Casi todos los que estamos relacionados con Internet hemos visto este comic de XKCD y como elegir una “contraseña segura”, la lógica siempre me pareció realmente buena por como aumenta el grado de dificultad de ser violada… pero acabo de leer: Password Security: Why the horse battery staple is not correct y la estrategia de @diogomonica me parece genial.
Un resúmen simple podría ser, y perdón si algo queda en el tintero: el modelo de ataques de fuerza bruta es tonto, los ataques con base estadística son de los que hay que protegerse; por lo que idealmente uno debería tener contraseñas únicas y ese debería ser el criterio para elegir una; como esa unicidad es dificil de lograr si uno tiene que razonarla uno raramente debería elegir contraseñas… simplemente usar un muy buen gestor de contraseñas.
Si el gestor de contraseñas es el único punto de falla potencial en tu seguridad, el foco debería estar puesto en generar una clave maestra resistente a ataques de diccionario/estadísticos y punto. ¿Que es dificil confiar en que algo tenga acceso a todas tus contraseñas? complementalo con un factor doble de autenticación y asumo que vas a poder dormir un poco mejor que antes ;)
PS: yo uso 1 Password y doble factor cuando está disponible
PS2: como bien señala @sd el modelo de XKCD es ideal para el master password… con alguo inventado en el medio :P
3 respuestas en “Las contraseñas y el modelo erróneo de XKCD”
La mayoría de usuarios escogemos contraseñas muy fáciles, como nuestro nombre con nuestra fecha de nacimiento, el nombre de alguien de nuestra familia o hasta el nombre de nuestra mascota lo cual hace que fácilmente otra persona se pueda adueñar de nuestras cuentas, lo que nesecitamos es mas guías o artículos como el tuyo que nos ayude a no caer en este típico error.
[…] genial es que se vuelve a ver como el ataque por fuerza bruta resulta tonto e ineficaz frente a los ataques con base estadística y todo esto logró que el equipo de seguridad de Microsoft haya puesto a funcionar todos los […]
Oficialmente soy peor que un androide. Uso LastPass y MiniKeePass y tengo unas ochenta contraseñas, todas distintas, todas aleatorias y casi todas creadas con más de 25 letras, números y símbolos. La única que conozco es la de iTunes, creada con letras y números de las matrículas de coches que pasaban delante mío cuando estaba en la universidad y las frases que desbloquean LastPass y MiniKeePass. La contraseña más insegura que tengo es la del trabajo, la cual se compone de tres letras y cuatro números siguiendo el mismo formato que usan los de IT cuando tienes un problema y te tienen que reparar el equipo. Como el sistema que empleo es visual, tengo una nota en la tapa del portátil para acordarme de cual es el punto de entrada (en el teclado completo) y cuando estoy solo con el portátil las paso canutas porque una parte de la misma es en el teclado numérico que no tiene el portátil. Una vez al año pierdo una hora o dos de mi vida y cambio todas y cada una de las contraseñas aleatorias, por aquello de que más vale prevenir que lamentar.
Solo uso el doble factor con iCloud cuando accedo por web desde la oficina a mirar algo.