Español | English
rss facebook linkedin Twitter

Ludicrous Passwords

¿Recordáis "La loca historia de las galaxias"? Spaceballs, en versión original. Sí, hombre. Una parodia de Star Wars cuyo título tuvieron el sorprendente buen gusto de adaptar utilizando la palabra "loca" en lugar de "chiflada".

En un momento dado, se daba el siguiente diálogo (os pondría el link a la escena en concreto, pero entendéis que no me meta en jardines poniendo videos con derechos en una página de empresa, ¿verdad?):
"Casco oscuro: Dinos la contraseña o volveremos a ponerle a su hija... SU ANTIGUA NARIZ.
Rey: Nooooo nooooooo, se la regalé por su 16 cumpleaños... está bien... la contraseña es... 1-2-3-4-5.
Casco Oscuro: ¿¡¿1-2-3-4-5?!? ¡Ésa es la contraseña que un idiota pondría en sus maletas!"
Unos segundos más tarde
"Presidente: ¿Lo habéis conseguido? ¿1-2-3-4-5? ¡Es la misma contraseña que tengo en mis maletas!"

Jaja. Qué bueno, ¿eh? ¡Qué cosas tiene este Mel Brooks!


Así es como se queda el desierto en Space Balls después de peinarlo y no encontrar "ni una puñetera piedra".


Pues bien, dos décadas después, y después de habernos dado todos de alta en cientocuarentaysiete sitios web... en el mundo real la gente sigue haciendo exactamente lo mismo.

Al menos esa es la lectura que podemos hacer después de ver el resultado del estudio realizado por Imperva a raíz de la pérdida de más de 32 millones de contraseñas que se almacenaban en texto plano (...¡señor!) en los servidores de rockyou.com.

Los datos de las contraseñas más repetidas son estos:


¿Sorprendidos? Supongo que no tanto.

Además, como coletilla a esta clase de estudios, normalmente se suele añadir el hecho de que la gente tiende a reutilizar sus contraseñas y nombres de usuario. Sin duda. Pero de todas maneras, dejadme creer que no todo el mundo utiliza las mismas claves en Spotify y en el banco donde tienen los ahorros de su vida. ¿Demasiado optimista? Tenéis razón. Quería decir en Spotify y en el banco donde acumulan numeros rojos.

En realidad, el tema de la repetición de contraseñas no es ninguna broma y hace escasas horas Twitter ha publicado una experiencia que han tenido al respecto. Al parecer, hay determinados sitios de torrents que, después de esperar pacientemente a gozar de la suficiente popularidad, han comenzado a "sacar partido" a la información que tenían sobre las contraseñas de sus usuarios.

Sobre las características que ha de tener una buena contraseña hemos leído todos ya mucho -al menos el lector medio que presupongo en este blog-. En cualquier caso, recuerdo un par de posts en los que se trataron estos temas:


Sin embargo hoy quiero llegar un poco más lejos. Ya que conocemos los riesgos y sabemos cómo construir una contraseña fuerte, vamos a coger hoy de la oreja a la gente de nuestro entorno que más desprotegida pueda estar. A nuestros padres, hermanos, hijos, sobrinos, parejas o amigos y vamos a educarles. No digo concienciar (que eso suele durar lo que dura el miedo), sino educar. Vamos a explicarles por qué y cómo y qué no deberían hacer con sus contraseñas. Y, aunque lleve un ratillo, sentarnos con ellos para que cambien sus contraseñas por unas decentes. Sin duda que resulta mucho más útil que lamentarse o reírse de quien no lo ha sabido hacer mejor como hacía Casco Oscuro al decir: "Bien, Lone Starr, ahora ves que el mal siempre triunfará... porque el bien es idiota".

Luis Tarrafeta
S21sec labs

6 comentarios:

Edgard dijo...

Particularmente creo que la "culpa" por decir algo no es para nada del usuario. Éstos, por defecto, aplican la ley del mínimo esfuerzo y van a lo práctico. Si se utilizan esas "contraseñas" (secuencias, longitud, combinación may/min/números, palabras de uso común, etc.) es porque la política implantada lo permite. En definitiva, no se puede delegar en el usuario lo que, a mi entender, es responsabilidad de la otra parte.

xneo72 dijo...

Sorprenderá a mucha gente esto?. Seguramente los user que utilizan esas pass no visitan paginas como estas así que seguimos igual. Es un circulo vicioso, nunca ( al menos en un futuro próximo) se lograra educar a este tipo de usuarios que solo utilizan Internet para 3 cosas y 1/2.

Como decía mi abuelo, algunos solo aprenden a base de palos.

S21sec labs dijo...

Estoy muy de acuerdo, Edgard, con que la responsabilidad está en los proveedores de esos servicios. Al fin y al cabo, han de velar por la seguridad de sus usuarios.

Sospecho, aunque no lo sé, que en ocasiones dejarán unas políticas tan laxas para evitar desanimar a potenciales usuarios. La gente es muy fácil de desanimar en estos ámbitos en cuanto le pones una pega.

En cualquier caso, no me parece una razón válido, está claro.

También es cierto, xneo72, que los usuarios más "casuales" (que siguen siendo mayoría) son los más difíciles de educar. Y dudo muchísimo que pasen por blogs como este. De ahí mi mensaje. Entre los que nos movemos por estos sitios, cuidemos al menos de los nuestros.

Seré demasiado optimista, pero creo que así, poco a poco, se irá construyendo un tejido.

¿No os parece?

Muchas gracias por vuestros comentarios.

Edgard dijo...

Correcto Sr. s21. Es complicado, por experiencia propia, no ceder y mantenerse firme en determinados criterios o requisitos de seguridad. Los usuarios siguen teniendo la idea de que sólo nos dedicamos a poner palos en las ruedas..... En fin, paciencia y a lo nuestro. Saludos,

Álvaro Del Hoyo dijo...

Gran película...

De acuerdo, la gente hace el uso de idénticas contraseñas, pero no siempre.

Hay gente que pone esas contraseñas sencilla para cosas muy chorras desde el punto de vista de seguridad o privacidad, pero tiene contraseñas específicas y robustas.

Pero, ¿por qué carajo ningún banco nos fuerza el cambio de contraseñas siendo datos sobre servicios financieros? No sólo el usuario ha de gestionar el riesgo de fuga de contraseñas. Y no olvidemos que es el banco el que nos ofrece este medio, pues se ahorran bastante pasta.
Y cuando nos pescan, como nos pesquen bien pescados, hacen como Poncio Pilatos...hale, apáñatelas incauto.

Señores, esto es cosa de todos, y no sólo de los Sres. usuarios.

Los bancos tienen especial responsabilidad en ello y me temo que pueden hacer bastante más.

Algún día les contaré otras muchas cosas que han y pueden hacer y que no hacen.

Un saludo

Álvaro Del Hoyo dijo...

Por ejemplo,
Estando el fraude en banca online, siendo cada vez más sofisticado y siendo que un 73% de la gente usa idénticas contraseñas a diestro y siniestro, ¿no creen que los bancos han de por lo menos implantar cambios de contraseña? No olviden que somos usuarios de sus sistemas, y que hacemos tratamientos de nuestros propios datos en sus sistemas, a los que afecta la LOPD.

http://www.trusteer.com/sites/default/files/cross-logins-advisory.pdf

Ay, claro, es que eso dará lugar a muchas incidencias porque somos olvidadizos.

¿Han implantado el DNI-e como medio de acceso de acuerdo con art. 2 Ley 56/2007? ¿Y por qué no de firma de documentos o autenticación -voluntad de vincularse a acto o negocio jurídico- o llamémoslo autorización de operaciones?

Un saludo


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login