2022-03-21

Cuanto más larga, mejor.

Letras
Hablamos de contraseñas. Llevamos unas semanas recibiendo recomendaciones de cambiar nuestras contraseñas y también consejos de lo más variados sobre qué hacer para que sean de suficiente calidad. Para mi la referencia sigue siendo un artículo que ya tiene unos añitos, pero que lo explica todo bastante bien Measuring Password Guessability for an Entire University.
En resumen viene a decir que es mejor tener contraseñas largas y complejas, pero no de cualquier forma (porque tenemos tendencia a poner la complejidad en determinados sitios: mayúsculas al principio, símbolos y números al final).


We also confirm patterns previously held as folk wisdom: passwords with more digits, symbols, and uppercase letters are harder to crack, but adding them in predictable places is less effective.


Y que es mala idea dar consejos de complejidad, porque se ven como una molestia, y no como una protección.


Our analysis suggests it would be useful to find policies that would be less annoying to users and that would discourage users from complying with the policy in predictable ways.


Al final, igual es bueno tener contraseñas más largas y menos complejas:


... for example, reducing the number of required character classes but requiring longer passwords, prohibiting special characters at the beginning or end of the password, or changing the dictionary check to permit dictionary words with symbols or digits in the middle.


Este último punto se ve reforzado por un artículo que referencia a Ross Bevington, un ingeniero de Microsoft en Attackers don't bother brute-forcing long passwords, Microsoft engineer says.

Salvo que vaya a por nosotros por algún motivo, un atacante no necesita nuestra clave, sino que necesita la clave que pueda conseguir antes en un sistema: o bien, tantas claves como sea capaz de conseguir de tantos sistemas como pueda. La rapidez es importante.

Y tiene buenos datos, nada menos que 25 millones de ataques de fuerza bruta contra servidores SSH detectados por la red de sensores de Microsoft.


"I analysed the credentials entered from over >25 million brute force attacks
against SSH. This is around 30 days of data in Microsoft's sensor network,"


El 77% de los intentos utilizaban contraseñas entre 1 y 7 caracteres y sólo iban más allá de 10 caracteres en un 6% de los casos.


"77% of attempts used a password between 1 and 7 characters. A password over
10 characters was only seen in 6% of cases,"


También afirma que solamente un 7% de los intentos con fuerza bruta contenían algún caracter especial, un 39% tenían números y ninguno contenía un espacio en blanco.


Bevington says that only 7% of the brute-force attempts he analyzed in the
sample data included a special character. In addition, 39% actually had at
least one number, and none of the brute-force attempts used passwords that
included white space.


Se puede leer en Ross Bevington’s Post.

Así que, si han llegado hasta aquí: la contraseña, cuanto más larga mejor. Algún caracter especial en sitios no predecibles

Se puede leer en Ross Bevington’s Post.

Así que, si han llegado hasta aquí: la contraseña, cuanto más larga mejor. Algún caracter especial en sitios no predecibles (ni al rpincipio ni al final) también ayudará.

Pero seguramente lo mejor será utilizar un gestor de contraseñas, que mejorará mucho la variedad y la calidad de las mismas.

Puedes enterarte de las notas nuevas en: @reflexioneseir (Twitter), Reflexiones e Irreflexiones (Página de Facebook), Reflexiones e Irreflexiones (Canal de Telegram), fernand0 (en LinkedIn), @fernand0 (en Medium), Mastodon.

2022-03-21 17:31 | 0 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

Referencias (TrackBacks)

URL de trackback de esta historia http://fernand0.blogalia.com//trackbacks/78518

Comentarios

<Julio 2022
Lu Ma Mi Ju Vi Sa Do
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31