La idea de usar una frase de paso es muy buena, pero la página malinterpreta algunos conceptos que podrían resultar en problemas de seguridad.
1. No os fijéis para nada en la frase "Password is x characters strong". Cuando el diccionario de donde se sacan las palabras es conocido, el número de caracteres no importa en absoluto. Lo que importa es el número de palabras.
2. Esta web sólo permite generar contraseñas de 4 palabras. Puesto que el diccionario es público significa que por defecto una contraseña de cuatro palabras podría descubrirse en un máximo de 5000^4 intentos. O lo que es lo mismo: habría 625000000000000 combinaciones.
Puede parecer mucho, pero en realidad sólo son 49 bits de entropía. Hoy en día el mínimo recomendado para una contraseña segura es de 128 bits.
Por lo tanto, ¿cómo usar esta herramienta de forma segura?
Debéis generar al menos 3 sets de cuatro palabras y tratarlos como uno solo. Es decir, vuestra contraseña debería tener entre 10-12 palabras para ir bien.
PD. Para los extra paranoicos, añadidle o substituid una palabra por una inventada vuestra, aunque sea corta. Habréis multiplicado exponencialmente la fuerza de la contraseña.
#24:
#19 La contraseña de @Jorso es irrelevante+spam+antigua+duplicada
La idea de usar una frase de paso es muy buena, pero la página malinterpreta algunos conceptos que podrían resultar en problemas de seguridad.
1. No os fijéis para nada en la frase "Password is x characters strong". Cuando el diccionario de donde se sacan las palabras es conocido, el número de caracteres no importa en absoluto. Lo que importa es el número de palabras.
2. Esta web sólo permite generar contraseñas de 4 palabras. Puesto que el diccionario es público significa que por defecto una contraseña de cuatro palabras podría descubrirse en un máximo de 5000^4 intentos. O lo que es lo mismo: habría 625000000000000 combinaciones.
Puede parecer mucho, pero en realidad sólo son 49 bits de entropía. Hoy en día el mínimo recomendado para una contraseña segura es de 128 bits.
Por lo tanto, ¿cómo usar esta herramienta de forma segura?
Debéis generar al menos 3 sets de cuatro palabras y tratarlos como uno solo. Es decir, vuestra contraseña debería tener entre 10-12 palabras para ir bien.
PD. Para los extra paranoicos, añadidle o substituid una palabra por una inventada vuestra, aunque sea corta. Habréis multiplicado exponencialmente la fuerza de la contraseña.
La gracia de la contraseña que propone XKCD es que es fácil de memorizar para uno mismo. Solo hay que pensar una frase que uno pueda recordar fácilmente y que sea mínimamente original.
Es una gilipollez usar un generador, te toca memorizar palabras sin sentido para ti y encima es un agujero de seguridad por lo que dice #5
#23 De hecho el xkcd en persona lo tendria bastante mas facil ... solo tendria que grabar todas las contraseñas que ha ido generando y probarlas ... asi a ojo, tardaria 2 segundos en "adivinarla".
Yo creo que esto se puede mejorar de las siguientes formas:
-Intercalar guiones o asteriscos entre las palabras en lugar de espacios en blanco, - _ + * . ; o lo que sea. Incluso no dejar espacios en blanco y poner las palabras pegadas.
-Sustituir en una de las palabras una 'O' por un cero, o una 'E' por un 3, o una 'A' por un cuatro, o cualquier otra letra que sea fácil de recordar.
Creo que es más seguro sustituir sólo una de las letras que salgan varias veces en lugar de sustituirlas todas, ya que hay buscadores de claves que se pueden programar para que busquen las palabras con las letras sustituidas.
-Creo que usar 4 palabras y añadir al final o al principio, o entre la segunda y la tercera un carácter extraño (!"@·#$~%½&¬/?¿~>
desde que vi esa viñeta he creado las contraseñas de esa manera y la cara que te ponen los usuarios cuando se la dices es de "peroquemestascontandopedazodefriki"
Pero bueno, ha de primar la seguridad sobre mi imagen corporativa
En mi empresa usamos un generador tipo-XKCD para las contraseñas aunque ya me dirás.....la cosa de este tipo de contraseñas es para aprenderselas....
Cuando usas KeePass no te hacen falta estas cosas. Simplemente copypegas y a tomar por culo. La única que necesitas es la contraseña de la base de datos en Keepass
#13 Y si algun dia te instalan un keylogger durante 5 minutos, o alguien te ve escribir la maestra, a tomar por culo toda tu seguridad... si, muy inteligente, casi tanto como poner la misma contraseña en todos lados.
#16 A ver, para que eso pasara tendría que pasar....
A) Que alguien consiga escalar privilegios en tu computadora de forma remota (o fisica según tú) e instalarte un keylogger. Para hacerlo de forma física debería de saltarse mi contraseña de sesión (no suelo dejar el ordenador en la oficina sin contraseña, por las putaditas más que otra cosa)
B) Que alguien consiga hacerse con la clave RSA con la que va firmada la base de datos. Supongo que es facil una vez hayas escalado a root, pero vamos, sigue siendo facil de detectar una vez se da el caso.
C) Que alguien de la oficina, supongo que el nuevo becario, decida espiarme para robarme la contraseña que junto a la clave RSA descifra la base de datos de keepass. Supongo que porque nadie se la ha dicho todavía. Para ello tendría que haberme robado mi contraseña del portatil, escalar a root con algun 0-day (supongo) o robarme una segunda contraseña, robarme la contraseña del keepass, la clave y la base de datos, meterla en un pendrive e instalarsela.
No se, macho, yo creo que no lo veo. Ahora, si me dices cual es la mejor manera para mantener un key-chain cooperativo con la seguridad necesaria en una oficina me la explicas (y mejor que el combo keepass-syncthing), que estaría dispuesto a copiartela. Mientras tanto, procura no intentar valorar la inteligencia del resto
#13 Exacto, y con el botoncito magico que te escribe automaticamente el user y el pass te olvidas. Ademas, puedes guardar el archivo donde se almacenan las contraseñas con un archivo-llave tambien, y asi tienes doble seguridad. Y es software libre. ¿Que mas se puede pedir?.
Utilizar palabras que existan en el diccionario no es buena idea si utilizan un comprobador de palabras, aunque una combinación de 4 palabras de longitud random (cómo sé que son 4 palabras de 6 letras y no 3 palabras de 8, por ejemplo) es buena idea.
Por lo que puedo deducir, xkcd-style saca las palabras de Google, y no de un diccionario, ya que, entre las palabras que me ha dado en castellano estaban 'west', 'mastropiero' o 'siquiatra'.
Comentarios
Advertencia de seguridad.
La idea de usar una frase de paso es muy buena, pero la página malinterpreta algunos conceptos que podrían resultar en problemas de seguridad.
1. No os fijéis para nada en la frase "Password is x characters strong". Cuando el diccionario de donde se sacan las palabras es conocido, el número de caracteres no importa en absoluto. Lo que importa es el número de palabras.
2. Esta web sólo permite generar contraseñas de 4 palabras. Puesto que el diccionario es público significa que por defecto una contraseña de cuatro palabras podría descubrirse en un máximo de 5000^4 intentos. O lo que es lo mismo: habría 625000000000000 combinaciones.
Puede parecer mucho, pero en realidad sólo son 49 bits de entropía. Hoy en día el mínimo recomendado para una contraseña segura es de 128 bits.
Por lo tanto, ¿cómo usar esta herramienta de forma segura?
Debéis generar al menos 3 sets de cuatro palabras y tratarlos como uno solo. Es decir, vuestra contraseña debería tener entre 10-12 palabras para ir bien.
PD. Para los extra paranoicos, añadidle o substituid una palabra por una inventada vuestra, aunque sea corta. Habréis multiplicado exponencialmente la fuerza de la contraseña.
#5 O sea:
encisadora lligam verola carrièras jeràrquiques fresc prohibeix làpida pressentia arribeu imperturbable desequilibris
?
#8 Yo prefiero algo como:
devlin freundes gebrauchtwagen brecheisen wiederum bereden synapsen herrscht wollten brander mikroben bajazzo
#8 y en español "en un lugar de la mancha de cuyo nombre no quiero acordarme..
La gracia de la contraseña que propone XKCD es que es fácil de memorizar para uno mismo. Solo hay que pensar una frase que uno pueda recordar fácilmente y que sea mínimamente original.
Es una gilipollez usar un generador, te toca memorizar palabras sin sentido para ti y encima es un agujero de seguridad por lo que dice #5
#19 La contraseña deJorso es irrelevante+spam+antigua+duplicada
#5 solo un matiz: para descubrir la contraseña en un máximo de 5000^4 intentos primero hay que saber que se ha usado el generador.
#23 De hecho el xkcd en persona lo tendria bastante mas facil ... solo tendria que grabar todas las contraseñas que ha ido generando y probarlas ... asi a ojo, tardaria 2 segundos en "adivinarla".
#5 ¿Y usar una contraseña de 15 carácteres sin sentido, con mayúsculas, minúsculas y números cuanta "entropía" o seguridad tiene?
#c-5" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/2548352/order/5">#5 Interesante.
Yo creo que esto se puede mejorar de las siguientes formas:
-Intercalar guiones o asteriscos entre las palabras en lugar de espacios en blanco, - _ + * . ; o lo que sea. Incluso no dejar espacios en blanco y poner las palabras pegadas.
-Sustituir en una de las palabras una 'O' por un cero, o una 'E' por un 3, o una 'A' por un cuatro, o cualquier otra letra que sea fácil de recordar.
Creo que es más seguro sustituir sólo una de las letras que salgan varias veces en lugar de sustituirlas todas, ya que hay buscadores de claves que se pueden programar para que busquen las palabras con las letras sustituidas.
-Creo que usar 4 palabras y añadir al final o al principio, o entre la segunda y la tercera un carácter extraño (!"@·#$~%½&¬/?¿~>
desde que vi esa viñeta he creado las contraseñas de esa manera y la cara que te ponen los usuarios cuando se la dices es de "peroquemestascontandopedazodefriki"
Pero bueno, ha de primar la seguridad sobre mi imagen corporativa
Mmm... ¿y por qué esto está en la categoría Ocio? ¿Porque es gracioso?
En 2011 no tuvo tanta suerte: Fortaleza de contraseñas [ENG]
Fortaleza de contraseñas [ENG]
xkcd.com#12 Y además esa es la propia web del autor, no como la de este meneo, un simple copypaste.
sabem passadís ton rata
balbotejava votarà desfilen honrat
Con muchos intentos puede salir hasta algo decente
Muy bueno. Se puede seleccionar que las genere en español y ya me han salido un par muy buenas.
Me siento estúpido...
En mi empresa usamos un generador tipo-XKCD para las contraseñas aunque ya me dirás.....la cosa de este tipo de contraseñas es para aprenderselas....
Cuando usas KeePass no te hacen falta estas cosas. Simplemente copypegas y a tomar por culo. La única que necesitas es la contraseña de la base de datos en Keepass
#13 Y si algun dia te instalan un keylogger durante 5 minutos, o alguien te ve escribir la maestra, a tomar por culo toda tu seguridad... si, muy inteligente, casi tanto como poner la misma contraseña en todos lados.
#16 A ver, para que eso pasara tendría que pasar....
A) Que alguien consiga escalar privilegios en tu computadora de forma remota (o fisica según tú) e instalarte un keylogger. Para hacerlo de forma física debería de saltarse mi contraseña de sesión (no suelo dejar el ordenador en la oficina sin contraseña, por las putaditas más que otra cosa)
B) Que alguien consiga hacerse con la clave RSA con la que va firmada la base de datos. Supongo que es facil una vez hayas escalado a root, pero vamos, sigue siendo facil de detectar una vez se da el caso.
C) Que alguien de la oficina, supongo que el nuevo becario, decida espiarme para robarme la contraseña que junto a la clave RSA descifra la base de datos de keepass. Supongo que porque nadie se la ha dicho todavía. Para ello tendría que haberme robado mi contraseña del portatil, escalar a root con algun 0-day (supongo) o robarme una segunda contraseña, robarme la contraseña del keepass, la clave y la base de datos, meterla en un pendrive e instalarsela.
No se, macho, yo creo que no lo veo. Ahora, si me dices cual es la mejor manera para mantener un key-chain cooperativo con la seguridad necesaria en una oficina me la explicas (y mejor que el combo keepass-syncthing), que estaría dispuesto a copiartela. Mientras tanto, procura no intentar valorar la inteligencia del resto
#13 Exacto, y con el botoncito magico que te escribe automaticamente el user y el pass te olvidas. Ademas, puedes guardar el archivo donde se almacenan las contraseñas con un archivo-llave tambien, y asi tienes doble seguridad. Y es software libre. ¿Que mas se puede pedir?.
¿Y los diccionarios? ¿Es que nadie va a pensar en los diccionarios?
disbauxa emperatriz flattering vendredi
4 palabras al azar de 4 idiomas diferentes y que no aparecen en los diccionarios comunes de las otras 3. ¿Qué tal así?
¿Y Leonardo Donatello Rafael Michaelangelo?
'whore meneame mafia karma'
así, a boleo...
Utilizar palabras que existan en el diccionario no es buena idea si utilizan un comprobador de palabras, aunque una combinación de 4 palabras de longitud random (cómo sé que son 4 palabras de 6 letras y no 3 palabras de 8, por ejemplo) es buena idea.
Con lo fácil que es usar un método bueno...
#3 Todo asteriscos como la mayoría y ya está...
forzando clavadas inhumano embry
¿Qué?
"feo borracho escúchame oiga" me la quedo.
que tiempos en que la contraseña era "sex" o "god" ...
La busqueda de imagenes se le ha pasado de la cuota y no funciona.
Que me devuelvan mis 30 segundos de vida.
Por lo que puedo deducir, xkcd-style saca las palabras de Google, y no de un diccionario, ya que, entre las palabras que me ha dado en castellano estaban 'west', 'mastropiero' o 'siquiatra'.