Vortax @Vortax@social.privacytools.io
- privacy
Joined Mar 2019
Yo soy absolutamente incapaz de recordar multiples passwords.
De todos modos, se podría argumentar que un sistema de generación de claves (tipo pautas de teclas o similar) no es más seguro que un manager, ya que al igual que en un manager, todas tus contraseñas están protegidas por una única contraseña (en tu caso, una pauta). Cómo mucho, un beneficio relativo. Tiene ventajas, pero Tb desventajas.
@fanta
@rtfm
@josantleon@mastodon.social @dsteve @sergiotarxz
Corrección: todo el mundo piensa que pagar con tarjeta es lo mejor que puede suceder. Cuándo comemos en el trabajo, soy el único que paga en efectivo. El único.
Y si mencionas algo, querer pagar en metálico es porque te importa que sepan que lo que haces, así que... (Redoble de tambores) "algo querrás ocultar"
@rtfm
@mikelalasmuto@mastodon.social @sherpa@ieji.de @dsteve @josantleon@mastodon.social @sergiotarxz
No puedes esperar que los gobiernos promuevan soluciones P2P que les impiden controlar a la población.
No puedes esperar que la población (las masas) aboguen por soluciones P2P cuando las centralizadas funcionan mejor a nivel de usuario.
Estamos jodidos...
@dsteve
@rtfm @josantleon@mastodon.social @sergiotarxz
Bastante "experto" o bastante "zumbao", según el punto de vista.
@rtfm
@josantleon@mastodon.social @dsteve @sergiotarxz
Creo que lo esencial es lo que has dicho "bajo las condiciones actuales".
Esto es algo que requiere cambio social, como lo ha sido que las mujeres voten o los negros puedan usar los mismos baños que los blancos.
El problema es que los efectos de la falta de privacidad son insidiosos, y sus beneficios (it's freeee) muy evidentes.
Y educación. Nos falta mucha.
@josantleon@mastodon.social
El problema es que no hay nada infalible a día de hoy.
Los passwords se olvidan, los objetos se pierden, las biométricas cambian (un accidente o un simple corte puede cambiar tu huella).
2FA siempre es mejor que 1FA, pero dudo que los passwords vayan a desaparecer... Ofrecen ventajas sobre los otros métodos, ppalmente coste y sencillez de implementación.
@fanta
Lo de que la password caduque está cada vez más en entredicho. Se ha demostrado en varios estudios que esa directiva hace que los usuarios acaben repitiendo siempre el mismo password con una mínima variación ("mipas$ENE" "mipas$ABR") lo que hace que si un password antiguo se filtra, es trivial averiguar el nuevo. Todos en el trabajo hacemos lo mismo, normalmente con un número al final 1, luego 2, luego 3...
Estás hablando de SQLi? Independiente del medio de obtención de la base de datos de usuarios y passwords (sea brecha por inyección o por otro método), el auténtico fallo es que los passwords estuvieran en plaintext en vez de almacenarse como hash. Es inadmisible.
Este es el motivo de usar un pass diferente para cada web. Basta un webmaster así para que tu password súper seguro se filtre, y si lo usas en otros lados... La cagamos.
@fanta
Also:
Yo tengo 140 passwords en mi manager. Da igual que los passwords sean de 8 o de 100 caracteres, es imposible recordar 140 passwords distintos. El uso de un password manager es obligatorio salvo que solo tengas que manejar menos de 20 cuentas (como muchísimo).
Dado que voy a usar password manager sí o sí, al menos que el password sea seguro ;)
Ah, por cierto, los 2FA por SMS están considerados como inseguro, por las técnicas de SIM cloning.
@fanta
Hoy en día todos los sites usan TSL (y los usuarios deberían usar VPN) así que el MITM es un problema menor. Además, requiere targeting concreto. La inmensa mayoría de robos de cuentas ocurren por brechas en sites y bruteforce de los hashes, no por ataques MITM.
Totalmente de acuerdo respecto a lo de los 2FA.
Respecto a lo de que la longitud hará que el password acabe en un Keepass, por supuesto, porque es así donde debe estar :)
Buenos días a todos.
Consejo de #seguridad del día:
A día de hoy, la longitud de password que se considera segura son al menos 24 caracteres y de alta entropía, incluyendo mayúsculas, números y símbolos.
8-9 se considera inseguro, 12-15 aceptable.
Si se utilizan passphrases, debe contener al menos 5 palabras, y debe añadirse mayúsculas y a ser posible algún símbolo de puntuación (y que no sea el último).
@josantleon@mastodon.social
Para nada.
Dirán que se aplica, la gente irá igual a ser atendida, y nadie se atreverá a denegar asistencia por un tema de pago (si vas a juicio te crujen pero instantáneo).
Luego enviaran factura, pero el afectado no lo pagará y punto (esto hace tiempo que se hace, jamás nadie ha pagado).
@josantleon@mastodon.social
Nadie lo va a aplicar. Olvidaos.
Vamos con un poco de #indie
1999, love of Lesbian. Grandiosos.
#musica #indieespañol #loveoflesbian #hayvidamasalladelamusicadesiempre
@josantleon@mastodon.social
@dsteve
Desgraciadamente sí (T_T)
Todavía estoy dándole vueltas al tema del TOTP, y pensando en pasarme al U2F. El tema es que quiero tener sincronizadas las Seeds con la tablet y además backups.
Podría hacer algo exportando las Seeds de un programa FOSS y sincronizando con Syncthing y backup con borg o nextcloud o rclone... Pero sinceramente, estoy en el punto de demasiada complicación para seguridad excesiva. No me quiero pasar.
@josantleon@mastodon.social
@dsteve
Sigues teniendo la vulnerabilidad inherente de todo lo que se sincroniza online: si hay una brecha en los servidores de authy, podrían obtener tus Seeds, pero como siempre, primero tendrían que romper la encriptación de tu base de datos (se guardan encriptadas), así que el riesgo no es mayor que el de cualquier servicio online.
@josantleon@mastodon.social
@dsteve
Evitas el riesgo porque no puedes registrar nuevos dispositivos sin tener acceso físico a uno ya registrado.
Si ahora mismo te diera mi cuenta y mi password de authy, tú no podrías acceder a mis 2FA sin robarme antes el móvil o la tablet (en esencia lo mismo que una llave física)
@josantleon@mastodon.social
@dsteve
Sí, totalmente. Salvo cuando te roban el móvil y pierdes todos los códigos.
Si, ya lo sé. Guardas una copia de cada Seed en un lugar encriptado, y si te roban el móvil, vuelves a introducir las Seeds en el próximo móvil y listo.
Eso es básicamente lo que hace authy, solo que hace el backup automáticamente. Yo solo uso el móvil para TOTP. Siempre. Pero en mi casa hay una tablet, y esta se autosincroniza. Backup de las Seeds.
@josantleon@mastodon.social
@dsteve @rtfm @sergiotarxz
Muchas gracias, me las voy a empollar ^_^
"In fact, when you first install the Authy app on any device, we encourage you to install it again on another device like a tablet or desktop, to use as a backup. Once your backup device is enabled, disable Multi-device to prevent the risk of any unauthorized devices being added (This will still allow you to access your account from all existing devices)."
(Me ha costao encontrarlo, está escondido XD)
- privacy
Joined Mar 2019
