Hay alguna manera de crear un password seguro, fácil de recordar, y que sea invulnerable a la mayoría de los ataques? Sí!, gracias a algo llamado ‘password compuesto’ Es muy simple, pero a la vez increíblemente poderoso.
#9:
Mi contraseña la saqué de la frase "grumo operador deidad"
nos da: GOD
Ahora vivo más tranquilo e invulnerable a la mayoría de los ataques.
#1:
Yo ya utilizo una técnica parecida pero con las primeras tres letras de cuatro palabras diferentes.
Por ejemplo: a partir de las palabras maldito reloj despertador mierda genero el password malreldesmie. Incluyo al final la hora en la que suena el maldito reloj despertador de mierda y ya tengo malreldesmie0750. Finalmente elijo la letra que más me gusta y la capitalizo. Resultado: malreldeSmie0750.
El método tiene casi las mismas ventajas y además es rápido de introducir, sin necesidad de volver atrás ni pulsaciones de flecha adicionales.
#11:
No está mal la idea, sin embargo me parece que al final terminaría molestándome el tener que ir hacía adelante y hacia atrás. Sin contar con que en algunos entornos (Unix)no salen * y no puedes estar yendo y volviendo a tu antojo.
Por si a alguien le interesa dejo mi método:
(verbo)+(número)+(sustantivo que no tiene que ver con el verbo)=pescar45magdalenas (es tan tonto que no se te olvida)
Yo ya utilizo una técnica parecida pero con las primeras tres letras de cuatro palabras diferentes.
Por ejemplo: a partir de las palabras maldito reloj despertador mierda genero el password malreldesmie. Incluyo al final la hora en la que suena el maldito reloj despertador de mierda y ya tengo malreldesmie0750. Finalmente elijo la letra que más me gusta y la capitalizo. Resultado: malreldeSmie0750.
El método tiene casi las mismas ventajas y además es rápido de introducir, sin necesidad de volver atrás ni pulsaciones de flecha adicionales.
#2 Tu método es todavía mejor. Es cierto que el descrito en el artículo dificulta los ataques por diccionario, pero no es invulnerable. Bastaría con definir una regla que tome todas las combinaciones de las palabras del diccionario e intercale sus letras.
#3 No se si lo decías un poco de coña, esa regla dejaría la máquina trabajando durante años. Son muchas palabras, muchas letras y muchas conbinaciones posibles. Sería mas rápido un ataque a lo bruto.
Yo suelo usar combinaciones de palabras pero con sentido, para que sean fáciles de recordar. Por ejemplo las comidas: Paella_Domingo, Aceitunas_Rellenas_De_Anchoa, Lacon_con_Grelos...
No son inexpugnables pero si prácticas.
El artículo no está nada mal, resume bien conceptos básicos de seguridad criptográfica, aunque inicialmente a su ejemplo le veo el fallo de que no alterna mayúsculas y minúsculas ni letras y números, ni usa signos no alfabéticos, que es algo básico a la hora de hacer contraseñas seguras; aunque al final de todo actualiza añadiendo un párrafo sobre esto.
De todas formas hay software generador de contraseñas.
No está mal la idea, sin embargo me parece que al final terminaría molestándome el tener que ir hacía adelante y hacia atrás. Sin contar con que en algunos entornos (Unix)no salen * y no puedes estar yendo y volviendo a tu antojo.
Por si a alguien le interesa dejo mi método:
(verbo)+(número)+(sustantivo que no tiene que ver con el verbo)=pescar45magdalenas (es tan tonto que no se te olvida)
Yo sigo usando contraseñas pseudoaleatorias, cambiandolas periodicamente. Si bien son MUY dificiles de recordar, con el uso se me acaban quedando por simple repetición. Todavía no me ha ocurrido, pero el dia que se me olvide alguna... glups...
Y aún así siempre existe el peligro de que te metan un keylogger... ya sea por software o por hardware (por ejemplo, http://www.keyghost.com). Volvemos a lo de siempre, demasiada seguridad por un lado y un agujero por otro (cuantos miramos el final del cable del teclado cada vez que vamos a usarlo?), pero bueno, ya me he acostumbrado a recordar caracteres ininteligibles y sin sentido...
Otro método consiste en usar un número de teléfono que sepas de memoria (obviamente el tuyo no) y transformarlo a "escritura hacker" y alternando mayúsculas y minúsculas 9876543210 => PBT6SAEZIO => PbT6SaEzIo
Lo malo es que es compleja recordarla pero creo que puede ser potente para firmas bancarias y cosas similares.
A mi lo que más me j*de es que en unos sitios obliguen a que la contraseña contenga un número exacto de caracteres (4 en los cajeros, 6 u 8 en muchas webs, etc.) o que incluso te obliguen a que tengan que ser sólo números o que no puedas repetir las 10 últimas (en muchas empresas). Al final nunca se puede tener una única password potente...
Yo uso el método de #8 invento una frase e intercalo mayúsculas y minúsculas. Por ejemplo: 4 Elefentes se columpían en un columpio que soporta 2000 kilos.
4EsCeuCqs2000K
#13 Obviamente debes de tener un método bueno para poder recordar el máximo número posible de passwords "seguros". O tener un número interesante de este tipo de passwords.
Otra manera de complicar un password, y dificulta su resolución, sería así:
a€2fg~AY_2
En fin, un poco chorra la noticia, puntito por curiosa nada mas.
Para empezar eso valdrá en el windows xp, por que en muchisimos sistemas no se puede dar pa tras a la flecha, ni saber donde esta el cursor, y claro si al final en unos sitios si y en otros no, acabas poniendo la de siempre.
Yo abogo por algo tipo el kwallet de kde, y a eso creo que llegaremos algún día. Claves extensas y seguras, que quedarán grabadas en algún lugar que a su vez tendrá tu clave única, y del resto no tendrás que acordarte.
No entiendo tampoco esos sistemas que obligan a cambiar la clave cada X tiempo, ya que al final el usuario acaba poniendola con un posix en la mesa, o peor aún escrita en lapiz en la propia pantalla.
De password perfecto, nada de nada. El artículo no es sólo tonto y simplón, sino que es temerariamente falso. La tontería de juntar dos palabras simples e intercalar sus letras es algo tan simple que cualquier programa de crackeo de passwords es de lo primero que tiene en cuenta.
Hace años que veo en los logs de mis servidores los intentos de ataques a contraseñas, sobre todo de aplicaciones WEB, y todas ellas están basadas en diccionarios ingleses y rarisimamente de fuerza bruta.
Mi opción es usar una palabra larga (contra el brute force attack) y en segundo lugar, que sea una españolada total. Por ejemplo "salchichita","queteveo-ladron", "entrapadentro", etc.
Me ha ido muy bien con ese sistema y si tengo que decirsela a alguien, por estar de viaje o no tener tiempo, no tengo que armar la de Dios como los presentes.
Yo uso otro sistema. Genero sílabas y las combino.
Algunas veces lo hago con un programita y otras intento inspirarme. La cuestión es que cualquier cosa que sea pronunciable es más facil de recordar que si no lo es.
Evidentemente hay que descartar cualquier cosa que tenga el menor significado, y la generación de una sílaba no puede estar basada en la anterior.
Ignoro cuantas sílabas posibles existen en castellano, pero yo me hice un programita que separaba sílabas y lo aplique a las palabras español de un diccionario español ingles y obtuve un listado con la frecuencia en que aparecía cada una de las sílabas encontradas.
af = 1
air = 1
ams = 1
arc = 1
aun = 1
az = 1
back = 1
bad = 1
.....
.....
re = 668
ra = 781
ción = 822
ca = 849
to = 943
ti = 996
co = 1024
do = 1031
ta = 1078
te = 1460
a = 1487
En total obtuve 1873 sílabas.
En realidad lo suyo es hacer un generador se sílabas aleatorio porque el número de sílabas correctamente formadas aplicando las reglas adecuadas tiene que ser muy superior a esta cifra, pero supongamos que nos conformamos solo con esas 1873 sílabas.
La verdad es que el método me parece regulero... Sí, aumenta algo la complejidad del ataque de fuerza bruta, pero si usas sólo 2 o 3 palabras, sólo hay que meter algunos casos más cuando se comprueba cada contraseña del tipo #6 (que también son malas). Además tiene los problemas que habeis comentado del uso de las flechas o el ratón.
#12 Lo de las contraseñas pseudoaleatorias en general no funciona. Si eres capaz de generar una de 8 a 12 caracteres y la recuerdas, perfecto, pero la mayoría de la gente la escribirá en cualquier lado
#14 Para mi el mejor método, coger una frase "tonta" muy larga y poner las iniciales. Y si cambias algunas letras por números que se le parecen ("I" y "l" por "1", "E" por "3"...) es muy difícil de romper, porque el ataque de fuerza bruta tendría que tener en cuenta frases demasiado largas, y aumentaría muchísimo la complejidad
Como no lo he visto escrito aquí les propongo este método de generar contraseñas que puede reforzarse con algunos de los ya descritos. Consiste en generar el password siguiendo la geometria del teclado. Ej:
1) Un par de diagonales paralelas: 1qaz5tgb
2) Un serrucho: qsefthuko;
3) La letra W: 1qazse4rfvgy7
Este método puede reforzarse introduciendo mayúscula espacios o agregando caracteres nuevos. Ej : 1qAz 3Edc/* dos diagonales separadas por espacio con las vocales en mayúsculas y el agregado de /*
"Los keyloggers no registran los clicks del mouse. Si eres un tanto paranoico y tienes miedo de los keyloggers, simplemente reemplaza cada flecha oprimida en el teclado con un click del mouse, escribe tu primera palabra, dale click al inicio del cuadro de texto, etc. El keylogger sólo capturará las teclas que tu presiones"
La mia es infalible, es en blanco. tengo que llevar en la Pal el Algoritmo que la Encripta-Desencripta, es que ni yo me la se.A ver que se atreve a saber una clave que no es nada. Genios, que sois tos unos genios
pero ahora mi contraseña es "incorrecta". Así, cuando me la olvido, pongo "password" o cualquier otra cosa y me salta un cartelito que dice "la contraseña es incorrecta" y así la recuerdo.
El PIN favorito de:
- Un director de películas X: 6969
- El satánico: 6666
- El programador: 0101
- El tacaño: 0000
- El contable: 1234
- El ambicioso: 9999
- El revolucionario: 1239 (Quiere saltos muy rápidos)
- El insulso comedido: 5555
- El "original": su año de nacimiento.
- El destructor: 9870 (tiene prisa por dejarlo todo en nada)
- El suicida: 1110 (ya le iba mal)
- El escéptico: 1111 (y no paso de ahí pues no termino de creerme lo del "1")
- El magufo: 0909 (¿Lo sé todo o no sé nada?)
- Estrella de Hoolywood: 1291 (La fama dura poco).
- Un hincha del PP: 9999 (Hay que mirar este número en el espejo).
- Un amante de la geometría a lo grande: 8998
Seguid vosotros...
Comentarios
Yo ya utilizo una técnica parecida pero con las primeras tres letras de cuatro palabras diferentes.
Por ejemplo: a partir de las palabras maldito reloj despertador mierda genero el password malreldesmie. Incluyo al final la hora en la que suena el maldito reloj despertador de mierda y ya tengo malreldesmie0750. Finalmente elijo la letra que más me gusta y la capitalizo. Resultado: malreldeSmie0750.
El método tiene casi las mismas ventajas y además es rápido de introducir, sin necesidad de volver atrás ni pulsaciones de flecha adicionales.
Buen método también
#2 Tu método es todavía mejor. Es cierto que el descrito en el artículo dificulta los ataques por diccionario, pero no es invulnerable. Bastaría con definir una regla que tome todas las combinaciones de las palabras del diccionario e intercale sus letras.
Repe: Elegir contraseñas seguras
Elegir contraseñas seguras
versvs.netEn realidad, las mejores contraseñas son frases largas. Por ejemplo la anterior
#3 No se si lo decías un poco de coña, esa regla dejaría la máquina trabajando durante años. Son muchas palabras, muchas letras y muchas conbinaciones posibles. Sería mas rápido un ataque a lo bruto.
Yo suelo usar combinaciones de palabras pero con sentido, para que sean fáciles de recordar. Por ejemplo las comidas: Paella_Domingo, Aceitunas_Rellenas_De_Anchoa, Lacon_con_Grelos...
No son inexpugnables pero si prácticas.
El artículo no está nada mal, resume bien conceptos básicos de seguridad criptográfica, aunque inicialmente a su ejemplo le veo el fallo de que no alterna mayúsculas y minúsculas ni letras y números, ni usa signos no alfabéticos, que es algo básico a la hora de hacer contraseñas seguras; aunque al final de todo actualiza añadiendo un párrafo sobre esto.
De todas formas hay software generador de contraseñas.
Yo invento una frase y me quedo con la inicial de cada palabra, cuidando de sustituir algunos caracteres por números. Por ejemplo:
Esta frase genera una contraseña fácil de recordar.
Nos da: Efg1cf2r
Mi contraseña la saqué de la frase "grumo operador deidad"
nos da: GOD
Ahora vivo más tranquilo e invulnerable a la mayoría de los ataques.
jajajajjaa
No está mal la idea, sin embargo me parece que al final terminaría molestándome el tener que ir hacía adelante y hacia atrás. Sin contar con que en algunos entornos (Unix)no salen * y no puedes estar yendo y volviendo a tu antojo.
Por si a alguien le interesa dejo mi método:
(verbo)+(número)+(sustantivo que no tiene que ver con el verbo)=pescar45magdalenas (es tan tonto que no se te olvida)
Yo sigo usando contraseñas pseudoaleatorias, cambiandolas periodicamente. Si bien son MUY dificiles de recordar, con el uso se me acaban quedando por simple repetición. Todavía no me ha ocurrido, pero el dia que se me olvide alguna... glups...
Y aún así siempre existe el peligro de que te metan un keylogger... ya sea por software o por hardware (por ejemplo, http://www.keyghost.com). Volvemos a lo de siempre, demasiada seguridad por un lado y un agujero por otro (cuantos miramos el final del cable del teclado cada vez que vamos a usarlo?), pero bueno, ya me he acostumbrado a recordar caracteres ininteligibles y sin sentido...
Otro método consiste en usar un número de teléfono que sepas de memoria (obviamente el tuyo no) y transformarlo a "escritura hacker" y alternando mayúsculas y minúsculas 9876543210 => PBT6SAEZIO => PbT6SaEzIo
Lo malo es que es compleja recordarla pero creo que puede ser potente para firmas bancarias y cosas similares.
A mi lo que más me j*de es que en unos sitios obliguen a que la contraseña contenga un número exacto de caracteres (4 en los cajeros, 6 u 8 en muchas webs, etc.) o que incluso te obliguen a que tengan que ser sólo números o que no puedas repetir las 10 últimas (en muchas empresas). Al final nunca se puede tener una única password potente...
Yo uso el método de #8 invento una frase e intercalo mayúsculas y minúsculas. Por ejemplo: 4 Elefentes se columpían en un columpio que soporta 2000 kilos.
4EsCeuCqs2000K
#13 Obviamente debes de tener un método bueno para poder recordar el máximo número posible de passwords "seguros". O tener un número interesante de este tipo de passwords.
Otra manera de complicar un password, y dificulta su resolución, sería así:
a€2fg~AY_2
Me gustó el último a€2fg~AY_2
En fin, un poco chorra la noticia, puntito por curiosa nada mas.
Para empezar eso valdrá en el windows xp, por que en muchisimos sistemas no se puede dar pa tras a la flecha, ni saber donde esta el cursor, y claro si al final en unos sitios si y en otros no, acabas poniendo la de siempre.
Yo abogo por algo tipo el kwallet de kde, y a eso creo que llegaremos algún día. Claves extensas y seguras, que quedarán grabadas en algún lugar que a su vez tendrá tu clave única, y del resto no tendrás que acordarte.
No entiendo tampoco esos sistemas que obligan a cambiar la clave cada X tiempo, ya que al final el usuario acaba poniendola con un posix en la mesa, o peor aún escrita en lapiz en la propia pantalla.
Relacionada: http://www.totaki.com/internet/vivela/?ref=1109941919
#6 Eso precisamente es un ataque por fuerza bruta.
http://keepass.info/ Un magnífico generador/gestor de passwords para Linux, Windows y Mac.
No guardo nada lo suficientemente importante como para molestarme en cambiar contraseñas.
De password perfecto, nada de nada. El artículo no es sólo tonto y simplón, sino que es temerariamente falso. La tontería de juntar dos palabras simples e intercalar sus letras es algo tan simple que cualquier programa de crackeo de passwords es de lo primero que tiene en cuenta.
metodo ingenioso, voy a probarlo en mi gmail que ya lleva un tiempo sin actualizarse y últimamente me están apareciendo muchos mails leídos
Hace años que veo en los logs de mis servidores los intentos de ataques a contraseñas, sobre todo de aplicaciones WEB, y todas ellas están basadas en diccionarios ingleses y rarisimamente de fuerza bruta.
Mi opción es usar una palabra larga (contra el brute force attack) y en segundo lugar, que sea una españolada total. Por ejemplo "salchichita","queteveo-ladron", "entrapadentro", etc.
Me ha ido muy bien con ese sistema y si tengo que decirsela a alguien, por estar de viaje o no tener tiempo, no tengo que armar la de Dios como los presentes.
Yo uso otro sistema. Genero sílabas y las combino.
Algunas veces lo hago con un programita y otras intento inspirarme. La cuestión es que cualquier cosa que sea pronunciable es más facil de recordar que si no lo es.
Evidentemente hay que descartar cualquier cosa que tenga el menor significado, y la generación de una sílaba no puede estar basada en la anterior.
Ignoro cuantas sílabas posibles existen en castellano, pero yo me hice un programita que separaba sílabas y lo aplique a las palabras español de un diccionario español ingles y obtuve un listado con la frecuencia en que aparecía cada una de las sílabas encontradas.
af = 1
air = 1
ams = 1
arc = 1
aun = 1
az = 1
back = 1
bad = 1
.....
.....
re = 668
ra = 781
ción = 822
ca = 849
to = 943
ti = 996
co = 1024
do = 1031
ta = 1078
te = 1460
a = 1487
En total obtuve 1873 sílabas.
En realidad lo suyo es hacer un generador se sílabas aleatorio porque el número de sílabas correctamente formadas aplicando las reglas adecuadas tiene que ser muy superior a esta cifra, pero supongamos que nos conformamos solo con esas 1873 sílabas.
1873*1873
3508129
1873*1873*1873
6570725617
1873*1873*1873*1873
12306969080641
1873*1873*1873*1873*1873
23050953088040593
1873*1873*1873*1873*1873*1873
43174435133900030689
Es decir que con 6 sílabas tienes una clave muy superior a la del algoritmo DES de 56 bits, y además muy facil de recordar.
2^55
36028797018963968
#16 Si, en mi oficina hay que cambiar el password cada mes. Resultado: La mayoria de la gente usa como passwords: enero, febrero, marzo, etc...
La verdad es que el método me parece regulero... Sí, aumenta algo la complejidad del ataque de fuerza bruta, pero si usas sólo 2 o 3 palabras, sólo hay que meter algunos casos más cuando se comprueba cada contraseña del tipo #6 (que también son malas). Además tiene los problemas que habeis comentado del uso de las flechas o el ratón.
#12 Lo de las contraseñas pseudoaleatorias en general no funciona. Si eres capaz de generar una de 8 a 12 caracteres y la recuerdas, perfecto, pero la mayoría de la gente la escribirá en cualquier lado
#14 Para mi el mejor método, coger una frase "tonta" muy larga y poner las iniciales. Y si cambias algunas letras por números que se le parecen ("I" y "l" por "1", "E" por "3"...) es muy difícil de romper, porque el ataque de fuerza bruta tendría que tener en cuenta frases demasiado largas, y aumentaría muchísimo la complejidad
Yo tengo un método alternativo que me funciona muy bien y creo que es más seguro:
http://damianvila.wordpress.com/2006/04/04/mini-tutorial-de-contrasenas-seguras/
Como no lo he visto escrito aquí les propongo este método de generar contraseñas que puede reforzarse con algunos de los ya descritos. Consiste en generar el password siguiendo la geometria del teclado. Ej:
1) Un par de diagonales paralelas: 1qaz5tgb
2) Un serrucho: qsefthuko;
3) La letra W: 1qazse4rfvgy7
Este método puede reforzarse introduciendo mayúscula espacios o agregando caracteres nuevos. Ej : 1qAz 3Edc/* dos diagonales separadas por espacio con las vocales en mayúsculas y el agregado de /*
"Los keyloggers no registran los clicks del mouse. Si eres un tanto paranoico y tienes miedo de los keyloggers, simplemente reemplaza cada flecha oprimida en el teclado con un click del mouse, escribe tu primera palabra, dale click al inicio del cuadro de texto, etc. El keylogger sólo capturará las teclas que tu presiones"
4+4=ocho por poner un ejemplo, letras, números y símbolos y además en este caso la clave tiene 8 caracteres con lo cual es más fácil de recordar aun.
Lo mejor es usar claves de cosas que usas dia a dia, por ejemplo:
for(i=0;i
La mia es infalible, es en blanco. tengo que llevar en la Pal el Algoritmo que la Encripta-Desencripta, es que ni yo me la se.A ver que se atreve a saber una clave que no es nada. Genios, que sois tos unos genios
Otro metodo es tener como contraseña una ecuacion conocida del tipo de:
X=a+b+c
Como veis es facil de recordar tiene una mayuscula, simbolos y la longitud es de 7 caracteres
yo al principio usaba simplemente "password"
pero ahora mi contraseña es "incorrecta". Así, cuando me la olvido, pongo "password" o cualquier otra cosa y me salta un cartelito que dice "la contraseña es incorrecta" y así la recuerdo.
El PIN favorito de:
- Un director de películas X: 6969
- El satánico: 6666
- El programador: 0101
- El tacaño: 0000
- El contable: 1234
- El ambicioso: 9999
- El revolucionario: 1239 (Quiere saltos muy rápidos)
- El insulso comedido: 5555
- El "original": su año de nacimiento.
- El destructor: 9870 (tiene prisa por dejarlo todo en nada)
- El suicida: 1110 (ya le iba mal)
- El escéptico: 1111 (y no paso de ahí pues no termino de creerme lo del "1")
- El magufo: 0909 (¿Lo sé todo o no sé nada?)
- Estrella de Hoolywood: 1291 (La fama dura poco).
- Un hincha del PP: 9999 (Hay que mirar este número en el espejo).
- Un amante de la geometría a lo grande: 8998
Seguid vosotros...