Vortax  

Buenos días a todos.

Consejo de del día:

A día de hoy, la longitud de password que se considera segura son al menos 24 caracteres y de alta entropía, incluyendo mayúsculas, números y símbolos.

8-9 se considera inseguro, 12-15 aceptable.

Si se utilizan passphrases, debe contener al menos 5 palabras, y debe añadirse mayúsculas y a ser posible algún símbolo de puntuación (y que no sea el último).

1+
fanta ahora en fanta@asocial.56k.es  
@vortax añadiría que meter 24 caracteres de password lo hace mas complejo a ataques de fuerza bruta pero no de sniffing mitm.

Cuanto más larga mejor es un error. No te acordaras de la clave y terminará en un keepaasx o similar.

Un segundo factor de autenticación e incluso un tercero + certificado aumentan mucho más la complejidad. Eso y monitorización de dispositivos y notificación de eventos.

Certificado FNMT + auth biométrica (huella por ejemplo) + password + pin code que llega vía sms + ventana de tiempo + control de número de accesos erróneos y bloqueo + control dispositivos y notificación + ...

Eso es mucho mejor que una password larga.

No obstante una larga es mejor que una corta casi siempre (salvo si es numérica simplemente) y por tanto es buena la recomendación que haces.

Saludos cordiales.

Gracias
1
Vortax  

@fanta
Hoy en día todos los sites usan TSL (y los usuarios deberían usar VPN) así que el MITM es un problema menor. Además, requiere targeting concreto. La inmensa mayoría de robos de cuentas ocurren por brechas en sites y bruteforce de los hashes, no por ataques MITM.

Totalmente de acuerdo respecto a lo de los 2FA.

Respecto a lo de que la longitud hará que el password acabe en un Keepass, por supuesto, porque es así donde debe estar :)

1+
fanta ahora en fanta@asocial.56k.es  
@vortax el otro día comentaban en una charla que casi mejor si está en la cabeza la password. Pero lo veo poco realista si usas 12000 passwords diferentes. Al final terminan en un keepass porque es imposible acordarse de todas.

Ayer me encontré un fallo chuli en una web de un cliente que me daba user y password y mail de los users (entre otras cosas). Disfrute de passwords de nombres de hijos, mujer, ... Pero en especial de las cachondas. Una de ellas denotaba desesperación. User: Almudena , Password: estoyharta1

:)
1+
fanta ahora en fanta@asocial.56k.es  
@vortax aparte el humano cuando nos vamos de vacaciones terminamos por olvidar toda password.

Otra cosa más: que la password caduque :).
1
Vortax
Follow

@fanta
Lo de que la password caduque está cada vez más en entredicho. Se ha demostrado en varios estudios que esa directiva hace que los usuarios acaben repitiendo siempre el mismo password con una mínima variación ("mipas$ENE" "mipas$ABR") lo que hace que si un password antiguo se filtra, es trivial averiguar el nuevo. Todos en el trabajo hacemos lo mismo, normalmente con un número al final 1, luego 2, luego 3...

· · Fedilab · 0 · 0 · 1
Sign in to participate in the conversation
Mastodon 🔐 privacytools.io

Fast, secure and up-to-date instance. PrivacyTools provides knowledge and tools to protect your privacy against global mass surveillance.

Website: privacytools.io
Matrix Chat: chat.privacytools.io
Support us on OpenCollective, many contributions are tax deductible!

Resources

Developers

What is Mastodon?

social.privacytools.io

More…