Como cada año en estas fechas, los expertos en ciberseguridad han compartido las contraseñas más utilizadas en el año que termina, y una pregunta sobrevuela los resultados, ¿cómo hemos podido sobrevivir como civilización tanto tiempo? Pasarán las décadas, y cuando el banco online le pregunte a un cliente que escriba una contraseña para entrar a la nueva cuenta, el cliente pensará que 123456 es una obra maestra.
#14:
#4#6 Poco se habla de la gente que siempre que accede al sitio, no se acuerda de que mierda puso porque este sitio te obliga a 32 caracteres mayusculas y minusculas al menos 3 numeros y 2 caracteres especiales del bielorruso, y como la contraseña habitual broza q tienes pa registrarte en las webs chancleteras (porque ahora hasta pa cualquier cosa te piden registro) no entra te tienes q inventar una nueva y luego cuando vuelves a tyener q acceder 6 meses despues nunca la recuerdas y tienes q solicitar una nueva.
Y así. asi es mi triste vida, hay sitios en los que habré solicitado mas de 30 veces contraseña nueva
#22:
#1#19 Las contraseñas se guardan en un "hash", no en texto en claro. Normalmente en MD5SUM o SHA1 aunque tambien se usan otros.
El hash es sucesión alfanumérica de longitud fija, que identifica o representa a un conjunto de datos determinados.
Por ejemplo, la contraseña 1234 siempre dará el hash md5 81dc9bdb52d04dc20036dbd8313ed055 i el hash md5 es el que se guarda en la base de datos.
El dueño de la página web, no puede ver tu password, pero puede ver tu hash. El hash es una operación unidireccional (no puedes pasar de hash a contraseña) pero si que puedes saber los resultados hash de las contraseñas más comunes e incluso puedes comprobar cuantas veces se repite el mismo hash, es decir, usuarios que comparten contraseña.
En la base de datos no puedes ver la contraseña, porque se guarda en hash, pero puedes calcular el hash de las contraseñas más comunes. Por ejemplo, si el hash es 21232f297a57a5a743894a0e4a801fc3 la contraseña es "admin".
De aquí la importáncia de usar contraseñas seguras y no repetir entre las distinas páginas web.
#4 Poco se habla de la gente que sigue logueada en los sitios desde que se crearon la cuenta, pusieron la primera parida que se les ocurrió y por tanto ni siquiera saben que necesitan contraseña ni podrían recordarla.
#4#6 Poco se habla de la gente que siempre que accede al sitio, no se acuerda de que mierda puso porque este sitio te obliga a 32 caracteres mayusculas y minusculas al menos 3 numeros y 2 caracteres especiales del bielorruso, y como la contraseña habitual broza q tienes pa registrarte en las webs chancleteras (porque ahora hasta pa cualquier cosa te piden registro) no entra te tienes q inventar una nueva y luego cuando vuelves a tyener q acceder 6 meses despues nunca la recuerdas y tienes q solicitar una nueva.
Y así. asi es mi triste vida, hay sitios en los que habré solicitado mas de 30 veces contraseña nueva
#14 Poco se habla de los mentecatos que programan esas condiciones en las contraseñas. Que las hace más difíciles de recordar para un ser humano, pero para una máquina que esté un caracter bielorruso se la sudan a los circuitos, es más, al acotar condiciones reduces la aletoriedad.
¡Yo maldigo a los que no me dejan poner una frase en larga en castellano, fácil para mi y difícil de descifrar para una máquina!
#16 Con lo fácil que es generar una contraseña con una frase de película mal dicha... (HastaLaPistaBeiby, AVecesBeboMuerdagos, UnVagoNoPlegaTardeOToronto)
Y es que ya no es que no la permitan "larga", me cago yo en las páginas que no te permiten hacer una de "decente" tan solo... Que he visto yo alguna que dice "no puede superar los 12 carácteres".
Qué mierda de programación haces ahí detrás con un límite de 12 caracteres? el maldito PHP, que es mas viejo que el cagar sentao, en su opción básica de hashear contraseñas permite un límite de 72bytes. En el caso de usar lo mas chungo del UTF8 (4 bytes por caracter) te limita a 18 caracteres y tienes que escribirlos en persa o fenicio, en el caso normal (teclado occidental sin virguerías) tienes un límite de 36 caracteres.
Cómo limitas tú la web a 12? Qué tecnología usas? un ábaco?
#31 Si tienes alguna modificación en alguno de los caracteres que no sea esta con un signo de puntuación añadido al final, entonces no has hecho mal en ponerla. De hecho, creo que voy a utilizar tu idea y quizás empiece yo a usar una variación de esta que tú has puesto.
#17 Reíros, pero yo aun me acuerdo cuando eso lo hacíamos en el IRC hispano.
Incluso mas tarde en algún sitio lo hicieron con las fotos de las tarjetas de crédito.
¡¡Y siempre alguien pica!!
#1#19 Las contraseñas se guardan en un "hash", no en texto en claro. Normalmente en MD5SUM o SHA1 aunque tambien se usan otros.
El hash es sucesión alfanumérica de longitud fija, que identifica o representa a un conjunto de datos determinados.
Por ejemplo, la contraseña 1234 siempre dará el hash md5 81dc9bdb52d04dc20036dbd8313ed055 i el hash md5 es el que se guarda en la base de datos.
El dueño de la página web, no puede ver tu password, pero puede ver tu hash. El hash es una operación unidireccional (no puedes pasar de hash a contraseña) pero si que puedes saber los resultados hash de las contraseñas más comunes e incluso puedes comprobar cuantas veces se repite el mismo hash, es decir, usuarios que comparten contraseña.
En la base de datos no puedes ver la contraseña, porque se guarda en hash, pero puedes calcular el hash de las contraseñas más comunes. Por ejemplo, si el hash es 21232f297a57a5a743894a0e4a801fc3 la contraseña es "admin".
De aquí la importáncia de usar contraseñas seguras y no repetir entre las distinas páginas web.
#25 Simplemente buscas en la base de datos los 1000 hashes más comunes y sabes la contraseña.
No sacas nada por fuerza bruta, simplemente buscas los hashes más comunes y generan miles o millones de hashes que ya conocen previamente su resultado. Simeplemte montando un script que busque esos hashes en SQL. No es necesaria ninguna fuerza bruta.
"Q estos ejpertos en seguridad no guardan las pwd hasheadas jijijijiji las guardan en texto plano!!! Jijijijijiji"
Eso no es correcto, los expertos en seguridad CIFRAN los passwords y los almacenan en bases de datos que a veces incluso requieren de dispositivos físicos para poder descrifrase. Por ejemplo una combinación de KeePassXC + contraseña + Llave por hardware (x. ej. Yubikey)+ + un archivo especifico que actua a modo de password largo e incluso certificados digitales.
Es que hacen falta sistemas de protección como el que hay aquí en Menéame, que aunque pegues tu contraseña, sólo la ves tú y el resto ve asteriscos.
Como prueba aquí va la mía: **********
Comentarios
Poco se habla de la gente que pega un papelito con la contraseña en la pantalla.
#4 ...que es lo que acaban haciendo los que ponen contraseñas "indescifrables"
#4 Poco se habla de la gente que sigue logueada en los sitios desde que se crearon la cuenta, pusieron la primera parida que se les ocurrió y por tanto ni siquiera saben que necesitan contraseña ni podrían recordarla.
#4 #6 Poco se habla de la gente que siempre que accede al sitio, no se acuerda de que mierda puso porque este sitio te obliga a 32 caracteres mayusculas y minusculas al menos 3 numeros y 2 caracteres especiales del bielorruso, y como la contraseña habitual broza q tienes pa registrarte en las webs chancleteras (porque ahora hasta pa cualquier cosa te piden registro) no entra te tienes q inventar una nueva y luego cuando vuelves a tyener q acceder 6 meses despues nunca la recuerdas y tienes q solicitar una nueva.
Y así. asi es mi triste vida, hay sitios en los que habré solicitado mas de 30 veces contraseña nueva
#14 Poco se habla de los mentecatos que programan esas condiciones en las contraseñas. Que las hace más difíciles de recordar para un ser humano, pero para una máquina que esté un caracter bielorruso se la sudan a los circuitos, es más, al acotar condiciones reduces la aletoriedad.
¡Yo maldigo a los que no me dejan poner una frase en larga en castellano, fácil para mi y difícil de descifrar para una máquina!
#16 Con lo fácil que es generar una contraseña con una frase de película mal dicha... (HastaLaPistaBeiby, AVecesBeboMuerdagos, UnVagoNoPlegaTardeOToronto)
Y es que ya no es que no la permitan "larga", me cago yo en las páginas que no te permiten hacer una de "decente" tan solo... Que he visto yo alguna que dice "no puede superar los 12 carácteres".
Qué mierda de programación haces ahí detrás con un límite de 12 caracteres? el maldito PHP, que es mas viejo que el cagar sentao, en su opción básica de hashear contraseñas permite un límite de 72bytes. En el caso de usar lo mas chungo del UTF8 (4 bytes por caracter) te limita a 18 caracteres y tienes que escribirlos en persa o fenicio, en el caso normal (teclado occidental sin virguerías) tienes un límite de 36 caracteres.
Cómo limitas tú la web a 12? Qué tecnología usas? un ábaco?
#14 Yo siempre intento usar la misma: M1sc0jone5treintitres
#31 Si tienes alguna modificación en alguno de los caracteres que no sea esta con un signo de puntuación añadido al final, entonces no has hecho mal en ponerla. De hecho, creo que voy a utilizar tu idea y quizás empiece yo a usar una variación de esta que tú has puesto.
#6 estás hablando de mí y de mi cuenta en Menéame. Y encima con un correo electrónico totalmente olvidado también.
#4 Yo la tengo así, pero es falsa. Para ver la buena tienes que despegar el papelito y verla en el reverso del "posit".
#4 No se me había ocurrido pero si es tu ordenador de casa, nadie entra nunca y no temes robos, difícilmente un ciberdelincuente la verá.
#4 Solo los que tienen contraseñas seguras...
#17 Reíros, pero yo aun me acuerdo cuando eso lo hacíamos en el IRC hispano.
Incluso mas tarde en algún sitio lo hicieron con las fotos de las tarjetas de crédito.
¡¡Y siempre alguien pica!!
Jajaja, jamás darán con mi contr... ¡Mierda!
¿Y cómo lo saben? ¿Dónde las contraseñas no están cifradas o se pueden descifrar hoy en día?
#1 esto me preguntaba yo!
#1 #19 Las contraseñas se guardan en un "hash", no en texto en claro. Normalmente en MD5SUM o SHA1 aunque tambien se usan otros.
El hash es sucesión alfanumérica de longitud fija, que identifica o representa a un conjunto de datos determinados.
Por ejemplo, la contraseña 1234 siempre dará el hash md5 81dc9bdb52d04dc20036dbd8313ed055 i el hash md5 es el que se guarda en la base de datos.
El dueño de la página web, no puede ver tu password, pero puede ver tu hash. El hash es una operación unidireccional (no puedes pasar de hash a contraseña) pero si que puedes saber los resultados hash de las contraseñas más comunes e incluso puedes comprobar cuantas veces se repite el mismo hash, es decir, usuarios que comparten contraseña.
Por ejemplo aqui tienes los hash de las 1000 contraseñas más comunes
https://hashtoolkit.com/common-passwords/
En la base de datos no puedes ver la contraseña, porque se guarda en hash, pero puedes calcular el hash de las contraseñas más comunes. Por ejemplo, si el hash es 21232f297a57a5a743894a0e4a801fc3 la contraseña es "admin".
De aquí la importáncia de usar contraseñas seguras y no repetir entre las distinas páginas web.
https://www.md5hashgenerator.com/
Disculpad la redundancia en mi explicación, pero creo que así se entiende.
#22 se que es un hash y de ahí mi pregunta.
Lo de contar las iteraciones de un hash y sacarlo por fuerza bruta para esta estadística me suena a chino.
Sabes lo q pasa? Q estos ejpertos en seguridad no guardan las pwd hasheadas jijijijiji las guardan en texto plano!!! Jijijijijiji
#25 Simplemente buscas en la base de datos los 1000 hashes más comunes y sabes la contraseña.
No sacas nada por fuerza bruta, simplemente buscas los hashes más comunes y generan miles o millones de hashes que ya conocen previamente su resultado. Simeplemte montando un script que busque esos hashes en SQL. No es necesaria ninguna fuerza bruta.
"Q estos ejpertos en seguridad no guardan las pwd hasheadas jijijijiji las guardan en texto plano!!! Jijijijijiji"
Eso no es correcto, los expertos en seguridad CIFRAN los passwords y los almacenan en bases de datos que a veces incluso requieren de dispositivos físicos para poder descrifrase. Por ejemplo una combinación de KeePassXC + contraseña + Llave por hardware (x. ej. Yubikey)+ + un archivo especifico que actua a modo de password largo e incluso certificados digitales.
#26 tío, estoy de coña. Dime q no s t ocurrió lo mismo cuando leíste el titular!!!
#27 Pues no pillé la broma, (ni lo entendí leyendo el titular) 😂 😂
#22 muchas gracias por tan brillante y clara respuesta
#22 que sí, que ya...
#1 Con ataques por diccionario.
Yo que tu no dejaría ningún servicio expuesto a internet con una de esas contraseñas.
La más común son entre 6 y 12 asteriscos.
¿Y "contrasena" no está en la lista?
#3 Está "Password".
Creo que ya estábamos a la misma distancia con las contraseñas de 2022 y las de 2021...
Titular de mierda.
perro_sanxe_2023
Si no está abc123. la lista está mal.
#21 qwerty es más sencillo de escribir que abc y ampliamente conocido. De hecho es de la muy comunes.
#17 Se adivina
Es que hacen falta sistemas de protección como el que hay aquí en Menéame, que aunque pegues tu contraseña, sólo la ves tú y el resto ve asteriscos.
Como prueba aquí va la mía: **********
#9 A ver, voy a probar la mía: ******