Intel ¿Qué tan fuerte es su página de contraseña, buen consejo?

Sí, tienes razón. Definitivamente se recomienda usar un conjunto de contraseñas, pero las contraseñas no deben seguir un patrón, pero así es como pensamos (somos tipos de seguridad). Puede ser que el escritor estuviera pensando desde el punto de vista de un usuario común porque la mayoría de los usuarios simplemente no quieren tener el dolor de cabeza de recordar varias contraseñas y tener un patrón común en todas las contraseñas puede animarles a usar diferentes contraseñas porque ahora las contraseñas son mucho más fáciles de recordar (y más fáciles de adivinar por un hacker inteligente).

Personalmente, prefiero mantener un grupo de contraseñas. Hoy en día, tiene que crear una cuenta con varios sitios web aleatorios y no sabe cómo administran sus contraseñas. Recuerdo que una vez en un portal de trabajo (lea monster.com), hice clic en Olvidé mi contraseña y luego me enviaron mi contraseña original en texto sin formato (¡¡todavía lo están haciendo! ”). Aquí en nuestra comunidad tenemos algunas grandes discusiones sobre la administración de contraseñas, pero hay personas que no se preocupan por su seguridad.

Uno nunca debe usar sus contraseñas relacionadas con el banco y otras contraseñas importantes en ningún otro lugar. Siempre puede recordar una contraseña comparativamente más simple para estos sitios web aleatorios.

Sí, usar una contraseña diferente para diferentes sitios es una buena idea.

Sí, tener un tema común que usas para generar tus contraseñas está bien. Con dos advertencias. No debe ser tan estúpidamente fácil de adivinar como el sugerido por el sitio de Intel. Usted DEBE mantener es un secreto.

La mejor solución, por supuesto, es simplemente recordar una contraseña larga y altamente aleatoria que le otorgará acceso a una contraseña segura que contenga contraseñas generadas aleatoriamente para sus diferentes cuentas. Existen varias soluciones como LastPass o KeePass y funcionan bien.

Vea este artículo de arstechnia para obtener una buena idea de lo horrible que es realmente el sitio de Intel.

La respuesta corta es sí. Sin embargo, los seres humanos tienden a ser una criatura de hábito. Por lo tanto, tienden a usar la misma contraseña para varias cuentas. Creo que este artículo está tratando de hacerlo un poco más aceptable para aquellos que no quieren cambiar las contraseñas.

Sólo estoy usando "¡Mi primera contraseña!" en cada sitio es menos seguro que usar "My 1st Password! FB" en un sitio y "My 1st Password! twitr" en otro por el hecho de que si un hacker obtuvo su primera contraseña y la agregó a su diccionario, no sería necesario Ser capaz de romper el segundo.

Si sus contraseñas eran las mismas, entonces si el pirata informático obtuvo su primera contraseña y la agregó a su diccionario y obtuvo el hash de su segunda contraseña, podría romperla fácilmente.

No es el mejor consejo de todos, es cierto, pero creo que deberíamos estar agradecidos por la ayuda de los grandes jugadores al tratar de aumentar la conciencia pública sobre la seguridad de las contraseñas.

Sin embargo, su preocupación con respecto al tercer paso está justificada. Debemos esperar mejor de nombres como Intel. Si tomara sus consejos demasiado literalmente, todo lo que se necesita para que todas sus contraseñas se comprometan es utilizar una de sus iteraciones en un sitio web no confiable o comprometido, y un atacante podría anticipar fácilmente todas las demás contraseñas que use con otros servicios. . Este es un descuido de Intel y sus consejos deberían ser cuestionados.

Otra opción cuestionable también es la forma en que funciona la verificación de la contraseña: no hay absolutamente ninguna necesidad de escribirla dos veces y luego presionar un botón. Incluso si mencionan que no se enviará y la fuerza de la contraseña se calculará en el lado del cliente, esto podría ser enfatizado aún más por una interfaz de usuario que calcula la fuerza de la contraseña a medida que escribimos, mostrando claramente la presencia de un script del lado del cliente involucrado. En estos cálculos. Su elección es bastante peculiar, para ser honesto.

Intel debería saberlo mejor, pero parece ser un tema recurrente: ¿cómo podemos lograr que los usuarios finales, especialmente los usuarios no técnicos, mejoren aspectos de su comportamiento sin alejarlos por completo?

Aquí, y en otras comunidades de seguridad, ya sabemos todo esto, y esperamos que nuestras familias obtengan algo de la guía que se borra, pero, ¿cómo se puede lograr que una persona sin seguridad o experiencia de riesgo entienda que usar a su nieto? nombre como contraseña es una mala idea? Sin duda, les ayuda a recordarlo, por lo que es importante, ¿no?

Si desea una vista sensata sobre la seguridad de la contraseña, consulte nuestro < fuerte> publicación de blog sobre el tema, ¡y sigue todos los enlaces! Algunas personas muy inteligentes han brindado orientación, inspiradas en la famosa caricatura xkcd.

Creo que el consejo general sobre comenzar con una contraseña base y embellecerla con diferentes caracteres según el sitio (o nombre de computadora) que está visitando es bueno. Esto puede proporcionar la ventaja de ser fácil de recordar y seguir siendo seguro porque probablemente detendría la mayoría de los métodos automatizados de verificar una lista de contraseñas comprometidas en varios sitios.

Dicho esto, el problema con su implementación específica de este modelo es que con una sola contraseña comprometida, un pirata informático podría adivinar sus otras contraseñas con una mirada rápida.

En su lugar, deberían recomendar una contraseña de base segura como:

j3PL9$#U(B

Esto es algo que no es trivial, pero solo tendría que memorizarlo una vez. Entonces podrías crear un algoritmo no obvio basado en los caracteres de la URL. El algoritmo podría ser: poner en mayúscula la primera letra de la URL y ponerla al final, y poner la versión en minúscula de la última letra de la URL al principio. Entonces, en mi ejemplo, sus contraseñas se verían así:

Facebook - kj3PL9$#U(BF

Twitter - rj3PL9$#U(BT

Reddit - tj3PL9$#U(BR

En cuanto a cualquiera de estos, sería en gran parte imposible suponer que la contraseña tenga alguna relación con el dominio del sitio. Para la mayoría de las personas, esto parece una serie aleatoria de números y letras.

Por supuesto, podrías hacer esto más complejo haciendo algo como "poner la segunda letra de la URL en el siguiente al último carácter de la contraseña".

Totalmente de acuerdo: usar CUALQUIER patrón predecible, sin importar lo complejo que sea, socavaría la idea de contraseñas seguras. Lo estoy haciendo de esta manera:
- Contraseñas aleatorias generadas en Keepass (y almacenadas allí) para el 99% de las contraseñas
- Muy pocas contraseñas generadas con la ayuda del generador de Gasser, es decir, contraseñas que se pueden pronunciar, pero aún no del diccionario, para los sitios web críticos, contraseñas que no almaceno EN NINGÚN LUGAR.
p.ej. del generador de tales contraseñas: enlace

Analicé la mayoría de los comentarios y creo que, como personas de seguridad de TI, solemos reaccionar de forma exagerada cuando vemos una contraseña que parece ser simple, pero en realidad no lo es. Si bien hay muchas técnicas para atacar con contraseña, en realidad estoy de acuerdo con Intel en su forma de pensar.

El uso de My 1st Password!: Twitr de acuerdo con la calculadora interactiva de "espacio de búsqueda" de la contraseña de fuerza bruta de GRC tomaría aproximadamente 9.88 billones de siglos haciendo 100 billones de suposiciones por segundo para forzar esta contraseña.

Usar la misma contraseña incluso para 10 cuentas diferentes con ligeras variaciones aún daría un marco de tiempo casi inimaginable para intentar atacar con fuerza bruta.

Solo como referencia, el uso de una contraseña como j3PL9$#U(B daría lugar en una semana para los 100 trillones de suposiciones por segundo, de modo que lo que parece imposible es más fácil.

Ahora esto es simplemente métodos de fuerza bruta. Obviamente, obtener el hash y usar las tablas del arco iris sería una solución mucho mejor, pero una vez que tengan el hash, es probable que haya terminado, independientemente de la complejidad de su contraseña.

Creo que lo que están implicando es un problema de cumplimiento. Concedido, TODOS ustedes están sugiriendo contraseñas mucho más fuertes y ESTÁN TOTALMENTE CORRECTOS.

Sin embargo, los seres humanos normales no cumplen. Y no va a cumplir. Y si no lo hacen y no cumplen, encontrarán la manera de engañar a algo simple que se rompe gravemente.

Entonces, si se va a romper gravemente de todos modos, al menos hágalo duramente y tome 2 (o más veces) para que el mal se dé cuenta del patrón, y sea lo suficientemente simple como para que la gente pueda cumplir. Si nos fijamos en lo que propone Intel, las contraseñas se pueden recordar; se necesitan al menos 2 antes de que un hombre malo pueda comenzar a inferir un patrón (quizás empiecen a adivinar con 1); e incluso una vez que deducen, aún tienen secuencias no estándar que resolver (5 caracteres en uno, 2 en el segundo, 4 en el tercero ...), por lo que aún queda trabajo por hacer. Sí, el diccionario comienza con un alcance hacia abajo, pero funciona de manera imprevista.

Y obtienes un cumplimiento potencialmente mejor que rj3PL9 $ # U (BT. A mi edad, lo olvidaría a diario. Y sí, uso administradores de contraseñas, pero en ocasiones no los tengo conmigo, así que necesito ¡para recordar también!

Algo que mucha gente parece olvidar. Usar una contraseña enorme es mejor que confundir al usuario. por ejemplo,

la contraseña: mySuperSecurePasswordKeepsMeSecuredAgainstHackersCrackersAutomatedToolsAndMoreStuff

es más seguro que: P @ S $ W0rD

Puedo admitir con estos números / matemáticas, etc. si es necesario. Para el downvoter: XKCD # 936: ¿Contraseña corta corta o frase de contraseña larga del diccionario?