Caracteres "RarΩs" en contraseñas Windows

Enviado por admin el 22. Marzo 2007 - 11:25.

Todos sabemos que una combinación lo bastante larga de dígitos, mayúsculas, minúsculas y caracteres especiales puede conformar una contraseña bastante resistente.

Y también sabemos que en Windows podemos obtener caracteres aún más raros si utilizamos la tecla Alt con el teclado numérico.

Entonces, ¿por qué no utilizar esos caracteres "extraños" en nuestras contraseñas? Eso se preguntan hoy en IronGeek....

Microsoft reconoce al menos tres formas diferentes de obtener caracteres raros en Windows, pero pueden existir variaciones entre las distintas versiones del sistema operativo y no todas las aplicaciones soportan estos caracteres en las contraseñas.

En cualquier caso quizás pudiera ser una buena forma de confundir keyloggers y burlar ataques de diccionario o fuerza bruta, ¿no creéis? ¿Alguna experiencia al respecto?

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

No me gusta la idea

Enviado por jonsito el 22. Marzo 2007 - 12:07.

Mis alumnos en el laboratorio (ETSIT-UPM) se confunden constantemente cuando se empeñan en utilizar el keypad numérico para meter contraseñas que incluyen números: Nunca comprueban el estado del numlock.

No quiero ni pensar qué pasaría si metieran caracteres raros.... Por defecto nuestra aplicación de gestión de usuarios solo admite contraseñas basadas en caracteres ascii-7 bits. Ya sé que esta filosofía hace feliz al Jonh The Ripper, pero ahorra muchos disgustos. Además: esas cuentas no son realmente críticas ni exigen un nivel de seguridad "NSA Compliant".

Claro, que en otros entornos no puedo opinar.... pero se me ocurren situaciones divertidas en escritorios que permiten remapeos dinámicos de teclado (vulgo seleción de idioma).

Aparte de que no estoy seguro que algunos entornos PKI permitan contraseñas basadas, por ejemplo, en unicode... Sin ir más lejos, Mi tarjeta Ceres, en función del sistema operativo trata las Ñ y tildes de mi apellido de forma más o menos "aleatoria".

Lo dicho. No me parece buena idea.

 

Ataques por Fuerza Bruta desfasados....

Enviado por car el 22. Marzo 2007 - 14:18.

...Este tipo de ataques esta ya algo desfasado ¿no creeis? es mas para que resulte efectivo y en un tiempo relativamente corto (de 12 a 24 horas con un PC potente) la contraseña deberia tener no mas de 8 caracteres, mas de 8 como por ejemplo 12 o 16 o 22 ¿umm? no es efectivo, y si encima estan alternados con digitos, letras, mayus, minus,.... practicamente imposible sin que antes nadie detecte el ataque, lo dicho para mi pasaron ya a mejor vida.

Yo ya sali escarmentado

Enviado por bohemius el 22. Marzo 2007 - 14:40.

Yo ya sali escarmentado no solo de usar caracteres raros, sino comas, puntos, parentesis, comillas, etc... en la universidad, donde debido a la "alta modernidad" de los equipos tenias que poder escribir las contraseñas no tan solo desde un teclado de 102 teclas, sino desde teclados en inglés configurados en español, Vt100, teclados de consola X, etc.

La ventaja es que ahora sé seguro que voy a poder acceder a mi correo o maquina desde casi cualquier ordenador o terminal. Creedme que es un fastidio tremendo la primera vez que te pasa.

Mala idea

Enviado por Hector Villalobos el 22. Marzo 2007 - 16:45.

A mi tampoco me gusta mucho la idea, al encriptar una cadena con sha1, por ejemplo, el mismo no genera caracteres raros, todos son alfanumericos y hasta es posible usarlos en varios sistemas como he hecho.

Existe un sistemita al que tengo acceso a los datos, pero cuando copio el password para usarlo en otro sin que el usuario tenga que registrarse de nuevo, no puedo hacerlo por los benditos caracteres raros.

No se me había ocurrido

Enviado por raposo el 22. Marzo 2007 - 19:41.

Si, puede ser uno de los métodos para evitar keyloggers, realmente nunca se me había ocurrido, pero también es cierto que no todos los entornos aceptan eses caracteres como contraseñas.

Un saludo.

"Meigas, habelas hailas"

Eso es de geeks

Enviado por siilex el 22. Marzo 2007 - 20:38.

Las contraseñas, desde el punto de vista del usuario, son un compromiso entre seguridad y memoria.

Esto lo hemos discutido otras veces y, como mucha gente, prefiero las contraseñas muuuy largas (passphrase) que cortas y complicadas.

Es obvio que en las frases se 'desperdician' caracteres, ya que hay correlaciones entre ellos, pero hasta la fecha no he visto ningún crackeador sintáctico, que forme frases por fuerza bruta de manera eficiente. (Si alguien encuentra alguno, agradeceré información sobre él).

O sea, en teoría, se podría adivinar la frase con pocas letras, pero en la práctica el John the Ripper tiene que tragarselas todas.

Y en una frase larga, basta un sólo caracter no ascii, o incluso un signo de puntuación mal colocado para hacer el ataque imposible.

Los que tenemos teclado en castellano, a diferencia de los autores del artículo, lo tenemos muy fácil para entrar caracteres no asci: la mayoria son vocales acentuadas, y la ñ y la ç, accesibles directamente desde el teclado.

 

Ni me lo planteo

Enviado por sphoera el 23. Marzo 2007 - 8:22.

No lo veo como una buena opción, sobretodo si habitualmente trabajo desde mi portátil (evidentemente sin teclado numérico), por lo que es extremadamente complicado teclear un código numérico. Y para los usuarios "no-geeks" ya me parece bastante complejo el uso de contraseñas como para complicarles más la vida (me he hartado de ver contraseñas tipo "1234", fechas de nacimiento y PINs de tarjetas de crédito)... La cosa cambiará cuando los sistemas biométricos estén al alcance de todo el mundo.

 

www.sphoera.com

Depende para que

Enviado por Lord Valhalla el 23. Marzo 2007 - 12:51.

si vas a usar una pass de 20 dígitos con caracteres raros para una cuenta de mail que entra solo spawn o para el inicio de sección en una maquina de un establecimiento educativo para chicos de 7 a 11 años me parece una locura.

 
Ahora, si es para tu maquina, donde esta tu trabajo, que te genera un ingreso importante; o para el acceso a un whm donde hay mas de 50 clientes con sus sitios trabajando las 24 horas o para el movimiento de las cuentas privadas de los clientes, me parece perfecto; mal por el que no lo haga. Todo depende de que es  lo que se protege y cuanto se lo valora.

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
7 + 6 =
Resuelve esta sencilla operación e introduce el resultado.