Cada uno que saque sus propias conclusiones. ¿Cuantos equipos conectados a Internet usarán estos usuarios y contraseñas?. Se lo ponen fácil a los atacantes.
La criptografía asimétrica vino a solventar el problema de la distribución de claves, por la que en una red abierta el número de claves simétricas necesarias para mantener la confidencialidad de las comunicaciones crece exponencialmente con el número de participantes.
Con las passwords, parece que pasa algo parecido. Cada vez accedemos a más y más servicios. Cada uno de ellos requiere que nos registremos y creemos una password. Es una práctica sensata no reutilizar las passwords en los diferentes servicios, o al menos, disponer de diferentes passwords para cada grupo de servicios en función de su criticidad o riesgo. Pensemos que una password es un secreto compartido entre nosotros y los responsables de un determinado servicio en la web. Cuando nos registramos, no siempre sabemos a quien le estamos confiando esa password, ni que estaría dispuesto a hacer con ella. Como escuché en una conferencia, "un secreto compartido no puede ser un secreto".
La realidad es que los usuarios en general, utilizan passwords muy simples para no olvidarlas y se reutilizan las password en diferentes servicios, llegando a emplear la misma password corporativa para registrarnos en webs de dudosa reputación.
Podemos recordar de media unas 7-8 passwords complejas diferentes y especialmente si debemos cambiarlas frecuentemente. Por esta razón si utilizamos más las terminamos apuntando o reutilizando. El problema son las passwords, no las personas.
Un saludo
Rames.
1 comentario:
Hola Rames,
Me alegra mucho saber que también tienes blog. Te agrego a mi Google Reader[1].
Esta nube de passwords resulta muy gráfica. Realmente es preocupante la mala calidad de la mayoría.
Si quieres reir un rato, Jimmy Ruska publicó en su blog estadísticas sobre 3 bases de datos de passwords que habían sido crackeadas y publicadas. Entre ellas hay una de MySpace. Leer por encima estos passwords de quinceañeros te alegra el día. :)
Saludos,
Josep Monés
[1] http://www.google.com/reader/shared/jmones
[2] http://blog.jimmyr.com/Password_analysis_of_databases_that_were_hacked_28_2009.php
Publicar un comentario