Re: [escepticos] De informática médica...

Kbza kbzaman en gmail.com
Mie Oct 6 16:53:27 WEST 2010 

No estoy en absoluto de acuerdo.
Las contraseñas fuertes son mejores que las contraseñas débiles.
Aun así, existen tablas de contraseñas encriptadas, con su hash y su
correspondiente contraseña, que hacen que no sea necesario calcular de nuevo
el hash que ya calculó alguien por tí. hay webs que ofrecen este servicio,
como http://md5online.net/ para hashes md5

Aunque sí estoy de acuerdo en que hay sistemas más seguros que las
contraseñas para identificar a un usuario.

El 6 de octubre de 2010 17:47, Paco Gaspar <fjgaspar en gmail.com> escribió:

> No, la medida de cadenas raras, no es efectiva: con la potencia de los
> equipos actuales, y poniendo a currar unos pocos miles en paralelo, en poco
> rato pueden reventar una contraseña 'segura'.
>
> Lo que es más complicado de reventar, son accesos basados en tarjeta, en
> huella dactilar, en retina..
>
> Pero las passwords... si cayó PGP que se suponía que era invulnerable, cae
> cualquier cosa.
>
>
> El 6 de octubre de 2010 17:40, Luis Rodriguez <luisrodrruiz en gmail.com
> >escribió:
>
> > Hola:
> >
> > El ataque de diccionario requiere el acceso a las claves cifradas. En el
> > > pasado era normal en el sistema Unix, porque el cifrado se consideraba
> > > suficientemente efectivo. El "ataque de diccionario" consiste en ir
> > probando
> > > a cifrar contraseñas hasta obtener una que coincida al cifrarse.
> > >
> > >   Está claro. Ya sabía que estaba bastante desfasado en esto. En este
> > tema,
> > desgraciadamente me quedé cuando las contraseñas se guardaban en el
> > /etc/passwd con permisos de lectura para todo el mundo y que por tanto,
> > encriptando una por una todas las palabras (invocando a "crypt") de un
> > fichero "diccionario" podía llegarse a crackear un password. Después se
> que
> > se adoptó lo de las "shadow" passwords y ahí me quedé :-)
> >
> > En todo caso, hace unos cuatro o cinco años yo mismo sufrí en mis carnes
> un
> > ataque de este tipo (creo que aún guardo por ahí el var/log con los
> > diferentes logins que iba provando el atacante).
> >
> > En todo caso, sigo sin ver, sea cual sea el método seguido, como un
> cambio
> > de contraseña puede servir para protegerse ante un ataque de este tipo.
> La
> > única medida más o menos efectiva es utilizar como contraseña una cadena
> de
> > caracteres "rara".
> >
> > Un saludo.
> > _______________________________________________
> > Escepticos mailing list
> > Escepticos en dis.ulpgc.es
> > http://correo.dis.ulpgc.es/mailman/listinfo/escepticos
> >
> _______________________________________________
> Escepticos mailing list
> Escepticos en dis.ulpgc.es
> http://correo.dis.ulpgc.es/mailman/listinfo/escepticos
>

Más información sobre la lista de distribución Escepticos