Gestores de contraseñas, sí o no?

Archivado
1, 2
Encuesta
Gestores de contraseñas, sí o no?
30%
22
22%
16
49%
36
Hay 74 votos.
Ver ordenados

kai_dranzer20 escribió:
Reakl escribió: No se averiguan contraseñas a fuerza bruta,.

eso díselo a los ordenadores cuánticos, en un segundo averiguan cualquier contraseña a fuerza bruta

¿Averiguan de donde? ¿Haciendo llamadas online al servidor? Eso no necesita computación, sino ancho de banda. Los ordenadores cuánticos no ayudan nada aquí.

Aparte que la potencia de los cuanticos está en pañales todavía. Es como tener una cpu de 1mhz.

seaman escribió:
amchacon escribió:
GXY escribió:y en algunos casos tambien bajar la exigencia de "fortaleza" de la contraseña

Ya que lo comentas, la exigencia de "fortaleza" me ha parecido siempre una mala práctica. El único requisito debería ser la longitud mínima, eso es todo.

Forzar que los usuarios usen números, mayúsculas y símbolos no solo hace contraseñas difíciles de recordar. Sino que debilita también la seguridad.

Si yo soy un hacker, ya sé que no tengo que probar contraseñas de solo números o de solo minúsculas... Es una gran cantidad de casos que me estoy quitando.

Si no fuerzas a la gente a usar esos caracteres de normal, olvidate de que lo utilicen.

Algunos los usarán, otros no. Esta indeterminación ayuda a hacer las contraseñas menos predecibles y más seguras.

Aparte que una contraseña que solo tenga minusculas no significa que sea insegura:
wegbufejaeuigioqer
theelf escribió:Yo a quien entre a robar a casa, le deseo buena suerte para leer mis datos luego, porque tengo el lector de cintas empotrado a la pared, y ese no se lo puede llevar [+risas]

Y sin el lector original, ya me gustaria ver a mi como hace, q lo tengo calibrado de forma no estandar

Imagen


Ma que contraseñas raras, todo offline, y santo remedio


Y si se te jode el "lector original"? [mad]

De todas formas. La complejidad de las contraseñas solo "soluciona" los intentos de suplantación por fuerza bruta, Que ya me contareis quien es el guapo que le mete con un diccionario a ... facebook? gmail? [carcajad] .

Yo creo que la mayoria de robos de cuentas suelen venir de bases de datos petadas, y de contraseñas "cazadas" (por no viajar por un canal seguro o por tener el topo dentro). En ninguna de estas importa lo chunga que sea tu contraseña. No digo que sean todos los casos tampoco.

Sobre los gestores de contraseña opino lo mismo que la mayoría, si cae una, caen todas. No es lo veo prudente.
kai_dranzer20 escribió:
Reakl escribió: No se averiguan contraseñas a fuerza bruta,.


eso díselo a los ordenadores cuánticos, en un segundo averiguan cualquier contraseña a fuerza bruta

Todavía no hay ninguno.
@nikiforo

No hay problema, me se de memoria calibrar y descalibrar estos bichos :)
Yo uso siempre 1234 y ningún problema hoygan!
Me choca la idea de los gestores de contraseñas.... pero nos planteamos que en la cabeza o en un papel son mas seguros.

Partamos de la base que si te quieren atacar, aunque tengas las contraseñas en la cabeza, estas jodido. Con ataques keylogger, intermediario, ingeniería social, etc... te pueden pillar contraseñas. Ademas, normalmente al caer una, van cayendo el resto, si te pillan la del correo pueden empezar a solicitar restauración de contraseña en otros sitios. Debemos tener claro el concepto de siempre, el mayor fallo de seguridad de un sistema informático es el usuario.

Con esto, si mantienes un gestor de contraseñas, con doble encriptación o doble sistema de autenticación, no subido a la nube y no accesible a traves de aplicaciones third party, es la mejor manera de mantener contraseñas seguras sin olvidarlas. Recordando que como ya se ha dicho, una contraseña segura no tiene porque ser caracteres ASCII, números, mayusculas, etc.. sino que puedes recordar las que usas mas a menudo y tener guardadas a buen recaudo el resto.

En definitiva, el uso de gestores es seguro, pudiendo hacer uso de multiples contraseñas o varios sistemas de autenticacion. Y como he dicho, es mas facil pillar las contraseñas de alguien mediante phishing, troyanos o redes malignas que rompiendo la seguridad de un gestor de contraseñas, y para esto da igual si estan escritas o las tienes todas memorizadas.

Un saludo.
Yo no paro de leer noticias de bugs en gestores de contraseñas afectado amiles de usuarios , a si que no xD
kai_dranzer20 escribió:
Reakl escribió: No se averiguan contraseñas a fuerza bruta,.


eso díselo a los ordenadores cuánticos, en un segundo averiguan cualquier contraseña a fuerza bruta


Por mucho ordenador cuántico que tengas, a menos que encuentres una vulnerabilidad, prácticamente ninguna web medianamente normal te permite hacer infinitos intentos si no es en un tiempo prolongado. Y aunque encuentres una vulnerabilidad que te lo permita (como ocurrió y de hecho creo que sigue ocurriendo en Wordpress) los servidores detectan si empiezas a recibir muchísimas peticiones de un mismo equipo.

Para ello es mejor usar pc's zombis, y ni con esa te libras de limitaciones.

Al final los robos de contraseña suelen venir por
- Vulnerabilidad y acceso a la base de datos, accediendo a las claves (ahí ya puedes tener la clave más segura del mundo, que dependes de cómo la hayan codificado en el servidor)
- Phishing
- Ingeniería social

Fuerza bruta no es viable hacerlo a webs en la gran mayoría de los casos. Así que yo al menos pienso que en cuanto menos sitios donde puedan encontrar una vulnerabilidad tengas tu contraseña, mejor. Porque por fuerza bruta nadie se va a poner a probar.

La clave es tener distintas contraseñas en distintas webs ya que cuando acceden a una web encontrando una vulnerabilidad, lo primero que hacen es probar si esa clave funciona en tu servidor de correo, paypal, etcétera. Y lo suyo es que hagáis alguna variación más que solo cambiar el número del final, porque os aseguro que eso lo tienen en cuenta xD
Masterlukz escribió:Yo uso 4 distintas y algunas variaciones (algún número al final o al principio).

Al final tengo un montón diferentes pero suelen seguir un mismo patrón así que si se me olvida solo me queda el ensayo y error.


Yo hago lo mismo. Tengo muchas distintas, pero con patrones similares. Van cambiando mayúsculas, caracteres especiales, números y agregados para hacerlas más largas.

Una vez te acostumbras, no se te olvidan y a veces lo único es probar hasta que das con el patrón correcto (2 o 3 intentos, no lleva más)
Silent Bob escribió:@Reakl Como va a ser mas fácil descubrir contraseñas raras porque mas gente las genere?
Si en vez de 123456 la gente usa 963852741 claro que será igual de fácil. Pero cuando se habla de algoritmos y de contraseñas generadas no se habla de que todo el mundo use el mismo (sería absurdo) uno puede darle por "sumarle 1 a la primera letra, 2 a la segunda..." y ya está. Otro mezclará silabas de una "frase simple" con el dominio de la web es otra ("camponabos" digievoluciona en... "camelpoonatroboslado"). Te viene uno que le gusta el codigo ascii y se pone a hacer burradas con los códigos ASCII con una frase simple y un número inventado cualquiera.

Pasas de 1 contraseña cutre que usa el 15% de la gente a cuantas combinaciones se le ocurran a la peña, además sin estar repetida entre webs por lo que robar contraseñas de una web no ayuda a automatizar un ataque por "nuevo diccionario" en otra web. (a mano puedes ver como alguien ha liado las sílabas, pero no vas a intentar descubrir 1000 algoritmos en 1000 contraseñas robadas)

Es muy sencillo: la gente también funciona por algoritmos y existen combinaciones de palabras que son más frecuentes que otras de forma que si tu tienes 5000 millones de contraseñas construidas con palabras es bastante probable que puedas abrir alguna mirando un diccionario de palabras más utilizadas. La probabilidad de encontrar una combinación concreta no es la misma que otra, pues el propio ser humano tiende a crear distribuciones de gauss en todo lo que toca, por lo que al final acabarás con una combinación de palabras más probable que otra.

Si derrepente medio planeta cambia la a por la @, no estás añadiendo seguridad, sino que la estás quitando, porque al final los algoritmos están preparados para sustituir a por @ ya que es un comportamiento común en tanta gente que merece la pena ser aplicado. En cambio si tan solo una persona en el mundo cambiase la a por la @ los algoritmos directamente ignorarían la opción porque para hacer esa comprobación, antes haces otra, no porque sea más o menos cara de computar, sino por las probabilidades de que ese algoritmo se esté usando es mayor.

La mayor seguridad posible es que cada persona utilice un algoritmo distinto. El compartir el algoritmo utilizado puede derivar en que más gente lo use, y como tal, más probabilidades de que alguien que intente crackear contraseñas aplique ese algoritmo a la búsqueda.
Reakl escribió:Si derrepente medio planeta cambia la a por la @, no estás añadiendo seguridad, sino que la estás quitando, porque al final los algoritmos están preparados para sustituir a por @ ya que es un comportamiento común en tanta gente que merece la pena ser aplicado. En cambio si tan solo una persona en el mundo cambiase la a por la @ los algoritmos directamente ignorarían la opción porque para hacer esa comprobación, antes haces otra, no porque sea más o menos cara de computar, sino por las probabilidades de que ese algoritmo se esté usando es mayor.

Las contraseñas son cosas del pasado:
https://www.youtube.com/watch?v=VgC4b9K-gYU

Aparte, no quitas seguridad. Sigue siendo más común usar una A que una @, otra cosa esque haya muchas mejores transformaciones.
Gurlukovich escribió:
amchacon escribió:
Manumtz escribió:@amchacon pero que problema hay por guardarlas.
Si te quieren robar algo lo van a hacer aunque no las guardes

¿Eso en que se basa? :o

Psycho Mantis puede leer tu mente.
https://www.youtube.com/watch?v=PiVz0--xYu4

¿A ese no se le vencía cambiadole el puerto del mando? :o
Reakl escribió:La mayor seguridad posible es que cada persona utilice un algoritmo distinto. El compartir el algoritmo utilizado puede derivar en que más gente lo use, y como tal, más probabilidades de que alguien que intente crackear contraseñas aplique ese algoritmo a la búsqueda.

Coño, lo que he dicho yo, que cada uno se monte el tinglado que quiera, no que se use un programa con UN algoritmo que usen todos. [beer]
Silent Bob escribió:Coño, lo que he dicho yo, que cada uno se monte el tinglado que quiera, no que se use un programa con UN algoritmo que usen todos. [beer]

Pero por eso decía que era mejor no compartir el algoritmo.

amchacon escribió:Aparte, no quitas seguridad. Sigue siendo más común usar una A que una @, otra cosa esque haya muchas mejores transformaciones.

No se trata de que sea común o no usar una A. Se trata de que al ampliar el catálogo de algoritmos de las herramientas de cracking, si el sustituir un a por un @ es una ocurrencia que es 10000 veces más frecuente que sustituir una j por un ., se priorizará e primer algoritmo, por lo tanto, si tú utilizas ese algoritmo de sustitución vas a tener más probabilidades de que te crackeen la contraseña porque sencillamente los crackers buscan ese algoritmo en concreto debido a la popularidad del mismo.
amchacon escribió:Las contraseñas son cosas del pasado:
https://www.youtube.com/watch?v=VgC4b9K-gYU


Q paso con las llaves de toda la vida?

en mi dell, si llego a perder la llave, me cago en todo, porque la cerradura va en la placa base directamente soldada [+risas]

Imagen
Sí, para almacenar muchas algo complicadas.

Si realmente quieres proteger algo realmente importante, los datos fuera de la nube y la contraseña en un medio no digital.
kai_dranzer20 está baneado por "Game Over"
lo suponía, la mayoria de las webs importantes como bancos no dejan hakquear por fuerza bruta, asi que da igual que pongamos 123456 a que usemos generadores de contraseñas de 50 caracteres
theelf escribió:
amchacon escribió:Las contraseñas son cosas del pasado:
https://www.youtube.com/watch?v=VgC4b9K-gYU


Q paso con las llaves de toda la vida?

en mi dell, si llego a perder la llave, me cago en todo, porque la cerradura va en la placa base directamente soldada [+risas]

Imagen

Nada nada, eso está pasado de moda. El vídeo que he puesto es el futuro :o

kai_dranzer20 escribió:lo suponía, la mayoria de las webs importantes como bancos no dejan hakquear por fuerza bruta, asi que da igual que pongamos 123456 a que usemos generadores de contraseñas de 50 caracteres

Tampoco hemos dicho eso XD. Hay bastantes matices.

La seguridad es complicada, que pasa si un trabajador filtra la base de datos a la dark web. El tiempo que tardarán en descifrar tu contraseña depende de lo fuerte que sea tu contraseña (y del algoritmo que esté usando el banco). Y tú necesitas tiempo para enterarte de la filtración y cambiar la contraseña.
kai_dranzer20 está baneado por "Game Over"
que me hacken la cuenta de eol o gmail me da igual

para el banco, además de la contraseña se necesita el token para cualquier operación, así que tampoco me preocupa mucho que me hakqueen la contraseña del banco si avisan en poco tiempo

una vez me clonaron una tarjeta de crédito, pero no pudieron comprar nada ya que en ese entonces requerían un código que me llegaba al móvil, me di cuenta cuando me llegó el mensaje para una autorización de una compra que no había hecho [fumando]
amchacon escribió:¿A ese no se le vencía cambiadole el puerto del mando? :o

Hay otra forma :P

https://www.youtube.com/watch?v=vHVf_ZvdUkE
Reakl escribió:No se trata de que sea común o no usar una A. Se trata de que al ampliar el catálogo de algoritmos de las herramientas de cracking, si el sustituir un a por un @ es una ocurrencia que es 10000 veces más frecuente que sustituir una j por un ., se priorizará e primer algoritmo, por lo tanto, si tú utilizas ese algoritmo de sustitución vas a tener más probabilidades de que te crackeen la contraseña porque sencillamente los crackers buscan ese algoritmo en concreto debido a la popularidad del mismo.

Hay una forma mejor de mejorar tu seguridad, compartir recomendaciones de patrones corrientes para que los crackers se centren en ellos y usar tu otros :P
kai_dranzer20 escribió:lo suponía, la mayoria de las webs importantes como bancos no dejan hakquear por fuerza bruta, asi que da igual que pongamos 123456 a que usemos generadores de contraseñas de 50 caracteres

Eso si no roban la base de datos directamente como han hecho en los últimos ataques a grandes empresas. Ahí tienen todos los intentos que quieran, cuando no estaban directamente en texto plano o con un simple hash sin salt+pepper.
@Rokzo ha dado en el clavo.

La mayoría de ataques vienen por phishing y parecido por la sencilla razón de que hay demasiados usuarios inexpertos navegando por la red.

Y el otro groso de ataques como bien indica Rokzo viene por el ataque directo a las base de datos de las webs para luego probar esas contraseñas en otras webs como son el correo, paypal etc

Así que mas que buscar una contraseña con alfanumérica con mayúsculas y minúsculas y caracteres especiales, veo mas importante que no se repita la contraseña en absolutamente ninguna web.

Yo uso lastpass (y por ahora no creo que haya razón para dejar de usarlo), y tengo almacenado mas de 800 sitios y en absolutamente ni uno solo se repite la contraseña. Es mas, por defecto me registro con claves de 32 caracteres con mayus, minus, números y caracteres especiales generadas por el propio programa.
Yo estuve a punto de abrir un hilo igual a este a consecuencia de la noticia de portada de LastPass que hubo en estos días. A ver si me echan un mano.

Que se recomienda? Porque, por lo menos a mi, me jode siempre cada vez que los bancos me piden cambiar contraseña cada 6 meses, pues yo en ocasiones soy muy olvidadizo :p y la he cagado en mas de una vez.

Veo que lo recomendable es utilizar uno offline, nada de nubes e internet. Mis transacciones las hago el 70% por móvil. Veo que muchos hablan Keepass, como funciona esto entonces? un .txt que voy copiando contraseñas según el sitio? Disculpar mi ignorancia [+risas]

Un saludo.
pipex55 escribió:Yo estuve a punto de abrir un hilo igual a este a consecuencia de la noticia de portada de LastPass que hubo en estos días. A ver si me echan un mano.

Que se recomienda? Porque, por lo menos a mi, me jode siempre cada vez que los bancos me piden cambiar contraseña cada 6 meses, pues yo en ocasiones soy muy olvidadizo :p y la he cagado en mas de una vez.

Veo que lo recomendable es utilizar uno offline, nada de nubes e internet. Mis transacciones las hago el 70% por móvil. Veo que muchos hablan Keepass, como funciona esto entonces? un .txt que voy copiando contraseñas según el sitio? Disculpar mi ignorancia [+risas]

Un saludo.

Keepass efectivamente es offline, aunque yo lo convierto en online mediante Dropbox. Tu metes las contraseñas en el programa y él te las almacena en una base de datos cifrada. Cuando quieres utilizar alguna, metes la clave del "llavero", localizas la contraseña que quieres y con un botón te lo copia al portapapeles o le puedes decir que te la muestre.

Obviamente no es perfectamente seguro, si copias al portapapeles por dumping te la pueden sacar y si sólo dices que te la muestre siguen estando los keylogger. Pero vamos, con un poco de cuidado estás mucho más seguro que sin el llavero.
dark_hunter escribió:
pipex55 escribió:Yo estuve a punto de abrir un hilo igual a este a consecuencia de la noticia de portada de LastPass que hubo en estos días. A ver si me echan un mano.

Que se recomienda? Porque, por lo menos a mi, me jode siempre cada vez que los bancos me piden cambiar contraseña cada 6 meses, pues yo en ocasiones soy muy olvidadizo :p y la he cagado en mas de una vez.

Veo que lo recomendable es utilizar uno offline, nada de nubes e internet. Mis transacciones las hago el 70% por móvil. Veo que muchos hablan Keepass, como funciona esto entonces? un .txt que voy copiando contraseñas según el sitio? Disculpar mi ignorancia [+risas]

Un saludo.

Keepass efectivamente es offline, aunque yo lo convierto en online mediante Dropbox. Tu metes las contraseñas en el programa y él te las almacena en una base de datos cifrada. Cuando quieres utilizar alguna, metes la clave del "llavero", localizas la contraseña que quieres y con un botón te lo copia al portapapeles o le puedes decir que te la muestre.

Obviamente no es perfectamente seguro, si copias al portapapeles por dumping te la pueden sacar y si sólo dices que te la muestre siguen estando los keylogger. Pero vamos, con un poco de cuidado estás mucho más seguro que sin el llavero.


[oki]

Voy a empezar a hacer pruebas a ver cómo funciona. Cual es la versión de Android? Porque en la store hay mil apps muy parecidas [+risas]

Por cierto, a te refieres a convertirla online con Dropbox?
KeepassX si mal no recuerdo.

Con lo de online me refiero a que si pongo el archivo en Dropbox puedo tener todas mis contraseñas sincronizadas lo mire en el PC, el móvil o el aparato que sea.
¿Y para hacer eso no es más fácil usar el gestor de contraseñas de Google mismo? [fumando]
Gestor,no.
Gurlukovich escribió:¿Y para hacer eso no es más fácil usar el gestor de contraseñas de Google mismo? [fumando]


Pues lo que sea más cómodo, si al final todo se basa en la misma idea.

Yo no lo uso porque cambio entre varios navegadores/dispositivos y con Keepass además de unificarlo todo me genero las contraseñas más seguras; pero vamos, que ese mismo sirve, yo lo usaba y no daba problemas.
Mi recomendación.

Todas metidas en un .txt y comprimido con contraseña. 2 copias de la misma en 2 unidades distintas y a correr. Eso hago yo.
78 respuestas
Archivado
1, 2
Volver a Miscelánea