Buenos días a todos.

Consejo de #seguridad del día:

A día de hoy, la longitud de password que se considera segura son al menos 24 caracteres y de alta entropía, incluyendo mayúsculas, números y símbolos.

8-9 se considera inseguro, 12-15 aceptable.

Si se utilizan passphrases, debe contener al menos 5 palabras, y debe añadirse mayúsculas y a ser posible algún símbolo de puntuación (y que no sea el último).

@vortax añadiría que meter 24 caracteres de password lo hace mas complejo a ataques de fuerza bruta pero no de sniffing mitm.

Cuanto más larga mejor es un error. No te acordaras de la clave y terminará en un keepaasx o similar.

Un segundo factor de autenticación e incluso un tercero + certificado aumentan mucho más la complejidad. Eso y monitorización de dispositivos y notificación de eventos.

Certificado FNMT + auth biométrica (huella por ejemplo) + password + pin code que llega vía sms + ventana de tiempo + control de número de accesos erróneos y bloqueo + control dispositivos y notificación + ...

Eso es mucho mejor que una password larga.

No obstante una larga es mejor que una corta casi siempre (salvo si es numérica simplemente) y por tanto es buena la recomendación que haces.

Saludos cordiales.

Gracias

@fanta
Hoy en día todos los sites usan TSL (y los usuarios deberían usar VPN) así que el MITM es un problema menor. Además, requiere targeting concreto. La inmensa mayoría de robos de cuentas ocurren por brechas en sites y bruteforce de los hashes, no por ataques MITM.

Totalmente de acuerdo respecto a lo de los 2FA.

Respecto a lo de que la longitud hará que el password acabe en un Keepass, por supuesto, porque es así donde debe estar :)