¿Por qué todos requieren ciertos caracteres de contraseña ahora? [cerrado]

Navega tus respuestas
1

Entiendo que las contraseñas con diferentes casos (superior e inferior), así como los números y los caracteres especiales son mucho más "fuertes" y más difíciles de descifrar que las que son cortas y en minúsculas o no.

Sin embargo, me pregunto por qué todos están adoptando esto como un estándar para sus contraseñas, incluso en sitios sin importancia que no tienen información personal.

Por ejemplo, no es irrespetuoso, pero ¿por qué mi contraseña debe ser "segura" para iniciar sesión en StackExchange? No hay literalmente nada en este sitio que deba ser "protegido". ¿Qué es lo peor que puede pasar si alguien obtiene su contraseña? ¿Que pueden publicar un montón de malas respuestas de tu cuenta? lol Parece ridículo tener un estricto requisito de contraseña para un sitio que no lo necesita.

    
pregunta ZeekLTK 24.09.2013 - 22:39
fuente

6 respuestas

10

Los ladrones de identidad han utilizado un truco simple: una vez que has descifrado una cuenta para una persona, esa contraseña se convierte en lo primero que intentas con todas sus otras cuentas.

La mayoría de las veces, esto realmente funciona. La mayoría de la gente usa la misma contraseña para todo. La mayoría del resto tiene algunas contraseñas, pero no hay un sistema real para decidir qué contraseñas se utilizan para qué datos, por lo que los datos "importantes" y "no importantes" a veces se bloquean detrás de la misma contraseña. Debido a esto, las contraseñas en su sitio pueden estar protegiendo datos "importantes", incluso si cree que los datos en su sitio no son "importantes". Para usar el ejemplo SE: ¿qué hay de ti? Tal vez no almacena nada "importante" en SE, pero ¿bloquea otros datos "importantes" detrás de la misma contraseña? Si lo haces, eres vulnerable, e incluso si no lo haces, muchas personas lo hacen.

No podemos hacer que los usuarios implementen prácticas de seguridad perfectas, pero podemos hacer que implementen una buena práctica: contraseñas seguras, todo el tiempo. O al menos, podemos optar por educar a las personas que no saben lo suficiente y abstenernos de permitir que las personas que no se preocupan lo suficiente. Ese es el punto de las contraseñas seguras, incluso en sitios como este.

    
respondido por el The Spooniest 24.09.2013 - 22:56
fuente
3
  

Por ejemplo, no es irrespetuoso, pero ¿por qué mi contraseña debe ser "segura" para iniciar sesión en StackExchange? Literalmente, no hay nada en este sitio que deba estar "protegido".

Muchas personas están usando Stack Exchange con sus nombres verdaderos, ya que ayuda con la búsqueda de empleo. No quisiera que alguien pirateara mi cuenta o la secuestrara. Mi credibilidad está en juego y eso requiere protección.

    
respondido por el wtrmeln 25.09.2013 - 17:36
fuente
2

Esto es una especie de dos preguntas en una:

  1. ¿Por qué parece haber una tendencia hacia contraseñas más largas en los sitios hoy?

  2. ¿Por qué Stack Exchange requiere que las contraseñas tengan una cierta longitud?

Primero abordaré el # 1:

Hay muchas razones por las que un sitio (incluso uno que algunos de sus usuarios consideran de bajo valor) querría requerir la longitud de la contraseña. La longitud es la forma más fácil de requerir mejores contraseñas. Explicar a un usuario que necesita tener al menos uno de los números, letras mayúsculas, letras minúsculas, símbolos, etc. es más difícil que simplemente decir "Su contraseña debe tener 8 caracteres o más".

Elevar el nivel de las contraseñas podría (no garantizarse) disminuir el fraude, los contactos a CS, etc. También está el problema de la reputación, sitios bien conocidos que permiten que las contraseñas muy débiles se vean de vez en cuando en artículos y blogs. Además de esto, un sitio puede parecer intrascendente hoy en día, pero 100 millones de usuarios más tarde el valor percibido puede cambiar. Cuántas personas sabían que les importaría su cuenta de FB cinco años después. ¿Te sentirías cómodo si tu contraseña de FB fuera "a"?

Para # 2 - Apilar la política de contraseñas de Exchange:

Eso es totalmente de ellos. Una de las dos cosas que probablemente sucedieron, un desarrollador solitario escogió un requisito de la parte superior de su cabeza y se fue con él o tuvieron una discusión y tomaron una decisión razonada basada en.

Su elección como usuario es rechazar su decisión y no usar el sitio porque requieren 8 caracteres y solo quiso usar 6 o puede elegir una contraseña de 8 caracteres (y tal vez dejar que su navegador recuerde su contraseña). / p>

Una cosa que debes tener en cuenta es que no todos comparten tu visión del mundo o tu opinión de los sitios que utilizan. En este momento, tiene 1 punto de reputación en Seguridad de TI; cuando tenga unos pocos miles, puede asignar un valor más alto a su cuenta de SE.

    
respondido por el u2702 25.09.2013 - 00:10
fuente
1

Usted responde su propia pregunta sobre la complejidad de la contraseña. Las contraseñas simples se pueden descifrar en ningún momento. Contraseñas complejas toman tiempo para descifrar. Requerir contraseñas más complejas hace que el atacante tome más tiempo para comprometer una cuenta.

Es posible que tu propia cuenta de SE no valga nada. Eso puede ser lo mismo para muchos otros. ¿Es lo mismo para todas las cuentas? ¿Dónde estaría la SE si la cuenta de todos estuviera comprometida? ¿Dónde estaría SE si los datos en los servidores no fueran confiables - las respuestas fueron incorrectas?

    
respondido por el atk 24.09.2013 - 22:50
fuente
1

Como desarrollador web, me parece inaceptable que un usuario malintencionado acceda a la cuenta de otra persona sin su consentimiento. Supongo que la respuesta es que las personas que ejecutan sitios como StackOverflow se enorgullecen de su trabajo. Creo que también ayuda a los usuarios a tener confianza en que las personas a cargo del sitio saben lo que están haciendo.

En una nota al margen, obtuve mi último trabajo fuera del sitio careers.stackoverflow en parte debido a mi perfil. Como puede imaginar, la seguridad del sitio es muy importante para mí porque mi cuenta tuvo un impacto indirecto en mi vida financiera.

    
respondido por el Abe Miessler 24.09.2013 - 23:03
fuente
-1

Escenario 1:

¿Qué hay de hackear la cuenta de Thomas Pornin porque tiene una contraseña para SE? y luego te pide que instales este nuevo agente de seguridad en tu máquina de producción para una pregunta hardening servers que hiciste. Y luego viva felizmente después de almacenar mis copias de seguridad en su servidor seguro (o incluso haga cosas desagradables)

Escenario 2: (un poco más sensato)

¿Qué pasa si los hashes de contraseña de los SE se comprometen y los atacantes pueden descifrar muchas contraseñas débiles? Descifrar estas contraseñas débiles implica ser capaz de forzar sus sales en forma bruta. No soy un experto en criptografía, pero muchos valores correctos de sal pueden dar buenos consejos (como la longitud de la sal, etc.) a un criptoanalista para ajustar su algoritmo de fuerza bruta. Si uno es capaz de hacer eso, significa que más contraseñas se descifran fácilmente. ¿Parece esto un buen incentivo para aceptar solo contraseñas seguras?

Escenario 3

  

lol Parece ridículo tener un requisito de contraseña estricto para un sitio que no lo necesita.

Definitivamente necesita una buena contraseña. No sé sobre ti, pero me ofendería mucho si alguien adivina mi contraseña y coloca una foto de gato en la imagen de mi perfil.

Finalmente:

Las contraseñas seguras no solo tienen el objetivo de protegerlo contra el robo de su identidad, sino también de crear un sistema sólido y seguro que proteja a todas las personas que utilizan el sistema.

    
respondido por el CodeExpress 24.09.2013 - 23:11
fuente

Lea otras preguntas en las etiquetas

¿por qué no almacenamos las contraseñas en una base de datos usando encriptación en lugar de hash? [duplicar] ¿Qué algoritmo de hash es mejor usar para almacenar una contraseña, sha256 o sha512? [duplicar]