¿Los requisitos de "nueva" contraseña de bugzilla.mozilla.org tienen sentido para ese tipo de cuenta / servicio?

Question

¿Los requisitos de "nueva" contraseña de bugzilla.mozilla.org tienen sentido para ese tipo de cuenta / servicio?

#1 de vidarlo (7 votos)

-3

Acabo de intentar agregar algunos detalles a un error que he reportado en bugzilla.mozilla.org (BMO) pero no lo dejé porque mi contraseña había sido anulada. Ahora quieren que cree una nueva contraseña que cumpla con ciertos requisitos, que se enumeran aquí

enlace

must be at least 12 characters in length
must not contain parts of your email address, or your real name
must be complex, which means:
    must be a passphrase of at least four words
    OR
    must contain a mixture of letters and symbols, containing characters from 3 out of the following 4 character classes:
    lowercase letters, uppercase letters, numbers, and other symbols

Decidí no actualizar mi contraseña y, como consecuencia, dejar de usar su servicio / proporcionar BMO con informes de errores, ya que la contraseña que requieren no será fácil de memorizar y creo que esto es un complejo innecesario para un error servicio de informes. Mi contraseña actual es de 9 caracteres, contiene letras mayúsculas y minúsculas, números y caracteres especiales. Eso es lo suficientemente complejo para mi propósito.

Entonces, mi pregunta es: ¿existen razones objetivas para una contraseña tan compleja para algo como BMO? ¿Qué es lo peor que puede pasar si alguien rompe la contraseña de un usuario externo allí?

Finalmente, algunos comentarios personales sobre este tema: personalmente no se me ha ocurrido la idea de un administrador de contraseñas en la nube (que es lo que recomienda BMO). Ese tipo de punto único de falla es, IMHO, problemático. Incluso si la CIA / NSA o una similar no se enfocan específicamente en mí, es muy probable que se dirijan a otra persona que usa el mismo servicio y si logran romperlo, todos mis secretos vienen como una bonificación gratuita para ellos.

El almacenamiento de datos confidenciales a nivel local y una buena solución de copia de seguridad parece mucho más seguro para el intento ocasional de pirateo de un compañero celoso o alguien que intenta cometer fraude con tarjetas de crédito (si alguna agencia estatal patrocinada me ataca específicamente, me equivoco al utilizarla citación secreta, técnicamente elude mi protección o simplemente me amenaza con un palo lo suficientemente grande).

passwords password-policy

pregunta d-b 06.05.2018 - 13:39

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords password-policy

Script malicioso [cerrado] ¿Es “HTTPS” ~ 100% seguro? [duplicar]

score 7 · Answer 1

Entonces, mi pregunta es: ¿existen razones objetivas para una contraseña tan compleja para algo como BMO? ¿Qué es lo peor que puede pasar si alguien rompe la contraseña de un usuario externo allí?

Recuerde que el rastreador de errores puede contener información relativa a 0 días en el software u otros errores de seguridad graves. No todos los usuarios tienen acceso a esta información, pero algunos sí.

Dicha información puede afectar a un gran número de usuarios en caso de que se haga público.

Es más fácil y mejor hacer cumplir las políticas de contraseña para todos los usuarios, y no dependiendo del grupo. Muchos esquemas de hash de contraseñas ocultarán la complejidad de las contraseñas, lo que significa que solo es verificable cuando se cambia la contraseña.

porque la contraseña que requieren no será fácil de memorizar

Memorizo exactamente tres contraseñas: la contraseña de mi cuenta de computadora, mi contraseña de acceso remoto y la contraseña de mi administrador de contraseñas. El resto se almacena en los administradores de contraseñas (Lastpass y KeePass). Esto es sugerido por la guía del usuario a la que apunta. Esto facilita el uso de contraseñas únicas para cada servicio, y no tiene que recordar nada.

Además, permiten frases de contraseña, que es más fácil de memorizar. Es posible recordar cuatro palabras aleatorias, si lo desea.

Finalmente, algunos comentarios personales sobre este problema: personalmente no se me ha ocurrido la idea de un administrador de contraseñas en la nube (que es lo que recomienda BMO).

Recomiendan un administrador de contraseñas. No mencionan una específica, y no mencionan la nube en absoluto. Probablemente debería leer la página que vinculó una vez más, ya que deduce cosas que no están indicadas allí.

Además, debe tenerse en cuenta que Lastpass utiliza su frase de contraseña como clave de cifrado para sus datos, por lo que un ataque contra un usuario diferente puede no generar sus contraseñas.