Historias
Slashboxes
Comentarios
 

Login Barrapunto

Login

[ Crear nueva cuenta ]

Elgamal, inventor de la firma digital: "Las contraseñas son una mala idea"

editada por Candyman el Martes, 07 Diciembre de 2010, 09:35h   Printer-friendly   Email story
desde el dept. id_rsa.pub
Uno de los fenómenos más fascinantes en informática es que es una ciencia tan reciente que los autores de grandes descubrimientos aún siguen vivos y dando entevistas, como Taher Elgamal, que entre otras cosas advierte contra las contraseñas: «Para Elgamal, el gran error en la seguridad en Internet son las contraseñas. "Son una mala idea", asegura. Esto se debe a que, al utilizar "número limitado de contraseñas para un número mayor de sitios web", si un 'hacker' consigue una contraseña, probablemente le sirva para varios sitios. Y quizá no preocupa que conozcan la clave para entrar a eBay, pero sí "si es la misma que usa para entrar a la banca 'online'", explica el padre de la firma electrónica.» Lo mismo dice lo que xkcd.

Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Los bancos han hecho un esfuerzo al asociar a cada transacción una verificación, normalmente enviada por otro medio como puede ser un SMS.

    Si alguien roba mi contraseña del banco, poco podrá hacer salvo que me robe el teléfono móvil. No es imposible, pero en cuanto note el robo , bloqueo la SIM.

    Ahora bien, existen sitios que "sólo" tienen información sensible , como GMail o Facebook que deberían poner atención en este tema. No hace mucho nos enteramos de Firesheep [genbeta.com] y se inicio una pequeña campaña para que todos las peticiones a estos sitios web (incluido Barrapunto ) fuesen HTTPS

    --
    "En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."
    [ Responder ]
  • por pobrecito hablador el Martes, 07 Diciembre de 2010, 10:22h (#1254373)
    Yo aun no termino de entender por que ciertos sitios web NECESITAN una cuenta de usuario. Para reservar un vuelo, o comprar algo en una tienda online. Que necesidad hay de crear una cuenta de usuario? Ninguna.

    Existe la puta mania de exigir registro para todo, desde leer el contenido de un foro a descargar los drivers de tu nuevo gadget. Si no hubiese esa cantidad de avasallamiento al usuario de internet no tendriamos problemas con las contraseñas, pues solo se usarian cuentas de usuario cuando hiciesen falta, y no para recibir mierdispam de cualquier web.

    [ Responder ]
  • Error

    (Puntos:1, Interesante)
    por pobrecito hablador el Martes, 07 Diciembre de 2010, 10:36h (#1254383)
    Creo que estamos en una de esas ocasiones en las que una personalidad mete la pata y no se da cuenta. Dice que las contraseñas son malas porque sólo se usan unas pocas para muchas cosas, sin embargo no repara en que firma electrónica sólo se tiene una y se usan para más cosas (o, si acaso, más importantes. No me veo metiendo el DNI-e para loguear aqui). Del mismo modo que dice que si un hacker accede a tu contraseña te puede joder, no dice que si el hacker rompe tu firma electrónica te puede joder más si cabe.

    Yo tengo una relación usuario/contraseña distintas para los sitios donde entro. Si alguien consigue esa combinación de usuario/contraseña sólo será para un sitio y me fastidiará una cosa (trollear con la cuenta de barrapunto, por ejemplo). Sin embargo, si alguien rompe mi firma electrónica, suponiendo que use internet para todo, accederá a todo lo que yo accedo.

    El problema no es de la contraseña o de la firma electrónica sino del usuario (para variar). La seguridad es inversamente proporcional a la comodidad: El 90% de usuarios sacrifica la seguridad por la comodidad y además las contraseñas suelen ser sencillas (usuario: tetona69 contraseña: pericomedapalotes), contraseña que puede ser perfertamente la del DNI-e de turno. Si a eso le sumamos que la mayoría de las personas no aprecia su privacidad en la red (bien porque da los datos o porque activa en los ciberfacés aquello de 'recordar' al hacer login), al final por H o por B te podrán sacar esos datos y joderte. La solución es sacrificar comodidad: usuario/contraseña diferentes para cada cosa (una para foros, otra para correo, otra para banco, etc) y además usar contraseñas algo más elaboradas (no sé, tipo l3n6u4j3_h4x0r: s1_3l_h4x0r_73_b4s1l4h_73_c4ll4_y_l0_4s1m1l4h).

    Así que no, no estoy para nada de acuerdo con la crítica a las contraseñas en favor de la firma eletrónica por parte del inventor de la firma electrónica.
    [ Responder ]
    • Re:Error de pobrecito hablador (Puntos:2) Martes, 07 Diciembre de 2010, 11:04h
  • Y que propone

    (Puntos:2)
    por Tei (4535) el Martes, 07 Diciembre de 2010, 12:39h (#1254439)
    ( http://barrapunto.com/ | Última bitácora: Jueves, 09 Diciembre de 2010, 21:59h )
    Ahi esta sourceforge, si tiene alguna alternativa que proponer, adelante, que cree un proyecto de software libre que lo implemente, y los demas lo veremos.

    Mientras tanto todo el mundo seguira usando las contraseñas.

    Aparte de todo hay que recordar que el asunto no es solo seguridad, sino seguridad versus conveniencia. Y hay que mantener un balance.
    [ Responder ]
  • Re:Hombre, es que eso es muy básico

    (Puntos:1, Interesante)
    por pobrecito hablador el Martes, 07 Diciembre de 2010, 10:10h (#1254365)
    Lo ideal sería un uso generalizado de certificados, pero decir que el tema está inmaduro es quedarse corto: http://www.microlopez.org/2010/06/10/los-planos-ju ridico-y-tecnologico-en-la-administracion-electron ic-%C2%BFdos-mundos-en-galaxias-diferentes/ [microlopez.org] Y no hablemos del DNIe... Esperemos que esto cambie en el futuro porque estoy de acuerdo que el usuario/contraseña no es una solución y los sistemas de identidad electrónica tipo OpenId no llegan ni de lejos a las posibilidades de los certificados electrónicos.
  • por rbruch (39518) el Martes, 07 Diciembre de 2010, 10:36h (#1254382)
    Yo estoy contigo en que pedir claves cada vez más seguras, y que en cada site te obliguen (por los requisitos de SU clave segura) a que sea diferente a las demás, es inseguro. Primero por que lo más fácil es olvidar las claves, y después porque lo segundo más fácil es apuntártelas, por lo que la clave deja de ser segura.
  • 2 respuestas por debajo de tu umbral de lectura actual.