en la contraseña, pero lo hacen para que la gente no ponga de contraseña "pepe" o "manolo".
Sobre el tema del maxlength, si esta bien hecho da igual porque lo controlaran del lado del servidor. Eso se hace básicamente para que el usuario no entre más caracteres de la cuenta, pero en el código que procesa el formulario tiene que estar también la validación del tamaño.
Que toca los cojones? pues sí, pero es lo que hay.
Saludos,
Me refería exclusivamente a limitar la longitud máxima, me parece correcto que limiten la longitud mínima, y bueno, "obliguen" a que la contraseña sea decente en general, ya que no hay "educación" en ese aspecto por parte de la gran mayoría de usuarios.
También supongo que en el lado del servidor se encargarían de truncar la string (o no). Pero sigue sin ser correcto que se haga eso.
Ah vale, te refieres al máximo. No sé porque no te había entendido bien jeje, disculpa la confusión. En ese caso te doy la razón. Cuanto más larga sea la contraseña mejor, además de que el hash resultante tendrá siempre la misma longitud por lo que no es un problema de espacio en el registro.
Las páginas que si me preocupan son aquellas que al usar "olvidé la contraseña", no te envían una nueva, si no que te envían la tuya en texto plano! En serio? a estas alturas aún con ésto?
MutantCamel escribió:Si te obligan a una longitud determinada, como la mierda de web de Movistar, quiere decir que no guardan un hash de la contraseña, sino la propia contraseña, lo cual denota una manera horrorosa de implantar seguridad.
Se hacen las validaciones de las condiciones de la contraseña cuando aún es un string. Cuando se han cumplido todas las condiciones, se genera el hash de la contraseña.
Saludos,
En el caso que comento, y del que me quejo, no hay longitud mínima, sino máxima, 8 carácteres y sólo alfanuméricos, por ejemplo pepe1111.
![[mad]](/images/smilies/nuevos/miedo.gif "loco")
