Re: [escepticos] De informática médica...

Paco Gaspar fjgaspar en gmail.com
Mie Oct 6 16:58:06 WEST 2010


No he dicho que no sea mejor una contraseña fuerte que una débil.
Obviamente, es mejor una contraseña que tarda en caer una semana que una que
tarda media hora. Pero el método de contraseña, es vulnerable por
naturaleza, porque la potencia de unos pocos miles de ordenadores personales
trabajando en paralelo, revientan por la fuerza bruta cualquier contraseña
por fuerte que sea.

Por tanto, para el ordenador de casa, o para el de la oficina, si nuestro
trabajo no es delicado, vale con las contraseñas, pero para cualquier cosa
que precise seguridad, las contraseñas no sirven.

Por ponerte un ejemplo: jamás trabajaría con un banco que me permitiera
hacer operaciones por internet solo en base a una (o varias) contraseñas.
Contraseña, tarjeta de coordenadas, mensaje al móvil con código de
confirmación...

Saludos


El 6 de octubre de 2010 17:53, Kbza <kbzaman en gmail.com> escribió:

> No estoy en absoluto de acuerdo.
> Las contraseñas fuertes son mejores que las contraseñas débiles.
> Aun así, existen tablas de contraseñas encriptadas, con su hash y su
> correspondiente contraseña, que hacen que no sea necesario calcular de
> nuevo
> el hash que ya calculó alguien por tí. hay webs que ofrecen este servicio,
> como http://md5online.net/ para hashes md5
>
> Aunque sí estoy de acuerdo en que hay sistemas más seguros que las
> contraseñas para identificar a un usuario.
>
> El 6 de octubre de 2010 17:47, Paco Gaspar <fjgaspar en gmail.com> escribió:
>
> > No, la medida de cadenas raras, no es efectiva: con la potencia de los
> > equipos actuales, y poniendo a currar unos pocos miles en paralelo, en
> poco
> > rato pueden reventar una contraseña 'segura'.
> >
> > Lo que es más complicado de reventar, son accesos basados en tarjeta, en
> > huella dactilar, en retina..
> >
> > Pero las passwords... si cayó PGP que se suponía que era invulnerable,
> cae
> > cualquier cosa.
> >
> >
> > El 6 de octubre de 2010 17:40, Luis Rodriguez <luisrodrruiz en gmail.com
> > >escribió:
> >
> > > Hola:
> > >
> > > El ataque de diccionario requiere el acceso a las claves cifradas. En
> el
> > > > pasado era normal en el sistema Unix, porque el cifrado se
> consideraba
> > > > suficientemente efectivo. El "ataque de diccionario" consiste en ir
> > > probando
> > > > a cifrar contraseñas hasta obtener una que coincida al cifrarse.
> > > >
> > > >   Está claro. Ya sabía que estaba bastante desfasado en esto. En este
> > > tema,
> > > desgraciadamente me quedé cuando las contraseñas se guardaban en el
> > > /etc/passwd con permisos de lectura para todo el mundo y que por tanto,
> > > encriptando una por una todas las palabras (invocando a "crypt") de un
> > > fichero "diccionario" podía llegarse a crackear un password. Después se
> > que
> > > se adoptó lo de las "shadow" passwords y ahí me quedé :-)
> > >
> > > En todo caso, hace unos cuatro o cinco años yo mismo sufrí en mis
> carnes
> > un
> > > ataque de este tipo (creo que aún guardo por ahí el var/log con los
> > > diferentes logins que iba provando el atacante).
> > >
> > > En todo caso, sigo sin ver, sea cual sea el método seguido, como un
> > cambio
> > > de contraseña puede servir para protegerse ante un ataque de este tipo.
> > La
> > > única medida más o menos efectiva es utilizar como contraseña una
> cadena
> > de
> > > caracteres "rara".
> > >
> > > Un saludo.
> > > _______________________________________________
> > > Escepticos mailing list
> > > Escepticos en dis.ulpgc.es
> > > http://correo.dis.ulpgc.es/mailman/listinfo/escepticos
> > >
> > _______________________________________________
> > Escepticos mailing list
> > Escepticos en dis.ulpgc.es
> > http://correo.dis.ulpgc.es/mailman/listinfo/escepticos
> >
> _______________________________________________
> Escepticos mailing list
> Escepticos en dis.ulpgc.es
> http://correo.dis.ulpgc.es/mailman/listinfo/escepticos
>


Más información sobre la lista de distribución Escepticos