copiada integramente de "Engadget en español"
http://es.engadget.com/2017/08/08/impul ... aracteres/copio el contenido de la noticia:
Tú también usas contraseñas del tipo €st@EsM1c0ntras€na, ¿verdad? Durante mucho tiempo te han vendido que esa es la forma de hacerlo, que es la manera más segura y que no utilizar en una misma palabra números, caracteres especiales y letras mayúsculas es una temeridad. Pues bien, que sepas que has estado haciendo el canelo durante mucho, mucho tiempo.
Bill Burr es el "culpable" de toda esta creencia. En el 2003 este directivo intermedio del National Institute of Standards and Technology (NIST) escribió un informe en el que recomendaba usar números, caracteres especiales y mayúsculas en las contraseñas, además de actualizarlas de manera regular. Semejante escrito, titulado "NIST Special Publication 800-63. Appendix A", se hizo rápidamente popular, convirtiéndose en la guía de cabecera para agencias federales, universidades y grandes empresas que buscaban un conjunto de reglas comunes a seguir a la hora de crear contraseñas para proteger sus datos, aseguran en Wall Street Journal.
El problema es que dichas directrices no eran tan infalibles como todo el mundo creía ya que Burr no contó con un componente importante: el factor humano. El directivo reconoce que obligar a cambiar la contraseña cada 90 días es una pérdida de tiempo ya que la gran mayoría de la gente solo realiza pequeños cambios en la contraseña base que son después fáciles de averiguar. Para que lo entiendas mejor: cambiar "Pa55word!1" por "Pa55word!2" no es precisamente la mejor idea -reconócelo, tú también lo has hecho alguna vez.
Las personas además suelen elegir contraseñas muy poco seguras (a pesar de las exclamaciones, las almohadillas o los números intercalados), relacionadas con conceptos muy cercanos a ellas. Es por ello que Burr dice arrepentirse mucho de los consejos que dio.
Algunos compañeros sin embargo creen que el directivo está siendo demasiado duro con él mismo. Es el caso de Paul Grassi, consejero del NIST, quien apunta a WSJ que Bill Burr escribió un documento de seguridad que se ha mantenido durante 10 o 15 años. Ahora ya está obsoleto, pero fue de gran utilidad durante un periodo de tiempo determinado.
Tal es así que el NIST ya cuenta con un nuevo informe actualizado. Este desaconseja la mezcla de caracteres especiales y la obligación de actualizar las contraseñas cada 90 días, dos normas que solo consiguieron tener un impacto negativo en la usabilidad. En su lugar, la recomendación es que se empleen como contraseñas frases que sean, eso sí, fáciles de recordar para el usuario, y que no se actualicen a menos que existan sospechas de que ha podido ser descubierta.
Y tú, ¿estaspensandoyaentunuevacontraseña?
mi comentario:
Pues gracias a esta recomendacion, mi querido Bill, si te encuentro por la calle te arreglo la cara.
![[+furioso]](/images/smilies/nuevos/furioso.gif "muy furioso")
Porque no sabes la cantidad de trabajo que has dado y la cantidad de problemas e incidencias que has contribuido a crear... para llegar a la conclusion de que "€st4sP#t4$PA$$w0rdS" NO son utiles.
Es decir, tecnicamente "si son utiles", son mas fuertes (de hecho, mucho mas fuertes) ante un "ataque de diccionario" o mediante la fuerza bruta... pero una simple 99884275N# a efectos practicos es el 90% de fuerte y lo mas importante, es 999999999x mas recordable por el sufrido usuario, y le genera muchos menos problemas al sufrido administrador de red.
En fin. Ahora los que llevamos años diciendo que esto de las "passwords fuertes" era una locura sin sentido y una tonteria, ahora ya no estamos tan locos, verdad?
ahora a ver cuantos años tardan los administradores de los diferentes servicios y sitios en tomar nota y relajarse con algunas politicas de manejo de las contraseñas que rayan en la paranoia y que lo unico que hacen a la larga es complicarnos la vida a todos, pero no contribuyen practicamente nada a hacer los servicios mas seguros.
pd. por cierto, con lo de la "contraseña frase" no se refieren a una contraseña del tipo de "estaesminuevacontraseña!" (aunque tambien puede valer), sino a la "transformacion de frases". del tipo siguiente: "Estoy en Barcelona y me lo paso muy bien de vacaciones 08/17" -> "EeBymlpmbdv08/17"
y queda una contraseña rocosa que ademas, es facil de recordar por el usuario que la creó, ya que solo tiene que llamar a un recuerdo y seguir una regla de transformacion. no tiene que memorizar un chorizo que no entiende ni el que lo parió del tipo "$Rt78Bf4es8gV#9r"
ese ultimo tipo de contraseña para lo unico que servia era para que el usuario la cambiara en cuanto tuviera oportunidad, o peor aun: apuntarla en algun lugar mucho menos seguro.
Saludos cordiales.
