Las claves (ya) no importan
Seguimos dando consejos acerca de las contraseñas (longitud, complejidad, …) aunque lo cierto es que cada vez los sistemas confían menos en ellas y utilizan otro tipo de medidas (segundo factor, principalmente, por elección del usuario o porque el proveedor nos lo suministra cuando tiene dudas).
Por eso me gusta leer todo lo que puedo sobre contraseñas, sistemas de identificación, autentificación y me gustó leer Your Pa$$word doesn’t matter donde se habla de este tema.
Dice que la contraseña no importa:
Because here’s the thing: When it comes to composition and length, your password (mostly) doesn’t matter.
Los atacantes, típicamente, quieren conseguir claves para tener acceso a alguna cuenta (sin un objetivo concreto). Los métodos más sofisticados sólo se usan para objetivos concretos que merecen el esfuerzo.
To understand why, let’s look at what the major attacks on passwords are and how the password itself factors into the equation for an attacker. Remember that all your attacker cares about is stealing passwords so they, or others, can access accounts. That’s a key difference between hypothetical and practical security – your attacker will only do really wacky, creative stuff you hear about at conferences (or wherever) when there’s no easier way and the target of the attack justifies the extra effort.
Asi, conseguir credenciales es relativamente sencillo porque se pueden comprar de ataques anteriores, o mediante phishing, instalando un ‘malware’ y espiando nuestro teclado, y otras medidas similares para las que no importa cómo de compleja sea la contraseña.
Una contraseña ‘diferente’ ayuda cuando el atacante está ‘probando’ diferentes claves y para evitarlo basta con tener una que no sea muy común.
But again, the average attacker is moving so slowly in response to detection systems that they only get a few guesses in. So, your password only matters if it’s included in that short list the attacker is trying. As an admin, you want to prevent use of these commonly attacked passwords when passwords are created or changed.
Si el atacante consigue acceder a la base de datos de claves, es cuestión de tiempo que lo consiga salvo que nuestra clave sea verdaderamente buena.
The point is – your password, in the case of breach, just doesn’t matter – unless it’s longer than 12 characters and has never been used before – which means it was generated by a password manager. That works for some, but is prohibitive for others. If you are using a password manager, use the maximum possible length – there’s no usability downside if you are already cutting and pasting.
Interesante.