Historias
Slashboxes
Comentarios
 
Búsqueda

Login Barrapunto

Login

[ Crear nueva cuenta ]

Elgamal, inventor de la firma digital: "Las contraseñas son una mala idea"

editada por Candyman el 07 de Diciembre 2010, 09:35h   Printer-friendly   Email story
desde el dept. id_rsa.pub
Cifrado Seguridad Varios
Uno de los fenómenos más fascinantes en informática es que es una ciencia tan reciente que los autores de grandes descubrimientos aún siguen vivos y dando entevistas, como Taher Elgamal, que entre otras cosas advierte contra las contraseñas: «Para Elgamal, el gran error en la seguridad en Internet son las contraseñas. "Son una mala idea", asegura. Esto se debe a que, al utilizar "número limitado de contraseñas para un número mayor de sitios web", si un 'hacker' consigue una contraseña, probablemente le sirva para varios sitios. Y quizá no preocupa que conozcan la clave para entrar a eBay, pero sí "si es la misma que usa para entrar a la banca 'online'", explica el padre de la firma electrónica.» Lo mismo dice lo que xkcd.

Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Elgamal, inventor de la firma digital: "Las contraseñas son una mala idea" | Log in/Crear cuenta | Top | 26 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Hombre, es que eso es muy básico

    (Puntos:0)
    por pobrecito hablador el Martes, 07 Diciembre de 2010, 09:54h (#1254353)
    Cualquier usuario de internet con dos dedos de frente sabe que no es lo mismo la contraseña del banco que la del menéame (el que use esa basura infecta, quiero decir). Personalmente, no tengo el mismo par usuario/contraseña repetido en ningún sitio web.

  • Autentificación asociada a transacciones

    (Puntos:2)
    por Grohl (16098) el Martes, 07 Diciembre de 2010, 10:03h (#1254360)
    ( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )

    Los bancos han hecho un esfuerzo al asociar a cada transacción una verificación, normalmente enviada por otro medio como puede ser un SMS.

    Si alguien roba mi contraseña del banco, poco podrá hacer salvo que me robe el teléfono móvil. No es imposible, pero en cuanto note el robo , bloqueo la SIM.

    Ahora bien, existen sitios que "sólo" tienen información sensible , como GMail o Facebook que deberían poner atención en este tema. No hace mucho nos enteramos de Firesheep [genbeta.com] y se inicio una pequeña campaña para que todos las peticiones a estos sitios web (incluido Barrapunto ) fuesen HTTPS

    --
    "En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."

  • Pues anda que las cuentas de usuario...

    (Puntos:3, Inspirado)
    por pobrecito hablador el Martes, 07 Diciembre de 2010, 10:22h (#1254373)
    Yo aun no termino de entender por que ciertos sitios web NECESITAN una cuenta de usuario. Para reservar un vuelo, o comprar algo en una tienda online. Que necesidad hay de crear una cuenta de usuario? Ninguna.

    Existe la puta mania de exigir registro para todo, desde leer el contenido de un foro a descargar los drivers de tu nuevo gadget. Si no hubiese esa cantidad de avasallamiento al usuario de internet no tendriamos problemas con las contraseñas, pues solo se usarian cuentas de usuario cuando hiciesen falta, y no para recibir mierdispam de cualquier web.

  • Error

    (Puntos:1, Interesante)
    por pobrecito hablador el Martes, 07 Diciembre de 2010, 10:36h (#1254383)
    Creo que estamos en una de esas ocasiones en las que una personalidad mete la pata y no se da cuenta. Dice que las contraseñas son malas porque sólo se usan unas pocas para muchas cosas, sin embargo no repara en que firma electrónica sólo se tiene una y se usan para más cosas (o, si acaso, más importantes. No me veo metiendo el DNI-e para loguear aqui). Del mismo modo que dice que si un hacker accede a tu contraseña te puede joder, no dice que si el hacker rompe tu firma electrónica te puede joder más si cabe.

    Yo tengo una relación usuario/contraseña distintas para los sitios donde entro. Si alguien consigue esa combinación de usuario/contraseña sólo será para un sitio y me fastidiará una cosa (trollear con la cuenta de barrapunto, por ejemplo). Sin embargo, si alguien rompe mi firma electrónica, suponiendo que use internet para todo, accederá a todo lo que yo accedo.

    El problema no es de la contraseña o de la firma electrónica sino del usuario (para variar). La seguridad es inversamente proporcional a la comodidad: El 90% de usuarios sacrifica la seguridad por la comodidad y además las contraseñas suelen ser sencillas (usuario: tetona69 contraseña: pericomedapalotes), contraseña que puede ser perfertamente la del DNI-e de turno. Si a eso le sumamos que la mayoría de las personas no aprecia su privacidad en la red (bien porque da los datos o porque activa en los ciberfacés aquello de 'recordar' al hacer login), al final por H o por B te podrán sacar esos datos y joderte. La solución es sacrificar comodidad: usuario/contraseña diferentes para cada cosa (una para foros, otra para correo, otra para banco, etc) y además usar contraseñas algo más elaboradas (no sé, tipo l3n6u4j3_h4x0r: s1_3l_h4x0r_73_b4s1l4h_73_c4ll4_y_l0_4s1m1l4h).

    Así que no, no estoy para nada de acuerdo con la crítica a las contraseñas en favor de la firma eletrónica por parte del inventor de la firma electrónica.
    • Re:Error de pobrecito hablador (Puntos:2) Martes, 07 Diciembre de 2010, 11:04h
      • Re:Error de pobrecito hablador (Puntos:0) Miércoles, 08 Diciembre de 2010, 00:31h

  • Y que propone

    (Puntos:2)
    por Tei (4535) el Martes, 07 Diciembre de 2010, 12:39h (#1254439)
    ( Última bitácora: Viernes, 03 Febrero de 2012, 15:18h )
    Ahi esta sourceforge, si tiene alguna alternativa que proponer, adelante, que cree un proyecto de software libre que lo implemente, y los demas lo veremos.

    Mientras tanto todo el mundo seguira usando las contraseñas.

    Aparte de todo hay que recordar que el asunto no es solo seguridad, sino seguridad versus conveniencia. Y hay que mantener un balance.

  • voy a daros unos números

    (Puntos:0)
    por pobrecito hablador el Martes, 07 Diciembre de 2010, 16:37h (#1254520)
    Actualmente guardo en un fichero gestionado por keepassx unos 75 pares de usuario/contraseña. Los usuarios a veces están repetidos pero las contraseñas son todas distintas.

    De esas 75, 6 son cuentas email y 12 son cuentas en ordenadores externos. Hay algún foro, y sobre todo las cuentas de webs de servicios tipo renfe, alsa, ryanair...

    El fichero está encriptado con AES (Rijndael) 256 bit con una contraseña buena.

    No todos los usuario/contraseña los uso con mucha frecuencia. Elijo contraseñas de 8-10 caracteres (mayúsculas, minúsculas, números y algunos signos de puntuación, keepassx se encarga de generar la contraseña) para los más utilizados, al cabo del tiempo me las acabo aprendiendo. El resto, como por ejemplo mi facebook, de 20 caracteres, no puedo entrar en mi facebook si no estoy en uno de mis ordenadores con el keepassx instalado.

    keepassx creo que es multiplataforma, o al menos podría abrir mi fichero de contraseñas con un programa similar que sé que existe en windows. El fichero está copiado en varios sitios e incluso lo llevo conmigo en el llavero en un pequeño lapiz usb.

    ¿qué os parece el método? ¿cómo lo hacéis vosotros que no repetís contraseñas y tenéis que tener bastante a mano muchas de ellas y no os vale el papel?