edición general
8 meneos
85 clics
La "fatiga de las contraseñas": qué hacer cuando recordarla o cambiarla te genera malestar y estrés

La "fatiga de las contraseñas": qué hacer cuando recordarla o cambiarla te genera malestar y estrés

Las empresas tecnológicas llevan tiempo buscando solución a este asunto, pero no es sencillo. Los datos biométricos como huellas dactilares, voz, patrones faciales o retina, que podemos usar para desbloquear el móvil o hacer pagos no están aún lo suficientemente extendidos y desarrollados para emplearlos en todos los casos. Y además pueden arrojar falsos negativos, es decir, que en ocasiones no reconozcan al propietario de los mismos, contribuyendo a esa fatiga y estrés al no permitirnos acceder a nuestros dispositivos o cuentas.

| etiquetas: contraseñas , ciberseguridad , estrés
7 1 0 K 0 tecnología
35 comentarios
7 1 0 K 0 tecnología
Gry #14 Gry
Me basta con acordarme de la contraseña del correo electrónico. Para el resto uso la opción de generar una nueva cada vez que entro. :-D
0 K 16
#35 psxe
#33 No contra el sistema en producción, pero sí podría intentar por fuerza bruta encontrar la contraseña que se corresponde con tu hash al que ha podido tener acceso (ej. en sistemas con protocolos desactualizados o no adecuadamente configurados, escuchando la red).

He visto un dominio de windows comprometidos en 30 minutos por un dispositivo con S.O. similar a Kali Linux simplemente enchufado en la red (no había NAC), escuchando tráfico y atacando el protocolo. Era un dominio desactualizado y mal configurado.
1 K 14
jm22381 #31 jm22381
#25 Y todo para que al final la contraseña para el inicio de sesión en esos PCs con sistemas de seguridad a la última... esté escrito en un post-it pegado a la pantalla y sea "Marzo2024" xD
0 K 12
jm22381 #4 jm22381
Usa una app gestora de contraseñas. O en iOS en ajustes, Contraseñas tienes un generador y gestor incorporado. Te las genera, las guarda y no tienes ni que recordarlas porque están ahí guardadas.
0 K 12
#9 Marzo_2024
#4 Ya está dicho, se puede cerrar el hilo.
0 K 8
#25 psxe
#4 Nosotros tenemos keepass desplegado en los PC de los usuarios para sus contraseñas corporativas, distintas a las del inicio de sesión, ya que hasta que no inicien sesión en el PC no pueden acceder al KeePass. Casi nadie usa KeePass.

Por otro lado, no nos gusta la idea de sugerir anotar la contraseña de inicio de sesión en un móvil o en un gestor de contraseñas que no conocemos o controlamos. Estarían muy expuestas a brechas de seguridad.

La solución: 2FA/MFA.
0 K 8
Elbaronrojo #30 Elbaronrojo
#24 El mejor gestor es papel y boli.
0 K 11
#32 aozora *
#30 Estos programitas te lo hacen todo. Tienes un generador de passwords adaptado a tus requerimientos. Se guardan los passwords y otra información encriptados. Te facilitan mucho el pegarlos en su destino. Es fácil de compartir entre varios dispositivos.

La principal ventaja que le veo yo es que no necesitas teclear el password, por lo que nadie te va a ver tecleándolo, ni tampoco lo ven si estás compartiendo pantalla.
0 K 7
#11 AGuiu
Problemas del primer mundo
1 K 10
#17 aozora
#11 ¿En el segundo mundo no necesitan seguridad?
0 K 7
#26 AGuiu
#17 El el segundo mundo hay más motivos para sufrir estrés que "tener que recordar una contraseña"
0 K 6
#27 aozora
#26 Dudo incluso que sepas cual es el segundo mundo. Hoy tengo el día saturado de cuñadeces.
0 K 7
#28 AGuiu
#27 Venga, un saludo campeón!
0 K 6
dilsexico #13 dilsexico
Los que saben de estas cosas usan siempre ****
0 K 9
#29 PerritaPiloto
#21 El problema no son los atacantes remotos. El problema son los que están cerca y que tienen conocimiento de que se puede hacer con la contraseña de un compañero. Tengo un amigo que es perito forense, y muchos de los casos que lleva dice que son de empleados deshonestos que usan contraseñas de compañeros. Dice que en un caso que llevó él se aprovecharon de un trabajador que se dejó el móvil en la mesa cuando fue al aseo para meter el código de verificación con su móvil y suplantarle.

Claro, que lo que vea el perito forense igual no es la normal. Seguramente hay muchísimos más ataques que vienen de fuera. La conclusión es que hay que tener un gestor de contraseñas y utilizarlo.
0 K 8
#23 psxe
#15 Para nosotros el 2FA será mediante token físico (yubokey o similar) obligatorio y el que quiera instalarlo adicionalmente en el móvil de forma voluntaria, perfecto.

Yo lo prefiero en el móvil y lo uso casi siempre desde el mismo. Cuando no tengo el móvil a mano (muy rara vez), puedo usar el token físico (yo llevo 3 años con 2FA, como usuario avanzadilla de la organización, y sin problemas).
0 K 8
#1 psxe *
En mi administración hemos exigido 13 caracteres mínimo para el inicio de sesión en el dominio, con cambio de contraseña cada 12 meses, porque de menor longitud un atacante podría descifralas en menor tiempo. Ha disgustado mucho.

El siguiente paso será 2FA/MFA (una yubikey o código OTP) y podremos ser más laxos con la longitud de contraseña (ej. 10 caracteres), pero nos hemos visto en la obligación de ser conservadores a la espera de la implantación del doble factor.
0 K 8
Cuchipanda #2 Cuchipanda
#1 motivad a los usuarios a hacer de sus contraseñas algo positivo en sus vidas: una aspiración al año, al igual que un cambio de contraseña. Es más seguro Esteañovoyasermajoconlasuegrayprocurarcomermenosbollos que L3x0RJu4nK3r!
0 K 13
#3 psxe *
#2 Les recomendamos una frase larga, es más seguro que numeros, mayúsculas y símbolos, y más sencilla de recordar.

Pero aún así, la política la consideran como una agresión xD

La solución es 2FA/MFA o una solución passwordless, aunque la AEPD nos indica que no debemos usar biometría si existe alguna otra alternativa (a no ser que sea para el acceso a info o zonas muy confidenciales, en cuyo caso la biometría podría justificarse).
1 K 21
Ovlak #5 Ovlak *
#3 Yo últimamente recomiendo que es mejor una contraseña compleja apuntada en un papel en el cajón que una simple en la cabeza. Es increíble el esfuerzo mental que parecen sufrir algunos para recordar una contraseña decente.
0 K 11
Maximilian #7 Maximilian
#3 una contraseña en base diccionario ayuda. En España vamos muy por detrás con el tema de la seguridad. Es un error usar datos biométricos como contraseña, como mucho deberían ser usados como usuario. Ganar en seguridad es perder en comodidad. Hoy en día una brecha o intrusión puede generar muchos millones en pérdidas
1 K 17
#8 Marzo_2024 *
#7 ¿En España vamos por detrás? Pues yo recuerdo robos de contraseñas en Adobe y en Linkedin que fueron graves por no guardar las contraseñas con una sal.

En mi trabajo los clientes son más de la mitad de fuera de España y son todos iguales. La seguridad la quieren para figurar, quieren que tengas muchos plans listos y te exigen muchas cosas como el doble factor o bases de datos aisladas que si lo tienen no lo utilizan y si lo tienen que pagar lo ignoran.

Videoconferencia de equipos de seguridad en la UE poniendo capturas en redes sociales con la URL a pelo permitiendo invitados.
www.eldiario.es/internacional/periodista-cuela-videoconferencia-secret
0 K 8
Maximilian #34 Maximilian
#8 las políticas de seguridad, ENS o recomendaciones del CCNCERT no son suficientes. Hay millones de ataques cada hora.
0 K 7
#6 PerritaPiloto
#1 Al menos sólo obligais a cambiarla una vez al año. En la empresa pública en la que trabajo la tengo que cambiar cada tres meses y además tengo doble factor.

Esa exigencia de cambiar contraseñas que en principio no han sido comprometidas contribuye al hastío. La obligación de usar letras y números y al menos una mayúscula (o imponer esquemas semejantes) hace que las personas elijan contraseñas secuenciales, especialmente cuando los cambios son frecuentes.

Recuerdo a dos compañeros que tuve…   » ver todo el comentario
3 K 31
#20 psxe
#6 2FA y cambio cada 3 meses es una barbaridad.

Al final usan patrones y la seguridad en vez de mejorar, empeora, porque si un atacante obtiene en la darkweb alguna contraseña vieja (porque la hayan metido en una web de compras comprometida o en una red social con brecha) que acaba en un patrón, van a tenerlo más fácil para conocer la actual.
0 K 8
bronco1890 #10 bronco1890
#1 Bah, yo utilizo una combinación de 32 mayúsculas y minúsculas, números y caracteres que creo sin mirar al teclado, es tan segura que una vez que la pongo en un sitio ni siquiera yo soy capaz de volver a entrar.
3 K 36
provotector #12 provotector
#1 Luego la gran mayoría tienen la clave apuntada en un post-it guardada dentro del cajón. El 2FA a mi me pedia enviar un codigo a un movil extraviado cuando trataba de localizarlo por gps. Desde mi punto de vista lo ideal es un llavero o tarjeta rfid que auto escriba la contraseña en el pc.
0 K 9
#21 psxe
#12 Yubikey es una buena altarnativa.

Por otro lado, ahora los expertos comentan que el password en el postit es más seguro que el password en un txt en el almacenamiento del PC o del servidor, porque el atacante remoto no se va a desplazar a tu oficina a ver tus anotaciones, pero en tu disco sí podría tener acceso en remoto. xD xD
0 K 8
#22 aozora
#12 Lo puedes apuntar en un papel y llevar el papel en tu cartera. Los pispacarteras no van a por passwords. Lo importante es no dejarlo donde el ordenador.
0 K 7
#15 flixter *
#1 nosotros usamos el TPM para guardar la clave de cifrado del disco, y despues de los 3 primeros intentos el TPM introduce un retraso de 5 segundos en cada validación. Con esto podemos usar contraseñas mucho mas cortas (estamos usando 8 caracteres) y a correr. Ademas usando el TPM para validar los logins a la red, el ordenador se convierte en el segundo factor: la cuenta necesita aun tener MFA activado, pero no tienes que pedir a nadie que ponga software de la empresa en el telefono particular, o proveer de telefonos a todos (ademas de ordenadores).
0 K 7
#19 aozora
#1 Me hace gracia eso de la mención de la yubikey, así que cuento la historia tal y como se mencionó la primerita vez.

Estaba la chica esa que inventó el cacharro, que es un dongle usb que el pc ve como un teclado. Tiene un botón que si lo pulsas teclea el password. La gracia es que puede ser muy largo y complejo. Se fue a presentarlo a una feria de seguridad, pero no le daba el presupuesto para un stand, así que que se sentó en un taburete en un rincón. Nadie le hacia ni caso. Pasó por ahí el espanta perros ese de "Security Now" y le preguntó que de qué iba. Le gustó la idea (yo creo que se la llevó al hotel) y le dedicó un podcast entero al invento (mucho entusiasmo). Desde entonces que se hizo conocido.
0 K 7
baronrampante #33 baronrampante
#1 Un atacante tiene permitido probar combinaciones de contraseña sin tiempos de espera entre intentos?
0 K 6
#16 aozora
El artículo es muy malo y los "expertos" que han consultado no tienen ni puta idea.

No menciona el 2FA que es la solución correcta. Los cambios frecuentes de password no aportan nada a la seguridad. Los caracteres raros no aportan nada a la seguridad.

Los passwords buenos son largos, tanto como se pueda. Eso de coger las iniciales es estúpido. Pon las palabras completas.

Los gestores de password son algo obligatorio. Por favor usad uno de código libre. Los que se venden son malísimos.
0 K 7
#18 detectordefalacias
Voy a dar aquí el mismo consejo que doy a mi familia. Una contraseña robusta y única para el email, banco, Amazon... (Las importantes vamos) Y para el resto una contraseña robusta que puede ser compartida.

Para generarlas usar un algoritmo (así no hay que recordar la contraseña, solo el algoritmo).

Un algoritmo puede ser "cojo estos libros doblo 10 hojas y uso la palabra en la punta del doblez", "cojo mis muebles favoritos de casa y uso la primera letra del color, la segunda…   » ver todo el comentario
0 K 7
#24 aozora
#18 Es mejor consejo un password distinto para cada sitio y un gestor de passwords para guardarlos.
0 K 7
comentarios cerrados

menéame