Durante un tiempo en el pasado impartí clase a adultos que, en general, tenían escasos conocimientos sobre informática. A ellos, explicarles que, como norma, la contraseña que debían seleccionar para la cuenta de correo que estaban creando en ese momento, debía ser compleja y poco relacionada con ellos suponía un problema que terminaba, no pocas veces, con el olvido de la misma. De poco valía decirles que, a ser posible, la contraseña no debía ser el nombre de su hijo o su mascota, y que al menos debían incluir algunas cifras en la misma (¡¡distintas al año de nacimiento, por San Kernel!! :) ). En cualquier caso, visto el éxito obtenido, cuando me topaba nuevamente con ellos, algo más desenvueltos en los lances de la informática, o tenía a un grupo algo más avanzado, les introducía en los beneficios de la escritura LEET. Sí, es precisamente esa en la que las p414Br45 intercambian algunas letras por números, creando combinaciones legibles con ligeras dificultades para los neófitos de la práctica, pero que trae algunos beneficios asociados. Por ejemplo, puestos a usar contraseñas de longitud suficiente y que incluyan letras mayúsculas y minúsculas, resulta bastante más fácil recordar una frase que una serie más o menos compleja de caracteres, y esta peculiar codificación mejora la seguridad de las contraseñas. Claro que siguen siendo vulnerables a ataques por fuerza bruta o de diccionario, pero aun así el tiempo necesario para romperlas será habitualmente mayor.
Ya os comento que mi mayor interés en este tipo de contraseñas es facilitarle a los usuarios la generación de las mismas dándoles una herramienta que mejore aunque sea un poco la calidad de las mismas, así como la facilidad para recordarlas. Sin embargo, el fenómeno es tan geek que como todos sabréis, ha venido extendiéndose desde los tiempo de las BBS hasta nuestros días. Incluso Google tiene una versión 1337 del buscador, existiendo además traductores automáticos de texto plano a LEET. Para muestra, un botón:
Ya os comento que mi mayor interés en este tipo de contraseñas es
Y4 05 c0m3n70 qu3 m1 m4y0r 1n73ré5 3n 3573 71p0 d3 c0n7r453ñ45 35
`/@ 0$ (0|\/|3|\|+0 q|_|3 |\/|1 |\/|@`/0|2 1|\|+3|2é$ 3|\| 3$+3 +1|*0 [)3 (0|\|+|2@$3ñ@$ 3$
¿Y vosotros, qué opináis de este tipo de trucos nemotécnicos? ¿Los veis útiles para su uso cotidiano por parte de los usuarios?
6164: 70d0 35 536ur0.
ResponderEliminar¡Anda que chulo! No te acostarás sin saber una cosa más ;-)
Pues no es mala idea ponerle un acceso directo al usuario en el escritorio para haga sus contraseñas a través de la herramienta, te garantizas cierta "robustez".
Salu2!
¡Buenas!
ResponderEliminarLa verdad es que, puestos a que el usuario genere su clave, y para darle cierta homogeneidad a la misma podría ser una opción. El riesgo es que recuerde, por ejemplo, que su contraseña era "holaquetalcomoestas" y se dedique a usar siempre la herramienta, que le devuelva la contraseña generada a partir de esta, y haga un "copipaste" para introducirla en la aplicación que sea. Seguridad -100, jajaja.
De todas formas, al menos si se consigue que cambien algunos caracteres por cifras, un poquito de robustez se habrá conseguido :)
¡Un saludo!
La robustez de la contraseña no es solo numeros, letras y caracteres especiales, también es caducidad, "memoria" de las últimas contraseñas utilizadas, etc.
ResponderEliminarPor ejemplo, caducidad cada 30 dias, memoria de las últimas 10 contraseñas, 8 caracteres + LEET ya es una cosa más apañá :-)
Buen finde!
En efecto, GigA, la robustez es mucho más que letras y numeritos :) El tema está en que si el usuario no se asegura ni de eso... mal vamos. Respecto a la caducidad de las contraseñas y un recuerdo de las últimas usadas, podemos tener más juego desde el propio software, obligando o recordando al usuario que debería cambiarla cada cierto tiempo, por una distinta a las últimas usadas. Claro, que también exigir una longitud mínima y la presencia variada de caracteres puede resultar una buena opción :)
ResponderEliminar¡Gracias por el apunte! ¡Buen fin de semana!
No es muy sofisticado y en seguida se le pilla el callo a leer/interpretar los textos codificados, pero al menos parece una buena forma de generar passwords algo más robustas que se salgan de los clásicos "marta1980" escritos "a pelo" que tanto abundan por la red. Ay, si los codificadores de mensajes de la Guerra Fría levantaran la cabeza...;-).
ResponderEliminarPor cierto Mithdraug, según la Wikipedia, eres un "geek-hacker angloparlante" ;-).
SaludoX.
¡Hola!
ResponderEliminarClaro que no es sofisticado y precisamente por eso lo veo una buena opción para los usuarios. Aunque como apuntaba GigA no se trata de la panacea, y la técnica no soporta un ataque de fuerza bruta más allá de lo que lo hace ese "marta1980", sí que las contraseñas obtenidas son algo más robustas de cara a un intento "a mano" por alguien que conozca un poco a la víctima. Lo que no quita que medidas como las sugeridas por nuestro amigo sean las más adecuadas, y deban ser tenidas en cuenta.
Por cierto, señor montañero, a ver si me cuentas qué es eso de "geek-hacker angloparlante", que me has dejado intrigado ¬_¬ XD XD XD.
Un abrazote.
Yo sólo cito la última frase de la sección "Características" de la descripción para Leet de la Wikipedia ;-).
ResponderEliminarSaludoX.
Anda que...
ResponderEliminar... ya, ya lo voy pillando, jajaja. Hombre, así pasamos a nuestros alumnos de "usuarios nivel básico" a "megahackers" en menos de lo que se tarda en declarar un int como variable :D
¡Saludos!