Justo en el Día Mundial de la Contraseña, que se celebra este 5 de mayo, las grandes compañías de tecnología Apple, Google y Microsoft anunciaron que se han comprometido a crear un soporte común para que los usuarios hagan inicio de sesión sin contraseñas. Esto abarcará a todas las plataformas de estas empresas, tanto móviles como de escritorio, incluyendo los navegadores. La idea es que esto ocurra antes de que finalice 2023.
#11:
#2#6 Nadie piensa en lo inseguros que estariamos algunos con una contraseña tan corta
#15:
"la idea es que el teléfono sea el “desbloquedor” principal del conjunto de aplicaciones y entornos"
"no habrá necesidad de recordar los detalles de inicio de sesión en cada uno de los servicios ni comprometer la seguridad al reutilizar las mismas contraseñas en diferentes sitios."
Aham... así si tu móvil está comprometido tendrán acceso a todo, no vaya a ser que quede algo. Pero sí, mucho más seguro.
Se les ha olvidado comentar lo estupendo que será tener la información completa de los usuarios, Se venderá mucho mejor a terceros.
#3:
Las cambian todas a tu DNI o si no "admin" por defecto.
editado:
usar el teléfono como desbloqueador, bonita manera de capturar información sensible, identificarte y encima un plan sin fisuras. Ahora a ver cómo proteges el teléfono, nunca se ha visto una vulnerabilidad en Android ni gente abusando push notificacions para hackear empresas importantes incluso con 2fa.
#79:
#12 Para empezar lo de los tipos de caracteres es una tontería. Es mucho más segura una contraseña cuanto más larga es, aunque sólo sean letras minúsculas, que una más corta con símbolos raros.
Que te obliguen a diferentes tipos de caracteres es sólo una forma de complicarte la vida, cuando sería muy fácil aprenderse una frase, por ejemplo:
De todas formas es muy peliculero eso de ponerse a conseguir una contraseña por fuerza bruta, excepto si es de un fichero que ya tienes físicamente y no tiene medidas de bloqueo. Desde hace décadas, cualquier sistema vivo bloquea los intentos de sesión a una cuenta cuando te has equivocado X veces.
#111:
#81 Donde yo trabajo no te bloquean, te dejan seguir intentándolo devolviéndote siempre error aunque aciertes, y marcan como comprometidos todas las credenciales que encuentres.
Suponte que tienes una lista de emails/contraseñas que has obtenido de cualquier otro sitio, y las pruebas en nuestros sitios para ver si algún usuario ha reutilizado la contraseña.
Tras los primeros fallos, te dejamos seguir, y nos ayudas a detectar si alguno de nuestros usuarios está afectado por el leak.
#82:
#29 Aquél a quién le acaba de caer dentro del wc y necesita acceder a una tienda online para comprar uno nuevo. Pero claro, no puede comprar uno nuevo porque necesitan verificar que es él mediante el móvil antiguo que se acaba de estropear.
Pero bueno, eso se soluciona mandando un correo electrónico al servicio técnico, pero antes de entrar en el correo te piden que verifiques que eres tú ... mediante el móvil que se te acaba de estropear.
Bueno, no pasa nada, vamos a coger el transporte público para ir a la tienda. Pero el transporte público lo tienes en el móvil que se te acaba de estropear. Y de hecho la tienda requiere de cita previa, que hay que pedirla con la aplicación del fabricante, que tienes en ...
#125:
#12 Los que almacenan nuestros datos se deberían preocupar más de tenerlos seguros que de andarnos mareando.
¿De qué sirve estar inventando nuevos métodos seguros de acceso para el usuario si luego les andan robando millones de datos de golpe, cada dos por tres?
#9:
Como vulcanólogo, epidemiólogo analista geopolítico y sobre todo, experto en ciberseguridad, no puedo mas que aplaudir la medida. Una unica contraseña protegiendo toda tu vida online es lo más robusto, porque como enseñan en la tanned eggs university, all eggs, same basket
#81:
#12Con un sistema de fuerza bruta y un buen ordenador podríamos fácilmente conseguir la contraseña de casi cualquier servicio.
Es imposible hacer ningún ataque de fuerza bruta a un servicio on-line, porque al x intento, lógicamente, te van a bloquear tal como dice #76
#41:
Un mito que han creado los que viven de nuestros datos es que había problemas con nuestras contraseñas, cuando la mayoría de robos gigantescos de password ha sido por fallos de estas grandes empresas y su seguridad. Ahora quieren tu movil y te prometen que con eso ya no pasará más.
#12:
#1 Es que tienen que encontrar una solución a las contraseñas. Hemos pasado de 4 dígitos, a 6 alphanuméricos, a 8 alphanuméricos más símbolos, y esto no puede seguir así, porque vamos a tener que acabar escribiendo casi un libro en la casilla de la contraseña para poder acceder a nuestro correo, etc. No es sostenible. Sobre todo ahora que tenemos ordenadores cada vez más potentes. Con un sistema de fuerza bruta y un buen ordenador podríamos fácilmente conseguir la contraseña de casi cualquier servicio.
Está claro que los sistemas de contraseñas no son sostenibles a medio plazo.
#34:
#6 Los mensajes de error de ese sistema serían "la polla".
* Contraseña demasiado corta
* Contraseña demasiado larga
* La contraseña es débil
* Contraseña incorrecta. Por favor, vuelva a introducirla
* El usuario no corresponde a la contraseña introducida
Hasta los coj*nes de sitios de mierda en los que entras un par de veces al mes a lo sumo pero requieren una contraseña de 8-12 caracteres, de los cuales 2 sean mayusculas, 2 minusculas, 2 numéricos y 2 simbolos y otros 2 que coincidan con reintegro del sorteo de la bonoloto del Jueves anterior... ah, y con cambio de contraseña mensual, que no se puedan repetir las ultimas 20 contraseñas y que no incluyan palabras comunes ni el nombre de usuario en la misma...
Así la gente termina con contraseñas de mierda estilo 1234*asdf y las va a ctualizando a 1234*asdf1, 1234*asdf2, 1234*asdf3.... lo cual es un absurdo y contrario a toda seguridad... pero dado que cubre los criterios de "seguridad" del sitio y que esto ocurre con el 90% de los sitios a los que accedes la gente termina hasta las narices de recordar combinaciones sin sentido.
Lo más sano un gestor de contraseñas -pagado o gratuito-, que genere contraseñas totalmente aleatorias con las características de seguridad del sitio y los lugares especialmente sensibles sin incluir en el mismo (como el banco, el correo de recuperación o el servicio de firma unica) y a correr que son 2 dias.
#63:
Que lo han pedido los usuarios se lo sacan del culo.
Es un paso atrás en seguridad, en flexibilidad y en comodidad. Pero a ellos les viene bien para asociar usuario virtual a persona física.
#62:
Vamos a regalar nuestra privacidad y seguridad por no tener que escribir la contrasenya. Cada dia mas lerdos.
#38:
#3 Por no hablar de que te roben el móvil, o lo pierdas, o se te estropee.
Las cambian todas a tu DNI o si no "admin" por defecto.
editado:
usar el teléfono como desbloqueador, bonita manera de capturar información sensible, identificarte y encima un plan sin fisuras. Ahora a ver cómo proteges el teléfono, nunca se ha visto una vulnerabilidad en Android ni gente abusando push notificacions para hackear empresas importantes incluso con 2fa.
#18 yo tengo un móvil viejo (android 6) solo para eso, para los inicios de sesión, el teléfono está de stock y solo tiene agregado el correo de Gmail al que van asociado todo.
#18 O no dar el número de móvil. A mi nunca se me pasaría por la cabeza darle mi numero de móvil a Google. Y mientras existan páginas web para recibir códigos por SMS no veo motivo para dárselo
#31 para montar un Google Authenticator no necesitas proporcionar ningun dato del telefono a la web. De hecho, la obtencion de los codigos de acceso se hace offline mediante un algoritmo, no hay ningun conexion en absoluto.
#3 Yo necesito una APP en el móvil para confirmar además de la contraseña. No veas que risas el día que se me murió el móvil y quede sin acceso a todo. Pude hablar con soporte de la empresa de milagro y resetear todo, pero fueron unas horas tensas jaja
#3 Lo gracioso de esto es a ver cómo recuperas la cuenta si tienes algún problema con el móvil, por ejemplo robo o extravío. Dejar el sistema dependiendo solo del móvil estaría al nivel de poderte hacer tu mismo un ataque de denegación de servicio.
"la idea es que el teléfono sea el “desbloquedor” principal del conjunto de aplicaciones y entornos"
"no habrá necesidad de recordar los detalles de inicio de sesión en cada uno de los servicios ni comprometer la seguridad al reutilizar las mismas contraseñas en diferentes sitios."
Aham... así si tu móvil está comprometido tendrán acceso a todo, no vaya a ser que quede algo. Pero sí, mucho más seguro.
Se les ha olvidado comentar lo estupendo que será tener la información completa de los usuarios, Se venderá mucho mejor a terceros.
#74 No tiene que ser necesariamente otro teléfono. La cuestión es que la confirmación se realice desde otro dispositivo diferente e independiente. Esta era la idea de los tokens físicos, los generadores de claves, las tarjetas, etc.
Y si, yo tengo dos teléfonos. Uno exclusivamente para banca online. Soy un poco paranoico con este tema... pero es que he visto cosas.
#15Aham... así si tu móvil está comprometido tendrán acceso a todo, no vaya a ser que quede algo. Pero sí, mucho más seguro.
Tristemente hoy en día ya es así para la mayoría de personas. Y es que si tienes el móvil desbloqueado de alguien tienes acceso a sus correos electrónicos y a sus mensajes SMS. Por lo que basta usar el botón de "he olvidado la contraseña" para que manden a ese correo electrónico al que tienes acceso un enlace para poner una contraseña nueva a ese sitio y entrar, y si deciden autenticarte con SMS lo recibes también.
A efectos prácticos las contraseñas ya no tienen valor ya que se pueden crear nuevas sin saber la antigua simplemente teniendo acceso al móvil. Ahora lo quieren formalizar.
#77 Por el día de la madre íbamos a regalar un móvil a mi suegra, así que mi mujer me pidió que se lo pusiera "a punto", es decir, todo instalado para que al recibir su móvil tuviese ya el Facebook, el email, la agenda...
Resulta que, como de costumbre, tengo memorizadas todas las contraseñas de la familia porque debo de ser como una especie de memoria con patas, si a mi hermano, mi madre, mi suegra se les olvida la contraseña me la piden a mí.
Pues a pesar de recordar la contraseña no pude entrar en un principio en su cuenta porque le llegaba una notificación a su móvil y a pesar de llamarle para preguntarle por él, no era capaz de ver la dichosa notificación.
Por suerte me di cuenta de que como email de recuperación de clave tenía el de mi mujer, así que pude acceder a su email, facebook, etc.
Mientras tanto a mi suegra le iban llegando avisos por email sobre una posible intrusión en su cuenta ya que la ubicación de ambos dispositivos no concordaba. Lo peor de todo es que aún así no sospechó nada hasta el día de la madre cuando recibió el regalo. Suerte que yo no tenía ningún interés en sus cosas.
A medio titulo ya veía el cielo, no mas botones de configurar cookies, pero no, prefiero que me sigan pidiendo usuario y contraseña, así se cuando entro y cuando entra otro. lo que dice #77
#15 Es curioso que dicen que lo hacen para que todo sea más "transparente" al usuario y todas las empresas que quieren imponer esto, son las que no liberan su código (o algunas partes de el). Biba la transparencia cuando a mi me dé la gana, claro.
Como vulcanólogo, epidemiólogo analista geopolítico y sobre todo, experto en ciberseguridad, no puedo mas que aplaudir la medida. Una unica contraseña protegiendo toda tu vida online es lo más robusto, porque como enseñan en la tanned eggs university, all eggs, same basket
#6 Los mensajes de error de ese sistema serían "la polla".
* Contraseña demasiado corta
* Contraseña demasiado larga
* La contraseña es débil
* Contraseña incorrecta. Por favor, vuelva a introducirla
* El usuario no corresponde a la contraseña introducida
#89 Dependiendo de lo grave que sea la vulneración, en España habría una graduación entre abuso de la seguridad, agresión a la seguridad, y violación de la seguridad.
#2 Como dicen el artículo, con el teléfono, ya sea con dibujos, huellas dactilares o con un PIN, que viene a ser igual que la contraseña pero necesitando el teléfono. Si no tienes conectado el teléfono, no tienes cuenta. Esto tiene la ventaja de que podrán restringir las cuentas gratuitas asignadas a un teléfono.
#30 No sé si Microsoft seguirá teniendo teléfonos, pero quizás también sirva como ofensiva ante los móviles chinos que siguen usando sistemas que no lo son, generalmente Android y sus aplicaciones...Si no es un móvil suyo, quizás tenga limitaciones. No es algo que asegure, pero lo dejo caer . Espero equivocarme.
#30 Monopolizar el sistema de acceso y pillar todos los datos habidos y por haber para ofrecerlos a quienes usen su API de acceso que será, por supuesto, de pago
#30 puede ser que quieran tener un sistema centralizado pasado por ellos. O puede ser que los tres esten pasando por los mismos problemas y esten buscando una solucion conjuntamente.
#13 A veces eso no sirve.
Hay empresas de provisión de suministros que requieren contraseña para entrar en su web y poder hacer pedidos.
Por otra parte, una empresa con varios responsables de compras quieren comprar en esa web y tienen que entrar con un usuario único en nombre de la empresa.
No me parece muy práctico en algunos casos que cada usuario de una misma empresa tenga una subcuenta de acceso, que sería la forma de implementarlo, imagino.
Habrá casos que si, que podría servir. Pero en otros podría ser poco práctico para trabajar con varios suministradores. Me parece que antes habría que hacer una normalización por esa parte.
#13 No sólo facilita la censura, sino también el espionaje y la colaboración con países que no respetan los derechos humanos. También dificulta la funcionalidad de las VPNs y similares, y nos deja más expuestos a la manipulación mediática selectiva.
#2 Nada más sacar Apple el primer iPhone con sensor de huella, habían salido noticias de gente que desbloqueaba el iphone con los pezones. Me niego a creer que lo que dices tú no lo haya intentado nadie.
(Por favor, inserten tutorial de desbloqueo con ese método en los siguientes comentarios )
Un mito que han creado los que viven de nuestros datos es que había problemas con nuestras contraseñas, cuando la mayoría de robos gigantescos de password ha sido por fallos de estas grandes empresas y su seguridad. Ahora quieren tu movil y te prometen que con eso ya no pasará más.
#29 Aquél a quién le acaba de caer dentro del wc y necesita acceder a una tienda online para comprar uno nuevo. Pero claro, no puede comprar uno nuevo porque necesitan verificar que es él mediante el móvil antiguo que se acaba de estropear.
Pero bueno, eso se soluciona mandando un correo electrónico al servicio técnico, pero antes de entrar en el correo te piden que verifiques que eres tú ... mediante el móvil que se te acaba de estropear.
Bueno, no pasa nada, vamos a coger el transporte público para ir a la tienda. Pero el transporte público lo tienes en el móvil que se te acaba de estropear. Y de hecho la tienda requiere de cita previa, que hay que pedirla con la aplicación del fabricante, que tienes en ...
#82 Me apuesto un huevo a que todo el tinglado tiene por debajo una contraseña, ya sea generada por el usuario o aleatoria, que se puede usar en caso de que pase algo similar a lo que comentas
#91 Internamente sí existen contraseñas, pero es muy posible que no se haya implementado ningún método para que nadie pueda acceder a esa contraseña (me refiero a soporte técnico, por ejemplo).
La ventaja de esas contraseñas internas es que pueden ser completamente aleatorias y pueden ser muy largas, con lo que son muy seguras ante cualquier ataque de fuerza bruta. Y pueden ser también de tipo clave privada/clave pública, de forma que la autenticación no se pueda reutilizar por el atacante aunque la intercepte.
#82 Seguro que nadie ha pensado en eso. Esas empresas tienen decenas de miles de trabajadores especialistas pero ese problema sólo se te ha ocurrido a ti.
#8 Lo dudo. Seguramente sea un sistema abierto basado en certificados crípticos en donde la privacidad es absoluta. Sino es así, entonces no tiene sentido.
#1 Es que tienen que encontrar una solución a las contraseñas. Hemos pasado de 4 dígitos, a 6 alphanuméricos, a 8 alphanuméricos más símbolos, y esto no puede seguir así, porque vamos a tener que acabar escribiendo casi un libro en la casilla de la contraseña para poder acceder a nuestro correo, etc. No es sostenible. Sobre todo ahora que tenemos ordenadores cada vez más potentes. Con un sistema de fuerza bruta y un buen ordenador podríamos fácilmente conseguir la contraseña de casi cualquier servicio.
Está claro que los sistemas de contraseñas no son sostenibles a medio plazo.
#78 Los gestores de contraseñas son amenudo otro parche a una rueda muy desgastada, que además añade vulnerabilidades (una vez tienes acceso al gestor, tienes acceso a TODAS ellas).
#78 o la huella dactilar. Si vale para las apps de bancos (en principio la información más sensible o importante que guardamos) no entiendo porque no puedo acceder al correo o cualquier otra cuenta con la huella.
#70 He utilizado kwallet, creo que así se llamaba... aún así no lo considero sostenible, sobre todo porque como pierdas esa única contraseña la has cagado monumentalmente.
#12 Para empezar lo de los tipos de caracteres es una tontería. Es mucho más segura una contraseña cuanto más larga es, aunque sólo sean letras minúsculas, que una más corta con símbolos raros.
Que te obliguen a diferentes tipos de caracteres es sólo una forma de complicarte la vida, cuando sería muy fácil aprenderse una frase, por ejemplo:
De todas formas es muy peliculero eso de ponerse a conseguir una contraseña por fuerza bruta, excepto si es de un fichero que ya tienes físicamente y no tiene medidas de bloqueo. Desde hace décadas, cualquier sistema vivo bloquea los intentos de sesión a una cuenta cuando te has equivocado X veces.
#79 lo de usar frases tampoco es demasiada buena idea. Hay letras que aparecen con mayor frecuencia aue otras al principio de las pabras
Yo intento usar sólo minúsculas y completamente aleatorio
#92 Si crackean la base de datos filtrada accederán a los tokens de autenticación o lo que sea que usen. Internamente siguen existiendo datos para identificar al usuario de una forma u otra.
#81 Donde yo trabajo no te bloquean, te dejan seguir intentándolo devolviéndote siempre error aunque aciertes, y marcan como comprometidos todas las credenciales que encuentres.
Suponte que tienes una lista de emails/contraseñas que has obtenido de cualquier otro sitio, y las pruebas en nuestros sitios para ver si algún usuario ha reutilizado la contraseña.
Tras los primeros fallos, te dejamos seguir, y nos ayudas a detectar si alguno de nuestros usuarios está afectado por el leak.
Con extensiones para el navegador y app para android para autocompletar las contraseñas.
Desde que me lo recomendaron he ido poco a poco cambiando todas mis contraseñas a esto y las creo todas con 32 dígitos, mayúsculas, minúsculas, números, especiales, paréntesis. Podría enseñarte cualquiera de mis contraseñas 10 minutos y seguiría considerándola segura y con una facilidad de uso increible.
#85 Yo también uso keepass y es lo mejor que he hecho en mi vida. Y no solo por la seguridad, sino que ya no tienes que estar intentando acordarte de la pu** contraseña que tenías en esa web. Copiar y pegar.
#85 yo el problema que le veo a esto es que te haces rehén de la app en cuestión. Si el dia de mañana esa app deja de funcionar, estás jodido porque no te sabes tus contraseñas.
#12 Los que almacenan nuestros datos se deberían preocupar más de tenerlos seguros que de andarnos mareando.
¿De qué sirve estar inventando nuevos métodos seguros de acceso para el usuario si luego les andan robando millones de datos de golpe, cada dos por tres?
#12 Te lo crees tú. Para hacer "fuerza bruta" contra una contraseña mínimamente compleja necesitas muchos ordenadores, y tienes que haber conseguido el hash antes. Mira a la gente que hace auditorías con pepinos con varias tarjetas con cuda, y no intentan hacer fuerza bruta pura sino que intentan usar IA y diccionarios.
#12 La fuerza bruta la cortas de raiz bloqueando el login durante diez minutos al tercer intento fallido, y a partir de ahí vas incrementando tiempo por cada fallo sucesivo hasta una hora, un dia o lo que te de la gana. Aparte de eso, puedes permitir que solo se haga un intento de login cada 10 segundos e ignorar el resto, bloquear intentos de login concurrentes desde distintas IPs.... Ponte ahí a probar 8x combinaciones.
#12 Y en las cuentas de empresa ya es la bomba. A parte de los alfanuméricos y símbolos, tienes que cambiarla cada dos meses... Pero ojo, que no pueden repetirse ni parcialmente con alguna que ya hayas usado. Ni por si puesto que lleven parte de tu nombre, DNI o fecha de nacimiento.
#12 realmente el tema de necesitar mayúsculas, minúsculas, y símbolos es un cuento chino. Una contraseña de solo minúsculas suficientemente larga (y aleatoria) es igual de segura.
A parte puedes hacer que el navegador memorice las contraseñas (y poner una contraseña maestra por si acaso) o usar un gestor de contraseñas
Repito, para que una contraseña sea segura solo hace falta que sea larga y aleatoria, dejaros de mayúsculas, números, y símbolos, no vale la pena.
#12 En Firefox tengo un botón que dice "Recordar Contraseña". Y por otro lado no se puede hacer un ataque de fuerza bruta contra un servicio on-line porque pueden verlo y bloquearlo al 5° intento por ejemplo. No tienes oportunidad de ir probando todas las cominaciones sin que te bloqueen...
#_12Con un sistema de fuerza bruta y un buen ordenador podríamos fácilmente conseguir la contraseña de casi cualquier servicio.
Eso no funciona en servicios web, si intentas loggearte demasiadas veces en Google o Facebook te bloquean los intentos temporalmente o te piden otro método de autenticación.
Nota: Este comentario es para responder a @ V.V.V. que por lo visto me tiene en su lista negra de ignorados. Por alguna razón que se me escapa los@admin demeneame han decidido que si alguien te pone en su lista negra ya no puedes citarle en respuesta a sus comentarios públicos, dificultando así el uso de herramientas de menéame como es el ver los comentarios en forma de hilo de discusión. Pongo también en copia a #1 a ver si ayuda en el anidado, disculpas por las molestias.
#1 genial, nosotros los de seguridad luchando por que todo el mundo use MFA y estos queden dejar sólo el Authenticator que además es tan cómodo como una llave en un ojo.
No me quedan venas que cortarme.
#62 el móvil se puede usar de muchas maneras. Si se utiliza como dispositivo de firma criptográfica y se hace de forma segura y privada, bienvenido sea.
#21 Y el que no tenga móvil, ni lector de huellas, ni teclado, ni tablet, ni PC que se joda .
No me seas rata, que lector de huellas dactilares para PC lo puedes encontrar por menos de 30 €. El mío lo tengo desde hace más de 5 años y me lo compre en la web USA de una famosa tienda online por 14$ (de hecho me compre dos). CC #24 (te me has adelantado por 1 minuto).
#20 Los factores biométricos son mucho más inseguros q las contraseñas si tienes acceso físico. Un móvil muy probablemente tenga pegadas las huellas del usuario por todas partes.
Traducido: "Apple, Google y Microsoft acuerdan el sueño de todo usuario de internet: basta de contraseñas dan una vuelta de tuerca más para vincular las personas físicas a las cuentas online."
El problema no es la complejidad de las contraseñas, el problema es la cantidad de contraseñas con las que tenemos que lidiar. Tantas contraseñas que hay gente pagando subscripciones por gestores e contraseñas.
Hasta los coj*nes de sitios de mierda en los que entras un par de veces al mes a lo sumo pero requieren una contraseña de 8-12 caracteres, de los cuales 2 sean mayusculas, 2 minusculas, 2 numéricos y 2 simbolos y otros 2 que coincidan con reintegro del sorteo de la bonoloto del Jueves anterior... ah, y con cambio de contraseña mensual, que no se puedan repetir las ultimas 20 contraseñas y que no incluyan palabras comunes ni el nombre de usuario en la misma...
Así la gente termina con contraseñas de mierda estilo 1234*asdf y las va a ctualizando a 1234*asdf1, 1234*asdf2, 1234*asdf3.... lo cual es un absurdo y contrario a toda seguridad... pero dado que cubre los criterios de "seguridad" del sitio y que esto ocurre con el 90% de los sitios a los que accedes la gente termina hasta las narices de recordar combinaciones sin sentido.
Lo más sano un gestor de contraseñas -pagado o gratuito-, que genere contraseñas totalmente aleatorias con las características de seguridad del sitio y los lugares especialmente sensibles sin incluir en el mismo (como el banco, el correo de recuperación o el servicio de firma unica) y a correr que son 2 dias.
Entras a un sitio, pones la contraseña que crees que tenías para dicho sitio.
Contraseña incorrecta. Vuelves a intentarlo con una contraseña más larga.
Contraseña incorrecta. Vuelves a intentarlo con una con más requisitos.
Contraseña incorrecta. Otra vez lo intentas, con una que tiene al menos un número, una mayúsculas, una minúscula y un carácter no alfanumérico.
Crees que es imposible que recuerdes qué contraseña era y pulsas en la opción de restablecer contraseña.
Te mandan un email y con eso ya te dejan elegir qué contraseña poner. Pones una contraseña.
Error, es obligatorio que la contraseña tenga al menos un número, dos mayúsculas, dos minúsculas y un carácter no alfanumérico.
Bueno, pues ya por fin pones una contraseña que cumple esos requisitos.
Error, no es posible volver a poner la misma contraseña ya existente.
¿Por qué me dijeron que todas las otras contraseñas eran incorrectas y no que no cumplían todos los requisitos?
¡Sólo necesitaba saber los requisitos, algo común para todos, para conocer mi contraseña!
#46 yo soy sistemas de mi empresa...
Y de hecho me está pasando con el Facebook de la empresa, el que lo creó ya no está en la empresa y el tío puso su móvil personal
Y ya se que hay maneras alternativas etc etc etc per me jode que me hagan perder el tiempo con tonterías así, si resulta mi contraseña es fácil me jodo, que ya soy adulto, no tienen porqué decidir otros si lo es o no
#46 bueno, yo tenía un email específico en gmail donde se descargaba mi correo de la empresa para guardarme pruebas en caso de que un día me cortasen el acceso. Cosa que pasó y ciertos mensajes fueron muy útiles durante la negociación posterior.
No os rasguéis las vestiduras aún. El sistema no es tan rompedor como lo vende la noticia.
Actualmente el sistema de usuario-clave, no funciona. Una persona puede manejar unos 200 sitios diferentes (incluso más), y es imposible acordarse de todos los passwords. (reutilizar passwords tampoco es buena idea, ni el sistema "fuck-sitio-web").
Para eso existen los gestores de passwords. Hay muchos, aunque los navegadores integran uno. Ahora mismo lo que hacen, es guardar el usuario y password por cada cuenta. Das de alta un password y ellos te lo guardan de forma segura. Pero ese password depende de lo que tu quieras poner, y caduca...
Pues, lo que que quieren ahora es eliminar ese password, y en su lugar añadir una clave criptográfica.
Y además quieren ir un paso más allá, y para saber que tu eres tú... además de saber algo que solo debes saber tu, van a verificar que tienes algo que solo deberías tener tu.
Y los fabricantes de post it, ¿qué? Nadie piensa en ellos. Perderán parte del mercado, ya nadie tendrá que usar un post it para apuntar la contraseña y pegarla en el monitor.
A ver si se aplican igual en eliminar publicidad basura por todas partes, perseguir estafadores y hacer la informática fácil e intuitiva a nivel de usuario que en perseguir, espiar y controlar los usuarios...
Seguro que sí...
Solo quieren controlar a to cristo, los hideputas.
En su lugar, su teléfono almacenará una credencial FIDO llamada clave de acceso que se utiliza para desbloquear su cuenta en línea.
(...)
Incluso si pierdes tu teléfono, tus claves de acceso se sincronizarán de forma segura con tu nuevo teléfono a partir de una copia de seguridad en la nube, permitiéndote continuar justo donde lo dejaste en tu antiguo dispositivo.
En conclusión. Google, apple o quien sea tendrán acceso a tu identidad. Lo almacenarán en un sitio propietario. Tendrás que usar tu teléfono para todo. Si lo pierdes, necesitarás un nuevo teléfono para sincronizarlo, que tendrás que sincronizar... con tu teléfono robado? con un password?
No se.. no me gusta la idea, pero será porque me hago viejo.
Además, la autentificación en dos pasos se convierte de nuevo en un único paso.
Un sistema de contraseña larga es mucho más seguro que cualquier parámetro biométricos, pero sobre todo que la huella dactilar o el reconocimiento facial. Por ejemplo hace pocos meses salió una noticia, de una chiquitina de cinco años, creo que era, que salvó a su familia de un incendio, ¿cómo? desbloqueando el iPhone de su padre con su cara, pues estaba dormido, y llamando a la policía. Esto que suena tan bonito, no lo es si fuese por ejemplo para entrar en la cuenta de un banco, por poner un ejemplo.
Esto sin hablar que el tema de iCloud y filtraciones de fotos de famosxs, se basó precisamente en las "ventajas" de la doble autentificación, y recuperación de la clave.
De hecho esto que pretenden es el sueño de la SGAE & company (un identificador único que identifique a cada persona, realmente). Esto sin hablar de los poderes que se le acaban de dar a Europol, para que incluso de ciudadanxs que no cometan delitos, puedan tratar y almacenar datos personales.
¿El sueño de todo usuario de internet? Si esto es verdad es una noticia pésima.
El doble factor de autenticación ha demostrado por activa y por pasiva que no sirve para nada. Apple ha sustituido contraseñas por nombres de usuario (mi huella dactilar es mi nombre de usuario, no mi contraseña).
Lo que hay que hacer es educar para que la gente tenga una política de contraseñas correcta. Quitarlas sólo conllevará problemas. Problemas para el usuario, para los administradores de red... para absolutamente todos. Es una noticia desastrosa.
#66El doble factor de autenticación ha demostrado por activa y por pasiva que no sirve para nada.
What? A mi me parece un sistema imprescindible para cualquier web importante. O sea para meneame seria overkill, pero para loguearte en paypal...
#66Lo que hay que hacer es educar para que la gente tenga una política de contraseñas correcta . Que utopía más chula. El día que suceda esto y que los políticos dejen de mentir, me pongo a régimen.
A costa de apps extra tipo autenthicator con permiso para espíarte que como te roben el móvil o borres la app te deja sin acceso absolutamente a todo sin forma de recuperarlo?
#58 El authenticator no es más que un generador de tokens con un algoritmo conocido. Te instalas otro, importas el seed de cada sitio que hayas dado de alta y listo.
Me veo yendo al vertedero a recuperar aquel teclado que leía las tarjetas (que ni funcionaba bien) o, aquel lector de huellas por USB que fallaba más que acertaba
‘con un servicio de fuerza bruta’ tu has visto muchas pelis no? Sabes que generalmente se bloquea al tercer intento? Y eso es sólo una de las medidas de seguridad…
Comentarios
Las cambian todas a tu DNI o si no "admin" por defecto.
#3 seguramente opten por un check donde pongan 'palabrita del niño Jesús de que soy quien digo ser'
#3 Hay que tener 2 teléfonos.
El segundo para usarlo como 2º factor de autenticación en todos los servicios.
#18 y la yubikey para desbloquear el segundo teléfono.
#18 (c) Pegasus approved
...
y recuerda que por ley es obligatorio para entidades financieras usar el móvil con segundo factor de autenticación.
#18 yo tengo un móvil viejo (android 6) solo para eso, para los inicios de sesión, el teléfono está de stock y solo tiene agregado el correo de Gmail al que van asociado todo.
#18 O no dar el número de móvil. A mi nunca se me pasaría por la cabeza darle mi numero de móvil a Google. Y mientras existan páginas web para recibir códigos por SMS no veo motivo para dárselo
#3 >> usar el teléfono como desbloqueador, bonita manera de capturar información sensible, identificarte y encima un plan sin fisuras.
Efectivamente. El día que me exijan facilitar datos que me identifiquen, como el teléfono, es el día que dejo de usarlo.
#31 >El día que me exijan facilitar datos que me identifiquen, como el teléfono, es el día que dejo de usarlo.
Aquí lo dejaste escrito, el día que pase te vamos a buscar a casa a ver si es cierto
#40 >> el día que pase te vamos a buscar a casa a ver si es cierto
Bueno pero no le digáis a nadie donde vivo
Three can keep a secret, if two of them are dead.
- Benjamin Franklin
#31 para montar un Google Authenticator no necesitas proporcionar ningun dato del telefono a la web. De hecho, la obtencion de los codigos de acceso se hace offline mediante un algoritmo, no hay ningun conexion en absoluto.
#31 en España necesitas DNI para una SIM cosa que no ocurre en otros países.
#3 Por no hablar de que te roben el móvil, o lo pierdas, o se te estropee.
#3 Yo necesito una APP en el móvil para confirmar además de la contraseña. No veas que risas el día que se me murió el móvil y quede sin acceso a todo. Pude hablar con soporte de la empresa de milagro y resetear todo, pero fueron unas horas tensas jaja
#3 Lo gracioso de esto es a ver cómo recuperas la cuenta si tienes algún problema con el móvil, por ejemplo robo o extravío. Dejar el sistema dependiendo solo del móvil estaría al nivel de poderte hacer tu mismo un ataque de denegación de servicio.
#3 como se hackea el push y a que te refieres con 2fa?
"la idea es que el teléfono sea el “desbloquedor” principal del conjunto de aplicaciones y entornos"
"no habrá necesidad de recordar los detalles de inicio de sesión en cada uno de los servicios ni comprometer la seguridad al reutilizar las mismas contraseñas en diferentes sitios."
Aham... así si tu móvil está comprometido tendrán acceso a todo, no vaya a ser que quede algo. Pero sí, mucho más seguro.
Se les ha olvidado comentar lo estupendo que será tener la información completa de los usuarios, Se venderá mucho mejor a terceros.
#15 además de acceso móvil hará falta otro nivel de seguridad (una contraseña a introducir en el teléfono, huella dactilar, patrón, etc...)
#37 Otro nivel de seguridad sería usar otro dispositivo adicional, como de hecho, se recomendaba hace unos años.
#54 ¿dos teléfonos? ¿tendrías que llevar los dos dispositivos encima siempre?
#74 No tiene que ser necesariamente otro teléfono. La cuestión es que la confirmación se realice desde otro dispositivo diferente e independiente. Esta era la idea de los tokens físicos, los generadores de claves, las tarjetas, etc.
Y si, yo tengo dos teléfonos. Uno exclusivamente para banca online. Soy un poco paranoico con este tema... pero es que he visto cosas.
#15 Aham... así si tu móvil está comprometido tendrán acceso a todo, no vaya a ser que quede algo. Pero sí, mucho más seguro.
Tristemente hoy en día ya es así para la mayoría de personas. Y es que si tienes el móvil desbloqueado de alguien tienes acceso a sus correos electrónicos y a sus mensajes SMS. Por lo que basta usar el botón de "he olvidado la contraseña" para que manden a ese correo electrónico al que tienes acceso un enlace para poner una contraseña nueva a ese sitio y entrar, y si deciden autenticarte con SMS lo recibes también.
A efectos prácticos las contraseñas ya no tienen valor ya que se pueden crear nuevas sin saber la antigua simplemente teniendo acceso al móvil. Ahora lo quieren formalizar.
#77 Por el día de la madre íbamos a regalar un móvil a mi suegra, así que mi mujer me pidió que se lo pusiera "a punto", es decir, todo instalado para que al recibir su móvil tuviese ya el Facebook, el email, la agenda...
Resulta que, como de costumbre, tengo memorizadas todas las contraseñas de la familia porque debo de ser como una especie de memoria con patas, si a mi hermano, mi madre, mi suegra se les olvida la contraseña me la piden a mí.
Pues a pesar de recordar la contraseña no pude entrar en un principio en su cuenta porque le llegaba una notificación a su móvil y a pesar de llamarle para preguntarle por él, no era capaz de ver la dichosa notificación.
Por suerte me di cuenta de que como email de recuperación de clave tenía el de mi mujer, así que pude acceder a su email, facebook, etc.
Mientras tanto a mi suegra le iban llegando avisos por email sobre una posible intrusión en su cuenta ya que la ubicación de ambos dispositivos no concordaba. Lo peor de todo es que aún así no sospechó nada hasta el día de la madre cuando recibió el regalo. Suerte que yo no tenía ningún interés en sus cosas.
A medio titulo ya veía el cielo, no mas botones de configurar cookies, pero no, prefiero que me sigan pidiendo usuario y contraseña, así se cuando entro y cuando entra otro. lo que dice #77
#15 Es curioso que dicen que lo hacen para que todo sea más "transparente" al usuario y todas las empresas que quieren imponer esto, son las que no liberan su código (o algunas partes de el). Biba la transparencia cuando a mi me dé la gana, claro.
Como vulcanólogo, epidemiólogo analista geopolítico y sobre todo, experto en ciberseguridad, no puedo mas que aplaudir la medida. Una unica contraseña protegiendo toda tu vida online es lo más robusto, porque como enseñan en la tanned eggs university, all eggs, same basket
Y cómo vamos a iniciar sesión? con la punta de la polla?
Bueno, me sirve.
#2 un lector biométrico con forma de vagina (o culo) en lata lo haría posible
¿Ese es tu password? Si no lo es, usa el tuyo.
#6 me cuelgo de ti, que el otro salvo para decir chorradas para que no le lleven la contraria se ha puesto en modo unidireccional.
#2 #6 Nadie piensa en lo inseguros que estariamos algunos con una contraseña tan corta
#11 habla por ti, tenemos a gente comoxtrem3 con el que al lector le daria un stackoverflow
#6 Los mensajes de error de ese sistema serían "la polla".
* Contraseña demasiado corta
* Contraseña demasiado larga
* La contraseña es débil
* Contraseña incorrecta. Por favor, vuelva a introducirla
* El usuario no corresponde a la contraseña introducida
#34
* Gotea. Vaya al urólogo.
#6 Eso está muy bien para, por ejemplo, utilizar en el ordenador de la biblioteca... qué ascazo. 😨
#50 llévate tu propio lector...
#56 O no, gente con gustos muy raros.
#6 Tú juegas en otra liga macho. Eso hace caer mis reticencias al pozo del olvido todas a la vez.
#6 #2 Hackers rusos intentan acceder a la información del Ministerio de Defensa... Con erótico resultado.
#86 Entonces cobraría sentido lo de violar la seguridad de ese usuario/equipo?
#89 Dependiendo de lo grave que sea la vulneración, en España habría una graduación entre abuso de la seguridad, agresión a la seguridad, y violación de la seguridad.
#2 Como dicen el artículo, con el teléfono, ya sea con dibujos, huellas dactilares o con un PIN, que viene a ser igual que la contraseña pero necesitando el teléfono. Si no tienes conectado el teléfono, no tienes cuenta. Esto tiene la ventaja de que podrán restringir las cuentas gratuitas asignadas a un teléfono.
#13 justo estaba pensando en qué beneficios tendrá esto para que estas tres empresas se pongan de acuerdo...
#30 No sé si Microsoft seguirá teniendo teléfonos, pero quizás también sirva como ofensiva ante los móviles chinos que siguen usando sistemas que no lo son, generalmente Android y sus aplicaciones...Si no es un móvil suyo, quizás tenga limitaciones. No es algo que asegure, pero lo dejo caer . Espero equivocarme.
#30 Monopolizar el sistema de acceso y pillar todos los datos habidos y por haber para ofrecerlos a quienes usen su API de acceso que será, por supuesto, de pago
#59 No como ahora,
#30 puede ser que quieran tener un sistema centralizado pasado por ellos. O puede ser que los tres esten pasando por los mismos problemas y esten buscando una solucion conjuntamente.
#97 Si, tienen un problema, las cookies de rastreo se les quedan cortas.
#13 A veces eso no sirve.
Hay empresas de provisión de suministros que requieren contraseña para entrar en su web y poder hacer pedidos.
Por otra parte, una empresa con varios responsables de compras quieren comprar en esa web y tienen que entrar con un usuario único en nombre de la empresa.
No me parece muy práctico en algunos casos que cada usuario de una misma empresa tenga una subcuenta de acceso, que sería la forma de implementarlo, imagino.
Habrá casos que si, que podría servir. Pero en otros podría ser poco práctico para trabajar con varios suministradores. Me parece que antes habría que hacer una normalización por esa parte.
#51 Es que el siguiente paso es venderles la moto a las empresas para que integren su sistema de autenticación "porque es más cómodo y seguro".
#51 tambien se puede hacer un sistema de "llaves". Opciones hay.
#13 No sólo facilita la censura, sino también el espionaje y la colaboración con países que no respetan los derechos humanos. También dificulta la funcionalidad de las VPNs y similares, y nos deja más expuestos a la manipulación mediática selectiva.
#2 Lo malo es que sólo te dejarían tres reintentos.... todavía si te dejaran ahí reintentar una y otra vez durante 10 minutitos puessss......
#23 Han intentado acceder a tu cuenta 273 veces en los últimos 10 minutos. Por favor si has sido tú ignora este mensaje
#2 buena idea!
#2 Nada más sacar Apple el primer iPhone con sensor de huella, habían salido noticias de gente que desbloqueaba el iphone con los pezones. Me niego a creer que lo que dices tú no lo haya intentado nadie.
(Por favor, inserten tutorial de desbloqueo con ese método en los siguientes comentarios )
#2 Un e-password por fotopolla
#2 Lo pone en el primer comentario. La primera contraseña es el desbloqueo del móvil. Una vez desbloqueado tienes acceso
#2 como para que salga "La polla debe de ser mayor de 8cm, vuele a intentarlo"
Un mito que han creado los que viven de nuestros datos es que había problemas con nuestras contraseñas, cuando la mayoría de robos gigantescos de password ha sido por fallos de estas grandes empresas y su seguridad. Ahora quieren tu movil y te prometen que con eso ya no pasará más.
#41: Móvil con la pegatina de Pegasus Inside dentro.
Yo incluso diría: ¡ #Pegasus dame tus datos privados de la gente!
#41 Totalmente cierto. Si los "expertos" en seguridad, no se rascasen tanto los huevos (Chema Alonso dixit), pues...
Saludos.
#29 Aquél a quién le acaba de caer dentro del wc y necesita acceder a una tienda online para comprar uno nuevo. Pero claro, no puede comprar uno nuevo porque necesitan verificar que es él mediante el móvil antiguo que se acaba de estropear.
Pero bueno, eso se soluciona mandando un correo electrónico al servicio técnico, pero antes de entrar en el correo te piden que verifiques que eres tú ... mediante el móvil que se te acaba de estropear.
Bueno, no pasa nada, vamos a coger el transporte público para ir a la tienda. Pero el transporte público lo tienes en el móvil que se te acaba de estropear. Y de hecho la tienda requiere de cita previa, que hay que pedirla con la aplicación del fabricante, que tienes en ...
#82 Me apuesto un huevo a que todo el tinglado tiene por debajo una contraseña, ya sea generada por el usuario o aleatoria, que se puede usar en caso de que pase algo similar a lo que comentas
#91 Internamente sí existen contraseñas, pero es muy posible que no se haya implementado ningún método para que nadie pueda acceder a esa contraseña (me refiero a soporte técnico, por ejemplo).
La ventaja de esas contraseñas internas es que pueden ser completamente aleatorias y pueden ser muy largas, con lo que son muy seguras ante cualquier ataque de fuerza bruta. Y pueden ser también de tipo clave privada/clave pública, de forma que la autenticación no se pueda reutilizar por el atacante aunque la intercepte.
#82 a mi tambien me da cosa eso de meter todo en el movil. Me parece un unico punto de fallo.
#82 Seguro que nadie ha pensado en eso. Esas empresas tienen decenas de miles de trabajadores especialistas pero ese problema sólo se te ha ocurrido a ti.
Te ahorro un click, a base de tener acceso a tu móvil.
#8 eso he dicho en #5
#8 Lo dudo. Seguramente sea un sistema abierto basado en certificados crípticos en donde la privacidad es absoluta. Sino es así, entonces no tiene sentido.
Más información en la web de Google (ENG) https://blog.google/technology/safety-security/one-step-closer-to-a-passwordless-future/
#1 Es que tienen que encontrar una solución a las contraseñas. Hemos pasado de 4 dígitos, a 6 alphanuméricos, a 8 alphanuméricos más símbolos, y esto no puede seguir así, porque vamos a tener que acabar escribiendo casi un libro en la casilla de la contraseña para poder acceder a nuestro correo, etc. No es sostenible. Sobre todo ahora que tenemos ordenadores cada vez más potentes. Con un sistema de fuerza bruta y un buen ordenador podríamos fácilmente conseguir la contraseña de casi cualquier servicio.
Está claro que los sistemas de contraseñas no son sostenibles a medio plazo.
#FreeAssange
#12 Bitwarden
#70 Correcto o KeePass, usar un gestor de contraseñas y así no debes memorizar ninguna contraseña, sólo la maestra.
#78 ¿Y porque no un gestor único que implemente OAuth 2.0?
#78 Los gestores de contraseñas son amenudo otro parche a una rueda muy desgastada, que además añade vulnerabilidades (una vez tienes acceso al gestor, tienes acceso a TODAS ellas).
#78 o la huella dactilar. Si vale para las apps de bancos (en principio la información más sensible o importante que guardamos) no entiendo porque no puedo acceder al correo o cualquier otra cuenta con la huella.
#78 #103 #155 Yo recuerdo todas las contraseñas.. no problema, la solución es estar registrado en pocos sitios.
#70 Pensaba que el de #FreeAssange estaría más puesto en el tema
#70 He utilizado kwallet, creo que así se llamaba... aún así no lo considero sostenible, sobre todo porque como pierdas esa única contraseña la has cagado monumentalmente.
#FreeAssange
#12 Para empezar lo de los tipos de caracteres es una tontería. Es mucho más segura una contraseña cuanto más larga es, aunque sólo sean letras minúsculas, que una más corta con símbolos raros.
Que te obliguen a diferentes tipos de caracteres es sólo una forma de complicarte la vida, cuando sería muy fácil aprenderse una frase, por ejemplo:
https://explainxkcd.com/wiki/index.php/936:_Password_Strength
De todas formas es muy peliculero eso de ponerse a conseguir una contraseña por fuerza bruta, excepto si es de un fichero que ya tienes físicamente y no tiene medidas de bloqueo. Desde hace décadas, cualquier sistema vivo bloquea los intentos de sesión a una cuenta cuando te has equivocado X veces.
#79 Creo que te contradices. Hablas de una indiferencia de la fortaleza de claves para luego... fortalezas de claves.
#79 Lo realmente peligroso es reutilizar contraseñas.
La mayoría de las grandes fugas de información es porque alguien usó el mismo password en el foro donde habla de cocina y en el trabajo.
#79 No hace falta ser un caballo para saber que eso es una grapadora a batería, correcto?
#79 lo de usar frases tampoco es demasiada buena idea. Hay letras que aparecen con mayor frecuencia aue otras al principio de las pabras
Yo intento usar sólo minúsculas y completamente aleatorio
#12 Con un sistema de fuerza bruta y un buen ordenador podríamos fácilmente conseguir la contraseña de casi cualquier servicio.
Es imposible hacer ningún ataque de fuerza bruta a un servicio on-line, porque al x intento, lógicamente, te van a bloquear tal como dice #76
#81 se refiere a crackear una base de datos filtrada.
#92 Si crackean la base de datos filtrada accederán a los tokens de autenticación o lo que sea que usen. Internamente siguen existiendo datos para identificar al usuario de una forma u otra.
#81 Donde yo trabajo no te bloquean, te dejan seguir intentándolo devolviéndote siempre error aunque aciertes, y marcan como comprometidos todas las credenciales que encuentres.
Suponte que tienes una lista de emails/contraseñas que has obtenido de cualquier otro sitio, y las pruebas en nuestros sitios para ver si algún usuario ha reutilizado la contraseña.
Tras los primeros fallos, te dejamos seguir, y nos ayudas a detectar si alguno de nuestros usuarios está afectado por el leak.
#81 Obviamente no tiene ni idea del tema
#81 Lo siento pero no me gusta que referencien a ignorados.
#FreeAssange
#12 https://es.wikipedia.org/wiki/KeePass
Con extensiones para el navegador y app para android para autocompletar las contraseñas.
Desde que me lo recomendaron he ido poco a poco cambiando todas mis contraseñas a esto y las creo todas con 32 dígitos, mayúsculas, minúsculas, números, especiales, paréntesis. Podría enseñarte cualquiera de mis contraseñas 10 minutos y seguiría considerándola segura y con una facilidad de uso increible.
cc #16 #42
#85 Te aceptamos el reto de los 10 minutos, pero subimos la apuesta: dinos también el nombre de usuario y el servicio correspondiente.
#85 KeepassXC, sobre todo para los que no quieren complicarse la vida con los plugins
#85 cc #170
#FreeAssange
#85 Yo también uso keepass y es lo mejor que he hecho en mi vida. Y no solo por la seguridad, sino que ya no tienes que estar intentando acordarte de la pu** contraseña que tenías en esa web. Copiar y pegar.
#85 yo el problema que le veo a esto es que te haces rehén de la app en cuestión. Si el dia de mañana esa app deja de funcionar, estás jodido porque no te sabes tus contraseñas.
#12 Llevan una década anunciando el fin de las contraseña y van a esta otra con el mismo sermon.
#94 Ahora la usarás una sola vez, cuando "parees" el sistema, pero contraseña seguro que tienes.
#12 Los que almacenan nuestros datos se deberían preocupar más de tenerlos seguros que de andarnos mareando.
¿De qué sirve estar inventando nuevos métodos seguros de acceso para el usuario si luego les andan robando millones de datos de golpe, cada dos por tres?
#12 La comodidad es inversamente proporcional a la seguridad, tienes q escoger.
#12 Te lo crees tú. Para hacer "fuerza bruta" contra una contraseña mínimamente compleja necesitas muchos ordenadores, y tienes que haber conseguido el hash antes. Mira a la gente que hace auditorías con pepinos con varias tarjetas con cuda, y no intentan hacer fuerza bruta pura sino que intentan usar IA y diccionarios.
#12 Yo creo que una breve autobiografía debería ser suficiente.
#12 lo que van a hacer en realidad es compartir tus datos ( navegación, historial, cookies) entre ellos de manera transparente
Si no eres capaz de gestionar tus contraseñas, entonces no deberías navegar por internet.
#12 La fuerza bruta la cortas de raiz bloqueando el login durante diez minutos al tercer intento fallido, y a partir de ahí vas incrementando tiempo por cada fallo sucesivo hasta una hora, un dia o lo que te de la gana. Aparte de eso, puedes permitir que solo se haga un intento de login cada 10 segundos e ignorar el resto, bloquear intentos de login concurrentes desde distintas IPs.... Ponte ahí a probar 8x combinaciones.
#12 Y en las cuentas de empresa ya es la bomba. A parte de los alfanuméricos y símbolos, tienes que cambiarla cada dos meses... Pero ojo, que no pueden repetirse ni parcialmente con alguna que ya hayas usado. Ni por si puesto que lleven parte de tu nombre, DNI o fecha de nacimiento.
Se queda uno sin ideas.
#12 realmente el tema de necesitar mayúsculas, minúsculas, y símbolos es un cuento chino. Una contraseña de solo minúsculas suficientemente larga (y aleatoria) es igual de segura.
A parte puedes hacer que el navegador memorice las contraseñas (y poner una contraseña maestra por si acaso) o usar un gestor de contraseñas
Repito, para que una contraseña sea segura solo hace falta que sea larga y aleatoria, dejaros de mayúsculas, números, y símbolos, no vale la pena.
#12 En Firefox tengo un botón que dice "Recordar Contraseña". Y por otro lado no se puede hacer un ataque de fuerza bruta contra un servicio on-line porque pueden verlo y bloquearlo al 5° intento por ejemplo. No tienes oportunidad de ir probando todas las cominaciones sin que te bloqueen...
#_12 Con un sistema de fuerza bruta y un buen ordenador podríamos fácilmente conseguir la contraseña de casi cualquier servicio.
Eso no funciona en servicios web, si intentas loggearte demasiadas veces en Google o Facebook te bloquean los intentos temporalmente o te piden otro método de autenticación.
Nota: Este comentario es para responder a @ V.V.V. que por lo visto me tiene en su lista negra de ignorados. Por alguna razón que se me escapa los@admin demeneame han decidido que si alguien te pone en su lista negra ya no puedes citarle en respuesta a sus comentarios públicos, dificultando así el uso de herramientas de menéame como es el ver los comentarios en forma de hilo de discusión. Pongo también en copia a #1 a ver si ayuda en el anidado, disculpas por las molestias.
#76 Tal vez están intentando que Elon Musk compré meneame para defender la libertad de expresión.
Malas noticias. Esto es un patio, no una plaza pública global.
#1 genial, nosotros los de seguridad luchando por que todo el mundo use MFA y estos queden dejar sólo el Authenticator que además es tan cómodo como una llave en un ojo.
No me quedan venas que cortarme.
Vamos a regalar nuestra privacidad y seguridad por no tener que escribir la contrasenya. Cada dia mas lerdos.
#62 el móvil se puede usar de muchas maneras. Si se utiliza como dispositivo de firma criptográfica y se hace de forma segura y privada, bienvenido sea.
Y el que no tenga movil, que se joda
#5 Funcionará también desde PCs que tengan un sistema biométrico como lector de huellas https://9to5mac.com/2022/05/05/apple-google-and-microsoft-to-extend-support-for-fido-passwordless-sign-in/
#20 Y el que no tenga lector de huellas, que se joda
#21 Los hay externos por 25€ https://amzn.to/3w71opF que ya funcionan con Windows Hello https://bit.ly/3sfVm4O
#21 Y el que no tenga móvil, ni lector de huellas, ni teclado, ni tablet, ni PC que se joda .
No me seas rata, que lector de huellas dactilares para PC lo puedes encontrar por menos de 30 €. El mío lo tengo desde hace más de 5 años y me lo compre en la web USA de una famosa tienda online por 14$ (de hecho me compre dos). CC #24 (te me has adelantado por 1 minuto).
#26 Si se conectan a internet a través de una cafetera ya tienen problemas que sólo se solucionan con medicación
#26
¿Y si eres tetrapléjico? ¿y si no tienes manos? (esta me la sé: no hay galleta )
#26 #24 Yo por ejemplo con eso tengo problemas no me pillan la huella bien nunca... y me pasa con todos, eso no siempre es la solucion
#20 Las huellas no tengo claro cuan fiables y seguras son la verdad como para fiarse a fuego.
#20 Los factores biométricos son mucho más inseguros q las contraseñas si tienes acceso físico. Un móvil muy probablemente tenga pegadas las huellas del usuario por todas partes.
#20 La huella dactilar, la cara o el ojo nunca deberían sustituir a la contraseña, únicamente al nombre de usuario.
#5 quien no tiene móvil?
Que lo han pedido los usuarios se lo sacan del culo.
Es un paso atrás en seguridad, en flexibilidad y en comodidad. Pero a ellos les viene bien para asociar usuario virtual a persona física.
Traducido: "Apple, Google y Microsoft
acuerdan el sueño de todo usuario de internet: basta de contraseñasdan una vuelta de tuerca más para vincular las personas físicas a las cuentas online."Edito: gracias, #63
Viaducto a la inseguridad de tres carriles.
Malas notícias para la privacidad on line. La sociedad del rebaño está en camino !! 🐐 🐐 🐐
El problema no es la complejidad de las contraseñas, el problema es la cantidad de contraseñas con las que tenemos que lidiar. Tantas contraseñas que hay gente pagando subscripciones por gestores e contraseñas.
#16 Aquí uno de ellos...
Hasta los coj*nes de sitios de mierda en los que entras un par de veces al mes a lo sumo pero requieren una contraseña de 8-12 caracteres, de los cuales 2 sean mayusculas, 2 minusculas, 2 numéricos y 2 simbolos y otros 2 que coincidan con reintegro del sorteo de la bonoloto del Jueves anterior... ah, y con cambio de contraseña mensual, que no se puedan repetir las ultimas 20 contraseñas y que no incluyan palabras comunes ni el nombre de usuario en la misma...
Así la gente termina con contraseñas de mierda estilo 1234*asdf y las va a ctualizando a 1234*asdf1, 1234*asdf2, 1234*asdf3.... lo cual es un absurdo y contrario a toda seguridad... pero dado que cubre los criterios de "seguridad" del sitio y que esto ocurre con el 90% de los sitios a los que accedes la gente termina hasta las narices de recordar combinaciones sin sentido.
Lo más sano un gestor de contraseñas -pagado o gratuito-, que genere contraseñas totalmente aleatorias con las características de seguridad del sitio y los lugares especialmente sensibles sin incluir en el mismo (como el banco, el correo de recuperación o el servicio de firma unica) y a correr que son 2 dias.
#16 También son ganas de pagar, habiendo gestores gratuitos y de código abierto como KeePass...
Entras a un sitio, pones la contraseña que crees que tenías para dicho sitio.
Contraseña incorrecta. Vuelves a intentarlo con una contraseña más larga.
Contraseña incorrecta. Vuelves a intentarlo con una con más requisitos.
Contraseña incorrecta. Otra vez lo intentas, con una que tiene al menos un número, una mayúsculas, una minúscula y un carácter no alfanumérico.
Crees que es imposible que recuerdes qué contraseña era y pulsas en la opción de restablecer contraseña.
Te mandan un email y con eso ya te dejan elegir qué contraseña poner. Pones una contraseña.
Error, es obligatorio que la contraseña tenga al menos un número, dos mayúsculas, dos minúsculas y un carácter no alfanumérico.
Bueno, pues ya por fin pones una contraseña que cumple esos requisitos.
Error, no es posible volver a poner la misma contraseña ya existente.
¿Por qué me dijeron que todas las otras contraseñas eran incorrectas y no que no cumplían todos los requisitos?
¡Sólo necesitaba saber los requisitos, algo común para todos, para conocer mi contraseña!
#75 Exacto.
SI hay requisitos a la hora de crear la contraseña, hay que recordarlos a la hora de introducir la contraseña.
Y nadie, absolutamente nadie, lo hace.
Es el fallo de UX más grande y más extendido que he visto.
Lo odio.
Y si quiero crear un Gmail para la empresa y no tengo móvil de empresa y no me da la gana utilizar mi móvil personal?
#35 ¿Qué haces creándote un
Gmailmail para tu empresa? Que lo creen en sistemas de tu empresa, no tú.Tu duda es un poco ilógica, la verdad.
#46 yo soy sistemas de mi empresa...
Y de hecho me está pasando con el Facebook de la empresa, el que lo creó ya no está en la empresa y el tío puso su móvil personal
Y ya se que hay maneras alternativas etc etc etc per me jode que me hagan perder el tiempo con tonterías así, si resulta mi contraseña es fácil me jodo, que ya soy adulto, no tienen porqué decidir otros si lo es o no
#48 Eso hace aún más ilógica tu duda
#52 has leído mientras editava, vuelve a leer pls.
#46 bueno, yo tenía un email específico en gmail donde se descargaba mi correo de la empresa para guardarme pruebas en caso de que un día me cortasen el acceso. Cosa que pasó y ciertos mensajes fueron muy útiles durante la negociación posterior.
#60 no te pueden empurar por eso? Si hay información sensible de clientes?
Pd: algún sitio donde expliquen cómo se configura?
#35 lo de que te pidan un movil para crear un gmail, es para intentar controlar la creaccion de cuentas falsas/spam.
Que es polemico, pero no tiene nada que ver con las contraseñas
Una maravilla eso de tener el móvil en la mano para logearte en una web en el PC... Todo un avance...
Qué pena que no exista un OpenID
No os rasguéis las vestiduras aún. El sistema no es tan rompedor como lo vende la noticia.
Actualmente el sistema de usuario-clave, no funciona. Una persona puede manejar unos 200 sitios diferentes (incluso más), y es imposible acordarse de todos los passwords. (reutilizar passwords tampoco es buena idea, ni el sistema "fuck-sitio-web").
Para eso existen los gestores de passwords. Hay muchos, aunque los navegadores integran uno. Ahora mismo lo que hacen, es guardar el usuario y password por cada cuenta. Das de alta un password y ellos te lo guardan de forma segura. Pero ese password depende de lo que tu quieras poner, y caduca...
Pues, lo que que quieren ahora es eliminar ese password, y en su lugar añadir una clave criptográfica.
Y además quieren ir un paso más allá, y para saber que tu eres tú... además de saber algo que solo debes saber tu, van a verificar que tienes algo que solo deberías tener tu.
Punto.
Y los fabricantes de post it, ¿qué? Nadie piensa en ellos. Perderán parte del mercado, ya nadie tendrá que usar un post it para apuntar la contraseña y pegarla en el monitor.
A ver si se aplican igual en eliminar publicidad basura por todas partes, perseguir estafadores y hacer la informática fácil e intuitiva a nivel de usuario que en perseguir, espiar y controlar los usuarios...
Seguro que sí...
Solo quieren controlar a to cristo, los hideputas.
En su lugar, su teléfono almacenará una credencial FIDO llamada clave de acceso que se utiliza para desbloquear su cuenta en línea.
(...)
Incluso si pierdes tu teléfono, tus claves de acceso se sincronizarán de forma segura con tu nuevo teléfono a partir de una copia de seguridad en la nube, permitiéndote continuar justo donde lo dejaste en tu antiguo dispositivo.
En conclusión. Google, apple o quien sea tendrán acceso a tu identidad. Lo almacenarán en un sitio propietario. Tendrás que usar tu teléfono para todo. Si lo pierdes, necesitarás un nuevo teléfono para sincronizarlo, que tendrás que sincronizar... con tu teléfono robado? con un password?
No se.. no me gusta la idea, pero será porque me hago viejo.
Además, la autentificación en dos pasos se convierte de nuevo en un único paso.
Un sistema de contraseña larga es mucho más seguro que cualquier parámetro biométricos, pero sobre todo que la huella dactilar o el reconocimiento facial. Por ejemplo hace pocos meses salió una noticia, de una chiquitina de cinco años, creo que era, que salvó a su familia de un incendio, ¿cómo? desbloqueando el iPhone de su padre con su cara, pues estaba dormido, y llamando a la policía. Esto que suena tan bonito, no lo es si fuese por ejemplo para entrar en la cuenta de un banco, por poner un ejemplo.
Esto sin hablar que el tema de iCloud y filtraciones de fotos de famosxs, se basó precisamente en las "ventajas" de la doble autentificación, y recuperación de la clave.
De hecho esto que pretenden es el sueño de la SGAE & company (un identificador único que identifique a cada persona, realmente). Esto sin hablar de los poderes que se le acaban de dar a Europol, para que incluso de ciudadanxs que no cometan delitos, puedan tratar y almacenar datos personales.
Saludos.
una forma es: una cuenta asociada a un móvil y te envían a tu móvil un pin, como hacen los bancos
pero yo creo que las contraseñas no morirán, depende del sitio web
#14 Pues sí, no creo que el clásico foro basado en PHPBB vaya a cambiar la forma de logearse
¿El sueño de todo usuario de internet? Si esto es verdad es una noticia pésima.
El doble factor de autenticación ha demostrado por activa y por pasiva que no sirve para nada. Apple ha sustituido contraseñas por nombres de usuario (mi huella dactilar es mi nombre de usuario, no mi contraseña).
Lo que hay que hacer es educar para que la gente tenga una política de contraseñas correcta. Quitarlas sólo conllevará problemas. Problemas para el usuario, para los administradores de red... para absolutamente todos. Es una noticia desastrosa.
#66 El doble factor de autenticación ha demostrado por activa y por pasiva que no sirve para nada.
What? A mi me parece un sistema imprescindible para cualquier web importante. O sea para meneame seria overkill, pero para loguearte en paypal...
#66 Lo que hay que hacer es educar para que la gente tenga una política de contraseñas correcta . Que utopía más chula. El día que suceda esto y que los políticos dejen de mentir, me pongo a régimen.
Pues yo estoy hasta las narices de las contraseñas, todo lo que sea hacer que los inicios de sesión sean mas cómodos bienvenidos sean.
#45 Tan cómodo como no poner contraseña a nada.
#45 si no tienes que poner contraseña, eso es que la contraseña eres tú
Volvemos a los 90
A costa de pedir os el teléfono o escanearnos la cara?
A costa de apps extra tipo autenthicator con permiso para espíarte que como te roben el móvil o borres la app te deja sin acceso absolutamente a todo sin forma de recuperarlo?
#58 El authenticator no es más que un generador de tokens con un algoritmo conocido. Te instalas otro, importas el seed de cada sitio que hayas dado de alta y listo.
Me veo yendo al vertedero a recuperar aquel teclado que leía las tarjetas (que ni funcionaba bien) o, aquel lector de huellas por USB que fallaba más que acertaba
Será el sueño de Apple, Google y Microsoft, lo que sueñas los usuarios es basta de propaganda.!!!
Todo es una maniobra para bloquear los accesos en la nube y dejarte de esclavo. Ellos quieren ejercer el control de quien y donde se accesa.
‘con un servicio de fuerza bruta’ tu has visto muchas pelis no? Sabes que generalmente se bloquea al tercer intento? Y eso es sólo una de las medidas de seguridad…
#64 y si es una base de datos offline?