Noticias de Seguridad Informática2/14/10 9:48 AMnoreply@blogger.com (www.segu-info.com.ar)contraseñas
Leo en The Register una nota sobre un estudio realizado a un base de datos de contraseñas ( 32 millones )que fueron expuestas en un ataque al sitio RockYou. Las passwords almacenadas en plaintext, revelaron que las mayores frecuencias estaban dadas por :
Mas alla de la seguridad de las passwords, una vez mas vemos como también es peligroso utilizar la misma contraseñas en diferentes sitios. Quien tenia la misma contraseña en el sitio RockYou que en su cuenta de Gmail/Hotmail/Yahoo, quedo expuesto a problemas catastróficos, si además utilizaba estas cuentas para recuperar las passwords de otros sitios.
El sitio CXO realizo un excelente grafico utilizando la herramienta de Gmail que mide que tan "segura" es la password ingresada.¿Recuerdan este pot sobre el tamaño de las contraseñas?
Me tomé el trabajo de hacer lo mismo con la herramienta de Microsoft.
¿Sorprendente no?
¿GMail otorga una falsa sensación de seguridad o Microsoft es demasiado rígido?
En los ejmplos, Google crea una falsa sensacion de seguridad, al menos con passwords como "enzoferrari" al declararla como "buena".
Por otro lado debo decir que el validador de Google otorga a "enzoferrar" un valor de "strong" y le quita fortaleza al encontrar el nombre completo....
En la página de pruebas de passwords MS recomienda :
Resulta interesante notar que para Microsoft la password :
abcd1234 tiene una seguridad MEDIUM y para Google resulta en WEAK.
En cambio, en la empresa de Redmond:
dethknight55 resulta en una password WEAK y para Google la password es STRONG
Fuente: Deny All
- 123456
- 12345
- 123456789
- Password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
Mas alla de la seguridad de las passwords, una vez mas vemos como también es peligroso utilizar la misma contraseñas en diferentes sitios. Quien tenia la misma contraseña en el sitio RockYou que en su cuenta de Gmail/Hotmail/Yahoo, quedo expuesto a problemas catastróficos, si además utilizaba estas cuentas para recuperar las passwords de otros sitios.
El sitio CXO realizo un excelente grafico utilizando la herramienta de Gmail que mide que tan "segura" es la password ingresada.¿Recuerdan este pot sobre el tamaño de las contraseñas?
Me tomé el trabajo de hacer lo mismo con la herramienta de Microsoft.
¿Sorprendente no?
¿GMail otorga una falsa sensación de seguridad o Microsoft es demasiado rígido?
En los ejmplos, Google crea una falsa sensacion de seguridad, al menos con passwords como "enzoferrari" al declararla como "buena".
Por otro lado debo decir que el validador de Google otorga a "enzoferrar" un valor de "strong" y le quita fortaleza al encontrar el nombre completo....
En la página de pruebas de passwords MS recomienda :
A strong password should appear to be a random row of characters. It should be at least 14 characters long. It should include a combination of uppercase and lowercase letters, numbers, punctuation, and symbols.Por otro lado los tips de seguridad de Google :
Tips for creating a secure password:
Include punctuation marks and/or numbers.
Mix capital and lowercase letters.
Include similar looking substitutions, such as the number zero for the letter 'O' or '$' for the letter 'S'.
Create a unique acronym.
Include phonetic replacements, such as 'Luv 2 Laf' for 'Love to Laugh'.
Things to avoid:La mayor diferencia esta en el largo de las passwords.
Don't use a password that is listed as an example of how to pick a good password.
Don't use a password that contains personal information (name, birth date, etc.)
Don't use words or acronyms that can be found in a dictionary.
Don't use keyboard patterns (asdf) or sequential numbers (1234).
Don't make your password all numbers, uppercase letters or lowercase letters.
Don't use repeating characters (aa11).
Resulta interesante notar que para Microsoft la password :
abcd1234 tiene una seguridad MEDIUM y para Google resulta en WEAK.
En cambio, en la empresa de Redmond:
dethknight55 resulta en una password WEAK y para Google la password es STRONG
Fuente: Deny All
No comments:
Post a Comment