Buenos días a todos.
Consejo de #seguridad del día:
A día de hoy, la longitud de password que se considera segura son al menos 24 caracteres y de alta entropía, incluyendo mayúsculas, números y símbolos.
8-9 se considera inseguro, 12-15 aceptable.
Si se utilizan passphrases, debe contener al menos 5 palabras, y debe añadirse mayúsculas y a ser posible algún símbolo de puntuación (y que no sea el último).
Cuanto más larga mejor es un error. No te acordaras de la clave y terminará en un keepaasx o similar.
Un segundo factor de autenticación e incluso un tercero + certificado aumentan mucho más la complejidad. Eso y monitorización de dispositivos y notificación de eventos.
Certificado FNMT + auth biométrica (huella por ejemplo) + password + pin code que llega vía sms + ventana de tiempo + control de número de accesos erróneos y bloqueo + control dispositivos y notificación + ...
Eso es mucho mejor que una password larga.
No obstante una larga es mejor que una corta casi siempre (salvo si es numérica simplemente) y por tanto es buena la recomendación que haces.
Saludos cordiales.
Gracias
@fanta
Hoy en día todos los sites usan TSL (y los usuarios deberían usar VPN) así que el MITM es un problema menor. Además, requiere targeting concreto. La inmensa mayoría de robos de cuentas ocurren por brechas en sites y bruteforce de los hashes, no por ataques MITM.
Totalmente de acuerdo respecto a lo de los 2FA.
Respecto a lo de que la longitud hará que el password acabe en un Keepass, por supuesto, porque es así donde debe estar :)
Puede que sea un error, porque aunque cada contraseña es diferente, si dan con mi método se comprometen todas, pero es altamente improbable (y voy modificando cada cierto tiempo el método) @fanta
Yo soy absolutamente incapaz de recordar multiples passwords.
De todos modos, se podría argumentar que un sistema de generación de claves (tipo pautas de teclas o similar) no es más seguro que un manager, ya que al igual que en un manager, todas tus contraseñas están protegidas por una única contraseña (en tu caso, una pauta). Cómo mucho, un beneficio relativo. Tiene ventajas, pero Tb desventajas.
@fanta
Ayer me encontré un fallo chuli en una web de un cliente que me daba user y password y mail de los users (entre otras cosas). Disfrute de passwords de nombres de hijos, mujer, ... Pero en especial de las cachondas. Una de ellas denotaba desesperación. User: Almudena , Password: estoyharta1
:)
Otra cosa más: que la password caduque :).
@fanta
Lo de que la password caduque está cada vez más en entredicho. Se ha demostrado en varios estudios que esa directiva hace que los usuarios acaben repitiendo siempre el mismo password con una mínima variación ("mipas$ENE" "mipas$ABR") lo que hace que si un password antiguo se filtra, es trivial averiguar el nuevo. Todos en el trabajo hacemos lo mismo, normalmente con un número al final 1, luego 2, luego 3...
Estás hablando de SQLi? Independiente del medio de obtención de la base de datos de usuarios y passwords (sea brecha por inyección o por otro método), el auténtico fallo es que los passwords estuvieran en plaintext en vez de almacenarse como hash. Es inadmisible.
Este es el motivo de usar un pass diferente para cada web. Basta un webmaster así para que tu password súper seguro se filtre, y si lo usas en otros lados... La cagamos.
@fanta
Also:
Yo tengo 140 passwords en mi manager. Da igual que los passwords sean de 8 o de 100 caracteres, es imposible recordar 140 passwords distintos. El uso de un password manager es obligatorio salvo que solo tengas que manejar menos de 20 cuentas (como muchísimo).
Dado que voy a usar password manager sí o sí, al menos que el password sea seguro ;)
Ah, por cierto, los 2FA por SMS están considerados como inseguro, por las técnicas de SIM cloning.