How Secure Is My Password: usa contraseñas fuertes
Hoy en día las contraseñas son las llaves de acceso a gran cantidad de sistemas y, por ende, a mucha información, en muchos casos, privada de los usuarios. Desde el acceso al sistema operativo, el correo electrónico, redes sociales, sitios de e-commerce… todo está protegido por una contraseña. Es, por el momento, la protección predilecta de sistemas tanto en línea como offline. Por lo tanto, que alguien obtenga nuestra contraseña puede ser peligroso, y no es deseable para nadie que haga un uso cotidiano de la tecnología y sus recursos. How Secure is my Password, es un pequeño sitio web que posee una única funcionalidad: saber si la contraseña elegida es buena o mala.
El sitio funciona de forma muy sencilla: el usuario ingresa la contraseña y el portal devuelve el tiempo estimado que necesitaría una computadora de escritorio para crackear la clave. Es todo lo que hace el sitio, ni más ni menos. Es válido tanto para testear contraseñas ya utilizadas, como para el momento de armar y elegir una nueva. El portal para tomar este valor simplemente realiza cálculos matemáticos según los rendimientos de aplicaciones de fuerza bruta para crackear contraseñas. Estos, son programas que prueban todas las contraseñas posibles una atrás de la otra a velocidades de computadora hasta encontrar aquella que funciona.
Los consejos para tener una contraseña fuerte y que, como consecuencia, no sea posible sacar en un periodo razonable de tiempo, son los siguientes:
Cabe destacar que el sitio verifica la fortaleza de las contraseñas sólo para ataques de fuerza bruta, pero no para otro tipo de ataques como pueden ser de diccionario (donde, por ejemplo, se agregaría el consejo de que la clave no se relacione directamente con una palabra del mundo real). Aunque para usuarios acostumbrados a poner contraseñas este es un sitio trivial, para aquellos usuarios menos acostumbrados es bueno recomendar el sitio web y hasta quizás ofrecerles el desafío de superar cierto umbral de tiempo al elegir una contraseña, y así ayudarlos a terminar utilizando claves con la seguridad necesaria.
Fuente: Bitelia
El sitio funciona de forma muy sencilla: el usuario ingresa la contraseña y el portal devuelve el tiempo estimado que necesitaría una computadora de escritorio para crackear la clave. Es todo lo que hace el sitio, ni más ni menos. Es válido tanto para testear contraseñas ya utilizadas, como para el momento de armar y elegir una nueva. El portal para tomar este valor simplemente realiza cálculos matemáticos según los rendimientos de aplicaciones de fuerza bruta para crackear contraseñas. Estos, son programas que prueban todas las contraseñas posibles una atrás de la otra a velocidades de computadora hasta encontrar aquella que funciona.
Los consejos para tener una contraseña fuerte y que, como consecuencia, no sea posible sacar en un periodo razonable de tiempo, son los siguientes:
- Que la contraseña tenga, al menos, ocho caracteres
- Que la contraseña posea letras mayúsculas y minúsculas
- Que la contraseña posea, preferentemente, algún número
- Que la contraseña posea, preferentemente, algún tipo de carácter especial (por ejemplo, %, !, etc.)
Cabe destacar que el sitio verifica la fortaleza de las contraseñas sólo para ataques de fuerza bruta, pero no para otro tipo de ataques como pueden ser de diccionario (donde, por ejemplo, se agregaría el consejo de que la clave no se relacione directamente con una palabra del mundo real). Aunque para usuarios acostumbrados a poner contraseñas este es un sitio trivial, para aquellos usuarios menos acostumbrados es bueno recomendar el sitio web y hasta quizás ofrecerles el desafío de superar cierto umbral de tiempo al elegir una contraseña, y así ayudarlos a terminar utilizando claves con la seguridad necesaria.
Fuente: Bitelia
jaH'''' mi password resultó en: About 633 million years
ResponderBorrarEs una muy buena recomendación pero creo que ya que los usuarios finales no suelen cumplir estos requisitos los sitios webs deberian obligarles a introducir claves medianamente seguras y que cumplan esas caracteristicas (más de 8 caracteres, etc)
ResponderBorrarEl tema de fuerza bruta creo que es cuestión del servidor donde se guarda la clave ya que mi clave puede ser "Clave1" y el servidor guardarla en MD5 con lo cual el hash generado es facilmente "crackeable" pero el servidor podria aplicar una funcion Salt para evitar esa situación o aplicar otro tipo de algoritmos en lugar de MD5.
Si el acceso por fuerza bruta se hace mediante peticiones al servidor usando todas las posibilidades el ataque tardaria mucho más ya que habria que hacer multitud de conexiones.
Evidentemente se podria sacar por diccionario pero eso no depende de la longitud de la clave utilizada sino del "significado" de la misma.