|
|
|
Secciones
Login Barrapunto
Simn (9800)
Publicidad
Publicidad
Martes, 02 de Noviembre 2004
Multiples claves
02:57h.
Cualquier internauta, que se mueva regularmente por el ciberespacio, se habrá cansado de crearse usuarios (ultimamente suele ser la dirección de nuestro correo electrónico) y claves para numerosas historias. Como no es humanamente posible que nos acordemos de todas, tendemos a seguir alguna regla para ayudarnos a recordarlas. Las más usuales son las siguiente:
- Poner la misma clave que el usuario!!!!!!!. Sin comentarios
- Poner siempre la misma clave. Muy peligroso eso se traduce en una vez descubierta una clave tuya, descubiertas todas.
- Seguir patrones semánticos, por ejemplo Estrellas. Tus claves son nombres de estrellas. Normalmente si se conocen dos claves se saca la lógica y simplemente es cuestión de prueba y error descubrir las otras.
- Utilizar la misma clave añadiendole un sufijo o prefijo. Por ejemplo el nombre del sitio. Tiene el mismo problema que caso anterior, conocidas un par de claves se pueden inducir el resto.
- Otra posiblidad es ponerlas de forma aleatoria y luego guardar las claves en un fichero. Problema capturado el fichero capturadas todas las claves.
Existe algunos programas que gestionan las claves, pero personalmente no los he utilizado. Lo que si me parece interesante es la idea de Alan Karp de HP (lo leí en la bitacora de Fernand0) que es tener una clave única a la cual se le añade un identificador del sitio y luego le hacermos un hash y nos quedamos con la cadena resultante. El autor nos da un script en Python que lo hace.
Aquí dejo yo un script más sencillo para linux que he llamado md5cadena.sh (vale cualquier otro nombre) para poder ejecutarlo desde la shell sin necesidad de tener que usar ningún lenguaje de programación.
#!/bin/bash
# Script para calcular el md5 del argumento de entrada
# Uso: ./md5cadena.sh nuestraClaveMasSufijoIdentificativo
LONGITUDCLAVE=10
echo "$1" > /tmp/.cadena.tmp
md5sum /tmp/.cadena.tmp > /tmp/.md5.tmp
cut -c1-$LONGITUDCLAVE /tmp/.md5.tmp
rm /tmp/.cadena.tmp /tmp/.md5.tmp
Sacado de aquí
- Poner la misma clave que el usuario!!!!!!!. Sin comentarios
- Poner siempre la misma clave. Muy peligroso eso se traduce en una vez descubierta una clave tuya, descubiertas todas.
- Seguir patrones semánticos, por ejemplo Estrellas. Tus claves son nombres de estrellas. Normalmente si se conocen dos claves se saca la lógica y simplemente es cuestión de prueba y error descubrir las otras.
- Utilizar la misma clave añadiendole un sufijo o prefijo. Por ejemplo el nombre del sitio. Tiene el mismo problema que caso anterior, conocidas un par de claves se pueden inducir el resto.
- Otra posiblidad es ponerlas de forma aleatoria y luego guardar las claves en un fichero. Problema capturado el fichero capturadas todas las claves.
Existe algunos programas que gestionan las claves, pero personalmente no los he utilizado. Lo que si me parece interesante es la idea de Alan Karp de HP (lo leí en la bitacora de Fernand0) que es tener una clave única a la cual se le añade un identificador del sitio y luego le hacermos un hash y nos quedamos con la cadena resultante. El autor nos da un script en Python que lo hace.
Aquí dejo yo un script más sencillo para linux que he llamado md5cadena.sh (vale cualquier otro nombre) para poder ejecutarlo desde la shell sin necesidad de tener que usar ningún lenguaje de programación.
#!/bin/bash
# Script para calcular el md5 del argumento de entrada
# Uso:
LONGITUDCLAVE=10
echo "$1" >
md5sum
cut -c1-$LONGITUDCLAVE
rm
Sacado de aquí
Este hilo ha sido archivado.
No pueden publicarse nuevos comentarios.
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Obrar mucho, y hablar poco; que lo demás es de loco.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Single Sign On Biométrico
(Puntos:1)( http://postcombustion.blogspot.com/ | Última bitácora: Sábado, 15 Enero de 2005, 15:47h )
En esta entrada [barrapunto.com] tienes plasmada la idea que algún dia ejecutaré ;)
--------
In fire we trust [blogspot.com]
--------
Bueno
(Puntos:3, Interesante)( http://librexpresion.org/ | Última bitácora: Martes, 17 Marzo de 2009, 08:40h )
En la medida en que el factor humano entre en juego, no sería difícil que algún día que estuvieras muy dormido se te olvidase pasar la clave por el pasapuré md5 y pusieras espinete_barrapunto directamente en el campo clave del sitio, y entonces el que hubiera recibido esa clave y conozca el método podría obtener todas las demás (espinete_slashdot -> md5 -> clave de slashdot).
No existe método perfecto para esto, particularmente procuro obtener claves fuertes para sistemas donde la seguridad es crítica a base de frases y algunas reglas estúpidas pero, creo, efectivas. Me invento una frase que me sea fácil de recordar, por ejemplo:
Me cago en el cabrón de Bush mil veces.
Y ahora tomo cada letra inicial de cada palabra, respetando mayúsculas y minúsculas, y evitando repeticiones:
McecdBmv
Ahora sustituyo las vocales por números como hacen los niños que quieren ser hackers:
Mc3cdBmv
Y ya tengo una clave que es en la práctica imposible de romper por fuerza bruta, difícil de deducir por lógica, y fácil de recordar para mí.
Cuando me veo obligado por las circunstancias a almacenar listas de claves, -cosa que procuro evitar siempre-, las inserto en un documento en texto plano y luego lo cifro todo utilizando gpg con una clave fuerte.
En el peor de los casos las he impreso, envuelto con un papel totalmente negro, metidas en un sobre sellado y guardado en una caja de caudales. Estas son algunas claves importantes que necesitarán en mi empresa si algún día por una fatalidad me ocurriera algo.
En lo que no son sistemas críticos, como foros de Internet, no tengo ningún reparo en dejar la tarea de recordar las claves al kwallet o al gestor de contraseñas de firefox. No creo que la remota posiblidad de que alguien obtenga mi clave de, por ejemplo, barrapunto.com y el daño que puede hacer con eso justifiquen tener que dar tropecientos pasos antes de hacer login para evitar riesgos.
Es sólo mi opinión, naturalmente.
libreXpresion.org [librexpresion.org]