Ayer estaba vacilando con el amigo Victorhck, en los comentarios del blog acerca de las fortaleza de las contraseñas, todo a proposito de la salida de Bugtraq, y hoy me entró la curiosidad de averiguar si nuestras contraseñas son realmente tan seguras como pensamos… algo que podemos comprobar en varios servicios online como PassFault o howsecureismypassword.net (otra opción interesante) y quizás nos llevemos alguna sorpresa…
Passfault evalúa la fuerza de las contraseñas de una forma lo suficientemente precisa para predecir el tiempo necesario para crackearla, al mismo tiempo que hace que las políticas de contraseñas sea mucho más intuitivas y simples, al comprender las debilidades y fortalezas en la creación de passwords.
El funcionamiento es muy sencillo, entramos al sitio, introducimos la contraseña (en la mayoría de estos servicios, yo no escribiría exactamente la misma o lo haría mediante TOR, llamarme paranoico si queréis…en este caso la web parece segura, el código esta licenciado LGPL y los autores son de fiar, pero..cosas como estas no se deben dar por asumidas…), elegimos una estimación del grado de fortaleza con la que queramos examinarla: desde una simple computadora de hoy en día, hasta llegar a un ataque de password de 180.000 $ (esos son muchos bitcoins en la Deep Web… ;-))
y el tipo de protección que utilizamos
Passfault examinará la contraseña, midiendo su tamaño y en busca de patrones comunes como: secuencias de teclados, diccionarios, sustituciones de caracteres, palabras mal escritas («olakeases» no es una buena opción….), fechas, etc..y finalmente nos dará el resultado
Espero que os sea útil!!
Imagen | espaniglish
La última vez que lo miré, se tardaban chorropocientos años en descifrar la mía, pero claro, los años van pasando…, los ordenadores mejoran… y yo que me hago viejo y ya ni me acuerdo de la que puse o lo que comí ayer…
Espera que miro en mi libreta lol
Saludos compi 😉
jajaj te entiendo! a veces el mayor peligro es que no te acuerdas de ellas…
Saludos amigo! se te echaba de menos!
Solo estaba callado, tiempo sabático lo llaman algunos… 😉
Interesante, la mía dice que tomaría una centuria con 5 décadas ….claro que no puse mi verdadera contraseña sino una similar, nunca me fío de sitios así ; )
yo igual…será que ya somos perros viejos en esto… 🙂
Pos claro… que más sabe el diablo….
Esta desconfianza me surgió desde una vez que andaba buscando una forma de revertir el encriptado en md5 y había un sitio que aseguraba que lo podía hacer.
Con tal metí unas pruebas al sitio y descubrí que lo que hacía era comparar la cadena md5 que yo metía con otras guardadas en su base de datos de gente que había introducido anteriormente sus contraseñas. Desde entonces cero confianza para esos sitios
Hace poco lei un artículo bueno para crear contraseñas robustas…
Vere si lo encuentro…
PS: Thank’s my friend!! 😉
Et voila: El artículo en cuestión sobre cómo crear contraseñas seguras:
– http://www.linuxjournal.com/content/secret-password
Está en inglés pero creo que se sigue fácil…
PS: Tampoco yo metería mi contraseña en una web… [modo precavido=on]
Salud Replicante!!!
Lo acabo de leer, es una buena idea lo de utilizar las primeras letras de cada palabra en una frase para construir una contraseña. Facil de recordar por lo menos!
Hablando de contraseñas, retos y misterios, fíjate la que tienen montada en kriptópolis
http://www.kriptopolis.com/caso-eva-blanco
Saludos!
Desgraciadamente ya no hay contraseña fuerte que valga, porque a lo mejor no te la revientan a la fuerza, pero consiguen reventar el cifrado del servidor de turno y ya puedes hacer lo que quieras que no depende de ti. En este punto recomendaría utilizar un gestor de contraseñas potente que cifre en local y siempre que se pueda doble autenticación, por SMS a ser posible. Yo utilizo LastPass, que dispone de herramientas muy interesantes: generador de contraseñas, «caja fuerte» y comprobación de la fortaleza (utiliza la caché del navegador) o comprobación de nombres de usuario en sitios que han sido hackeados (siempre que se publiquen los datos) entre otros. Y ni aun así me fío de estar 100% seguro jeje.
Un saludo!
Interesante lo de LastPass MetalByte, los servicios online siempre me crean algo de desconfianza, pero ya que lo recomiendas tendré que echarle un vistazo. Al final también es cuestión de crear un equilibrio entre seguridad y comodidad de acceso.
Una opción que me gusta, es generar diferentes contraseñas en local (con openssl por ej.) para diferentes servicios y despues guardarlas en un archivo de texto dentro de un volumen cifrado con realcrypt (claro aquí la contraseña tiene que ser lo más segura posible :-))
saludos!
Yo generadas en local, (KeepassX seria una buena opción), 64 dígitos , símbolos, letra mayúsculas y números,y doble copia de seguridad, pendrive y disco exterior, para las contraseñas de foros o webs si uso LastPass, aunque ya fue hackeado en varias ocasiones pero bueno, las realmente importantes no están allí.
Y lo mas curioso es que las claves no me las se ni yo debido a su longitud y complejidad, lo cual menos mal que no soy famoso ni millonario, porque sino me iba a tener que tragar la tortura del secuestrador de turno por que a ver que le digo, jajajaja
A mi me gusta esta solución para generar claves desde la terminal usando OpenSSL
openssl rand -base64 32
Aunque para inscribirme en foros, webs, etc.. no me tomo tantas molestias la verdad…!