The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Grandes mentiras de las contraseñas.

Sobre contraseñas se ha escrito y hablado tanto que se podría imprimir en papel y forrar varias montañas. En este mismo blog lo hemos tratado decenas de veces. Mucha de esta literatura trata de dar directrices para que nuestras passwords sean seguras y lo cierto es que han de serlas y se ha de conocer unos mínimos criterios para seleccionarlas.

Hoy por hoy todos los que nos leéis seguro que ya sabéis como poner una buena contraseña, incluso cuando algunos servicios web solo hacen comprobaciones mínimas antes de aceptarla.
Políticas de contraseñas hay cientos, aunque es gracioso ver que algunas de ellas aún no se han enterado de los ataques por máscara y sustitución. Esos que con un conjunto de reglas, se le puede indicar a una herramienta como John  The Ripper que por ejemplo añada años antes o después de cada palabra de un diccionario, o remplace las “a” por “@” o por “4” y las “o” por “0”, las “i” por “1” y esas técnicas tan comúnmente utilizadas.
ESET nos dice que “@cce0_$i$tem@” es una contraseña segura, ¿lo es? ¿y “MiConTRaseñA” que dice Skype? Desde luego son mejores que “conchi”, pero… ¿seguras?

Otro caso es el de eBay, en el que nos ponen como ejemplo “caradehuevo” y “$superman1963”:
Pese a que me apetece utilizar la palabra de la contraseña para insultar al autor de ese documento, me limitaré a comentar que esa contraseña esta incluso en diccionarios como el de rockyou.
Aunque de  lo que realmente quería hablar es de las recientes publicaciones de bases de datos de usuarios y contraseñas de servicios como lifehacker, rockyou, moneybrookers o la reciente filtración de 1.7 millones de usuarios de vodafone (sha256) que ya se están crackeando.
¿Contraseñas seguras? No, ninguna. Tus datos personales, tus credenciales de acceso, tus datos privados… TODO, acabará siendo volcado en un archivo de texto en algún momento. Tal vez se suba a megaupload y todos lo descarguemos o tal vez se quede en el disco duro de alguien que pruebe si esa misma contraseña la usas en Paypal. Puede que no salgamos en el top100 de contraseñas más usadas si evitamos poner “123456” o “queso”, pero antes o después alguien convertirá el MD5, el DES, el SHA1 o lo que sea que lo guarda, en el conjunto de caracteres irrecordables que tecleamos cuando nos dimos de alta.

Cada vez se habla más del arcaico y obsoleto sistema de autenticación mediante usuario y contraseña y no me extraña.

Comments are closed.