[LACNIC/Seguridad] Password Strength
Fernando Gont
fernando en gont.com.ar
Vie Ago 19 05:12:51 BRT 2011
On 08/13/2011 05:12 PM, Carlos Martinez-Cagnazzo wrote:
> Por eso me parece que hace falta un analisis serio del tema, realmente
> a mi cada vez me parece mas que el folklore tradicional (simbolos,
> numeros, mayusculas, minusculas) esta mas orientado a cuando el
> cracker es un humano que cuando es una maquina.
Eso también ayuda cuando el ataque se hace por maquina, pero mediante
diccionarios.
De cualquier modo, a veces la cosa resulta contra-producente. Y puedo
contar una anécdota:
Hace años atrás, estaba trabajando en el area de seguridad/redes de un
organismo. Pusimos una politica de claves con "numeros, mayusculas, y
minusculas, y longitud de al menos 8 caracteres". Resultado: dia por
medio llamaban los usuarios porque se habian olvidado la clave. Y en los
casos que esto no les sucedia, era porque la tenian en una "post-it
note" pegada al monitor. :-)
Llevandolo a algo mas actual y cotidiano, uso muchos sistemas, todos con
claves distintas, y algunos tienen politicas de "todos los meses se debe
cambiar la contraseña, y no se puede repetir ninguna de las 12 ultimas
contraseñas". Creo que en ocasiones este tipo de politica hace que la
cuestión se vuelva medio inmanejable. La mayoria de la gente seguramente
termine anotandolas en un papel, en su celular, etc., lo cual termina
teniendo un efecto opuesto al esperado.
Un abrazo,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad