[LACNIC/Seguridad] Password Strength

Victor Hugo dos Santos listas.vhs en gmail.com
Lun Ago 22 10:33:07 BRT 2011


2011/8/20 Gustavo Fernandez Guirland <gfernandezguirland en gmail.com>:
> Justamente...esta mas que claro que el sistema actual de passwords tiene
> muchas vulnerabilidades y cada vez que se inventa una nueva solución caemos
> en el viejo dilema de los 2 platos de la balanza: FACILIDAD DE USO versus
> SEGURIDAD.
> Entonces creo que afinando los sistemas biométricos, ningun ataque de
> diccionario puede romper por fuerza bruta un ID que es irrepetible, deberia
> tener todos los patrones de toda la humanidad...algo improbable.

Hola,

creo que la mayoría de las personas/empresas... piensan que por tener
un dispositivo biométrico, estarán sumamente seguros/protegidos..
pero, el tema de los biométricos como alguien lo comento antes, esta
relacionado directamente con la sensibilidad/calidad del
dispositivo...

si tenemos un dispositivo que simplemente detecta el color de los iris
y/o si la huella es circular o cuadrada.. entonces, el sistema no
sirve.

en todo caso, por mas que se afine los sistemas biométricos, estés
siempre tendrán alguna limitación (sea por capacidad, calidad,
velocidad, accesibilidad o otra excusa que inventemos), por ejemplo,
hace mucho tiempo que los sistemas son capaces de aceptar contraseñas
de 255 caracteres o mas, pero los usuarios en el mejor de los casos
usan 20.

en base al anterior, es probable que empresas que requieran de
seguridad y utilcen sistemas biometricos, simplesmente no contraten a
gemelos, debido a que los sensores no serán capaces de detectar la
diferencia entre ellos.

al fin y al cabo, creo que lo que comenta Carlos es el correcto.. todo
sistema de autenticación presencial "debería" de estar basado en algún
sistema de doble o triple autenticación.. ejemplos:
- biometria
- contraseñas generadas por el usuario
- alguno sistema de captcha
- tokens
- contraseñas de uso único ??

salu2

-- 
--
Victor Hugo dos Santos
Linux Counter #224399



Más información sobre la lista de distribución Seguridad