¿Por qué debo tener una contraseña "segura" para sitios como este? [duplicar]

¿Recuerdas a principios de este año cuando la nube de Apple fue hackeada?

Bueno, La nube de Apple no fue pirateada . Algunas celebridades con contraseñas realmente débiles fueron adivinadas.

Pero los titulares seguirán leyendo que la nube de Apple fue hackeada. Y es por eso que no permite que los usuarios usen contraseñas realmente débiles.

Algunos usuarios no proporcionarán ninguna información personal y no les importará si su cuenta es hackeada. Otros lo harán. Es fácil exigir contraseñas seguras de todos y es difícil determinar qué usuarios pertenecen a qué categoría y solo requieren contraseñas seguras de este último grupo. Entonces, ¿por qué se molestan en hacerlo de la manera difícil?

Editado para agregar: lo que la experiencia nos muestra es que definitivamente no puede confiar en que los usuarios evalúen sus propios requisitos de seguridad y elijan contraseñas seguras si necesitan seguridad. Sin embargo, muchos usuarios que desean y esperan altos niveles de seguridad elegirán contraseñas débiles si se les permite hacerlo.

El hecho de que no te importe no significa que no le importe a nadie. Obtuve un excelente trabajo en el sitio de empleo de StackExchange, basado principalmente en mi reputación en los sitios de StackExchange. Si mi cuenta estuviera comprometida, podría haber consecuencias muy reales para personas como yo.

Independientemente de si le preocupa que su cuenta se vea comprometida o no, si un sitio requiere una contraseña, ¿por qué no requieren que sea segura? No requerir eso sería un ejercicio en teatro de seguridad .

Su contraseña no solo protege su cuenta , sino también a toda la comunidad y la reputación de este sitio. - Si muchos usuarios que no se preocupan por sus cuentas solo usarían "123" como su contraseña, algún atacante probablemente podría acceder fácilmente a unos cientos de cuentas SE. Se podría pasar por alto todo tipo de protección SPAM utilizando cuentas de usuario verificadas y toda la página podría estar inundada de anuncios, calumnias o políticas extremas.

¡Además, estas acciones podrían reflejarse mal en toda la red SE, ya que permitieron que su servicio fuera hackeado y toda la página se usara para propaganda de chocolate extremista! Además, muchas páginas proporcionan formas de enviar correos electrónicos, cargar archivos u otras formas que son un problema si se abusa de ellas a través de un gran número de cuentas pirateadas.

Probablemente se podría abusar de las cuentas para alojar contenido ilegal o enviar SPAM a otras páginas.

Puedes iniciar sesión con Gmail o Facebook, creo. Entonces esas reglas se aplican. ¿Por qué nos obligan? Porque ellos quieren. No solo se preocupa de que su cuenta sea hackeada, sino que también pueden preocuparse de que su cuenta sea hackeada. Para usted - 1 punto de arranque SE - no es realmente un problema. Para SE, en su caso, si no se convierte en un usuario activo, no hay problema.

Así que comienza aquí, encuentra buenas respuestas y apoyo, lo disfruta, comienza a convertirse en un usuario activo y bueno, con una contraseña débil. Entonces tienes credibilidad, y tu cuenta es hackeada, el spam se publica. No sé qué sucede entonces, pero tal vez su cuenta esté cerrada o eliminada. Es un montón de problemas, SE necesita verificar tu identidad: ¡tiempo y energía desperdiciados!

Aparte del hecho de que todos sus puntos se perdieron, buenos puntos que puede usar para llamar la atención por los problemas que se perdieron, la SE pierde un poco de credibilidad. Luego tienen otros dos incentivos para obligarnos a usar buenas contraseñas. Primero, hace que sea menos atractivo para los crackers tratar de entrar en cuentas, y cuanto más difícil es hacerlo, menos personas intentarán hacerlo. El segundo es el de mercadotecnia y educación: nos enseñan a nosotros, los técnicos que deben hacer esto de todos modos, a usar buenas contraseñas y a encontrar soluciones para que podamos recordarlas.

Mi esposa y yo constantemente hablamos con nuestros hijos sobre los hábitos. "Harás lo que practiques". Mi costumbre es utilizar LastPass Premium para todas las contraseñas en línea y habilitar la autenticación de Google u otro soporte para la autenticación de múltiples factores cuando sea posible.

Francamente, hay muy pocas contraseñas que realmente conozco o me interesa saber. LastPass generará una contraseña segura y no tengo que recordarla. Por ejemplo, "8G62USWh @ C! PDP ^ F @".

También me gusta usar Open ID como Google ID, por ejemplo, en Stack. Eso me permite usar una autenticación fuerte y multifactorial.

Pero, de una manera cínica, tienes razón, este sitio no es realmente importante para la seguridad. Pero, ¿qué hábito practicas?

Primero, debe poner contraseñas en sus cuentas bancarias para que la información personal mundana como su cumpleaños no se pueda usar en su contra.

Segundo, deberías tener un administrador de contraseñas como KeePassX.org que hace que el almacenamiento de contraseñas razonables pero no muy importantes sea relativamente fácil.

En tercer lugar, es absolutamente correcto que los sitios típicos en realidad no necesitan una contraseña segura, incluso si los desean.

En el caso de Stack Exchange, sin embargo, hay un sitio careers.stackoverflow.com en el que puede compartir información personal. Probablemente debería asegurar su contraseña aquí tan firmemente como asegura su contraseña de Facebook, pero no tan firmemente como asegura su contraseña de Gmail.

Algunos sitios web, incluido Stack Exchange, permiten a los usuarios obtener privilegios que podrían dañar excepcionalmente todo el sitio web y la base de usuarios en caso de abuso , por ejemplo, si un usuario malintencionado obtiene el control de la cuenta. Una vez que se envía la contraseña, no es fácil evaluar la seguridad de la contraseña (sin utilizar un ataque de fuerza bruta que consume recursos y tiempo en el lado del servidor) una vez que se envía la contraseña, (en teoría, el valor de la seguridad de la contraseña podría ser almacenado en el momento del registro para futuras referencias, pero esta es una medida muy inusual y la ignoraré en esta respuesta.)

Digamos que un usuario de Stack Exchange tiene una contraseña débil. ¿Qué sucede si el usuario participa en gran medida durante un período de tiempo y, en última instancia, se elige o nombra como ♦ moderador en un sitio SE particular?