Las contraseñas complejas o sencillas acaban siendo un problema igualmente

Hace un tiempo me dio por el tema de las contraseñas ya que las puedes encontrar fácilmente y además quedan almacenadas en Google, es por eso que incluso di una charla sobre Latch y el problema de las contraseñas, además siempre daba el consejo de cambiar la contraseñas periódicamente y de usar contraseñas complejas, pero viendo sucesos de perdidas de usuarios y contraseñas como el que sufrió recientemente Avast y el post de ayer de Chema Alonso en su blog, han hecho que me decida a escribir este post para decir una serie de cosas sobre las contraseñas.

Figura 1: Contraseñas sencillas o complejas, todas se hackean

Claro está que siempre existen los Man In y The Middle como el que se le aplicó al señor "rafa1" y que permiten al atacante ver -si va con buenas intenciones como fui yo con rafa1- el usuario y la contraseña, ya sea sencilla o robusta.

Figura 2: Con un Man In The Middle puedes ver la contraseña sea como sea de compleja

Además también hay multitud de sitios webs a los que tienes que acceder con una contraseña, pero que te dan vía libre para que intentes las veces que quieras, por lo cual los ataques de fuerza bruta, existen y sin ningún tipo de problemas para el atacante y esto de tener un sitio donde escribir tu contraseña, no basta para que podamos decir que nos sentimos seguros navegando y más aún si es en HTTPS, a todos estos les recomiendo que se vean lo que le sucedió a "rafa1" con la HTTPS o que se lea el libro de ataques en redes de datos.

Porque en muchos sitios no tienen el cuidado que deben y acaban las passwords almacenadas en la BASE64 o que te lo jodan con un MD5 por no andarse con cuidado, por eso que deberían añadir un segundo factor de autenticación como el caso de Google Authenticator con un envío de SMS si han entrado en tu cuenta o que la protejan directamente con Latch.

Pero claro, todo no son problemas ni fallos de los administradores de los sitios, ya que si subes una foto con tu contraseña del wifi, es tu problema, si te tragas un Man In The Middle por andar jugando por donde no debes, es tu problema, y si te sucede cualquier cosa por no hacer caso del hacker que se preocupó por ti y que ya no sabe que hacer, es tu problema todo eso, así que cuidado, aunque si es cierto que deberían dejarnos escribir nuestras contraseñas sencillas si tenemos un 2FA, ya que una clave robusta es solamente eso, una clave, pero una clave sencilla y un Latch, es lo mejor, además te hace la vida un poco más fácil, pero para eso todos los sitios deben implementar Latch.

Saludos Malvados!