2012-06-27

Las políticas de creación de contraseñas son contraproducentes

No se si habíamos hablado del tema por aquí pero el texto me pareció suficientemente breve y atractivo para traerlo. En Password creation policies are the enemy of secure passphrases.

No he leido el estudio al que hacen referencia, pero es cierto que últimamente se está empezando a estudiar la usabilidad/amigabilidad de los sistemas de seguridad y aparecen algunas sorpresas.

Dicen:


... a security developer has concluded that password-creation policies are the enemy of secure passwords ...


Las contraseñas son difíciles de recordar y terminan siendo sencillas:


"One of the other major issues we have observed is that people have great difficulty remembering more complex passwords than the six or eight alphabetic strings that most Internet users rely on. Because of this, they fall back on an eight digit passphrase that is usually a family member's name or place of birth, and which - unfortunately - are all too easy to hack using brute force password attacks," he added.


Y, si se obliga a que sean muy complejas, terminan escritas en cualquier
parte:


The nett result of this is that users end up with a relatively complex passphrase that is difficult to remember and often results in the employee storing the passphrase on their mobile phone as an 'aide memoir' or - perhaps worse - writing it on a yellow sticky note which is then placed on their desktop monitor.


Por si alguien está interesado en el tema, hace algún tiempo pusimos en mi bitácoras más técnica unos enlaces relacionados con las Claves y usabilidad. Allí hay más enlaces para leer sobre temas relacionados.

Etiquetas: , , , , ,


2012-06-27 13:02 | 4 Comentarios | In English, please | En PDF | Para enlazar # |
| Compartir/Share | por correo | en Twitter | en LinkedIn | en Facebook | en Google+ | en Delicious |

Referencias (TrackBacks)

URL de trackback de esta historia http://fernand0.blogalia.com//trackbacks/72025

Comentarios

1
De: Juan Lupión Fecha: 2012-06-27 15:09

Lo que dices es muy cierto, en un trabajo anterior tuve la desgracia de sufrir una política de claves parida por el mismísimo Belcebú: las claves debían cambiarse cada 90 días, ser semialeatorias -con números y letras- y no podían repetirse ni responder a algún patrón. Al final no pocos terminaron con la clave puesta con una nota adhesiva junto al monitor.

De todas formas, para según qué cosas, este escenario no es tan malo, el hacker que te ataca desde, pongamos, Singapur, no puede ver el post-it que tienes pegado en casa.



2
De: Luistxo Fernández Fecha: 2012-06-27 15:16

He repartido decenas o centenares de passwords a administradores o usuarios con permisos de sitios web hechos por la empresa. Siempre les digo lo mismo. ¿Visteis Memento? Pues haced como el protagonista, tatuaros las contraseñas en el cuerpo. Nunca me hacen caso.



3
De: fernand0 Fecha: 2012-06-27 23:47

:-D



4
De: fernand0 Fecha: 2012-07-15 11:30

TBM: Error 500



Nombre
Correo-e
URL
Dirección IP: 54.162.133.222 (866fa4b60b)
Comentario
¿Cuánto es: diez mil + uno?