[LACNIC/Seguridad] Password Strength

Gustavo Fernandez Guirland gfernandezguirland en gmail.com
Sab Ago 20 18:21:17 BRT 2011


Justamente...esta mas que claro que el sistema actual de passwords tiene
muchas vulnerabilidades y cada vez que se inventa una nueva solución caemos
en el viejo dilema de los 2 platos de la balanza: FACILIDAD DE USO versus
SEGURIDAD.
Entonces creo que afinando los sistemas biométricos, ningun ataque de
diccionario puede romper por fuerza bruta un ID que es irrepetible, deberia
tener todos los patrones de toda la humanidad...algo improbable.
Por otro lado la persona nunca lo olvidaría ni confundiría. Y además no esta
accesible facilmente ni en un post-it.
El gran tema es que se refine la tecnología y los productos sean serios,
fiables.

Saludos

El 19 de agosto de 2011 05:12, Fernando Gont <fernando en gont.com.ar>escribió:

> On 08/13/2011 05:12 PM, Carlos Martinez-Cagnazzo wrote:
> > Por eso me parece que hace falta un analisis serio del tema, realmente
> > a mi cada vez me parece mas que el folklore tradicional (simbolos,
> > numeros, mayusculas, minusculas) esta mas orientado a cuando el
> > cracker es un humano que cuando es una maquina.
>
> Eso también ayuda cuando el ataque se hace por maquina, pero mediante
> diccionarios.
>
> De cualquier modo, a veces la cosa resulta contra-producente. Y puedo
> contar una anécdota:
>
> Hace años atrás, estaba trabajando en el area de seguridad/redes de un
> organismo. Pusimos una politica de claves con "numeros, mayusculas, y
> minusculas, y longitud de al menos 8 caracteres". Resultado: dia por
> medio llamaban los usuarios porque se habian olvidado la clave. Y en los
> casos que esto no les sucedia, era porque la tenian en una "post-it
> note" pegada al monitor. :-)
>
> Llevandolo a algo mas actual y cotidiano, uso muchos sistemas, todos con
> claves distintas, y algunos tienen politicas de "todos los meses se debe
> cambiar la contraseña, y no se puede repetir ninguna de las 12 ultimas
> contraseñas". Creo que en ocasiones este tipo de politica hace que la
> cuestión se vuelva medio inmanejable. La mayoria de la gente seguramente
> termine anotandolas en un papel, en su celular, etc., lo cual termina
> teniendo un efecto opuesto al esperado.
>
> Un abrazo,
> --
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en acm.org
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>



-- 
NetAdmin/Prog. Gustavo Fernández Guirland
Consultor Informático
Soporte/Desarrollo/Infraestructura/Coordinador Docente

Tel (598) 2 7110517 - 099264161
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110820/94095c52/attachment.html>


Más información sobre la lista de distribución Seguridad