Buenos días a todos.
Consejo de #seguridad del día:
A día de hoy, la longitud de password que se considera segura son al menos 24 caracteres y de alta entropía, incluyendo mayúsculas, números y símbolos.
8-9 se considera inseguro, 12-15 aceptable.
Si se utilizan passphrases, debe contener al menos 5 palabras, y debe añadirse mayúsculas y a ser posible algún símbolo de puntuación (y que no sea el último).
Cuanto más larga mejor es un error. No te acordaras de la clave y terminará en un keepaasx o similar.
Un segundo factor de autenticación e incluso un tercero + certificado aumentan mucho más la complejidad. Eso y monitorización de dispositivos y notificación de eventos.
Certificado FNMT + auth biométrica (huella por ejemplo) + password + pin code que llega vía sms + ventana de tiempo + control de número de accesos erróneos y bloqueo + control dispositivos y notificación + ...
Eso es mucho mejor que una password larga.
No obstante una larga es mejor que una corta casi siempre (salvo si es numérica simplemente) y por tanto es buena la recomendación que haces.
Saludos cordiales.
Gracias
@fanta
Hoy en día todos los sites usan TSL (y los usuarios deberían usar VPN) así que el MITM es un problema menor. Además, requiere targeting concreto. La inmensa mayoría de robos de cuentas ocurren por brechas en sites y bruteforce de los hashes, no por ataques MITM.
Totalmente de acuerdo respecto a lo de los 2FA.
Respecto a lo de que la longitud hará que el password acabe en un Keepass, por supuesto, porque es así donde debe estar :)
@fanta
Also:
Yo tengo 140 passwords en mi manager. Da igual que los passwords sean de 8 o de 100 caracteres, es imposible recordar 140 passwords distintos. El uso de un password manager es obligatorio salvo que solo tengas que manejar menos de 20 cuentas (como muchísimo).
Dado que voy a usar password manager sí o sí, al menos que el password sea seguro ;)
Ah, por cierto, los 2FA por SMS están considerados como inseguro, por las técnicas de SIM cloning.
Puede que sea un error, porque aunque cada contraseña es diferente, si dan con mi método se comprometen todas, pero es altamente improbable (y voy modificando cada cierto tiempo el método) @fanta
Yo soy absolutamente incapaz de recordar multiples passwords.
De todos modos, se podría argumentar que un sistema de generación de claves (tipo pautas de teclas o similar) no es más seguro que un manager, ya que al igual que en un manager, todas tus contraseñas están protegidas por una única contraseña (en tu caso, una pauta). Cómo mucho, un beneficio relativo. Tiene ventajas, pero Tb desventajas.
@fanta
