Passwords del foro

[GKawa]

En relación con el tema aparte de las estafas. Hoy estaba viendo una base de passwords hackeados y se me ocurrió probar el que usé en este foro antes de la migración al server actual, estimo que desde 2011 al 2018, y ese password está listado. Es un password con un nivel de seguridad medio, no es ni común, ni es una palabra de diccionario, ni un nombre. Y nunca jamás se usó en otro sitio que no fuera este foro.

La conclusión obvia es que la base de usuarios del foro estuvo en público al menos una vez durante ese período. No sé si se acuerdan que hubo un hackeo de cuentas acá y en FA y coincidieron usuarios que tenían el mismo combo usuario/password en ambos sitios. Es posible que hayan usado esa base. La buena noticia es que ninguno de los passwords que usé desde la migración están en la base. O sea que si tienen un password posterior, lo cambiaron o generaron después de la migración, es muy probable que no esté en la base.

Yo sé que cansa escuchar siempre lo mismo pero insisto en que no usen el mismo password en diferentes sitios y pónganle media pila para subirle un poco la seguridad. Y si tienen el password original del foro, vayan pensando en cambiarlo. Y, de paso, verifiquen que tengan una dirección de email actual. Hay muchos usuarios volviendo al foro que se quedaron afuera porque no tienen más la cuenta de mail que usaron para registrarse.

[M. Lovotti]

Es un kilombo tener 700 pass distintas para todo en lo que te registras
Tengo en casa una libreta de verdulero con todo anotado pero si estas fuera apelar a la memoria es dificil

[condicionuno]

Es un kilombo tener 700 pass distintas para todo en lo que te registras
Tengo en casa una libreta de verdulero con todo anotado pero si estas fuera apelar a la memoria es dificil

jajaja "libreta de verdulero"... yo también! imposible recordar cada contraseña...
Pero si, en general no la repito en diferentes sitios, cada uno tiene la suya.

[Daniel2048]

Es un kilombo tener 700 pass distintas para todo en lo que te registras
Tengo en casa una libreta de verdulero con todo anotado pero si estas fuera apelar a la memoria es dificil

Hola. Mi memoria es un desastre  , así que uso una aplicación que se llama KeePass (https://keepass.info/help/base/keys.html) la cual básicamente almacena todas mis contraseñas en un único archivo encriptado. Recomiendo usar algo de este tipo si suelen sentirse identificados con la película "Memento" . Eso sí, es fundamental mantener actualizado este archivo cada vez que se cambia algún password o se genera una nueva cuenta. Solo se necesita recordar un único password (el de este archivo). Lo bueno es que cada vez que actualizo este archivo lo guardo como archivo adjunto en un mensaje borrador de mi cuenta de Gmail así siempre lo puedo acceder desde cualquier lugar. El programa para leer este archivo es portable (es decir, no necesita ser instalado en una máquina... solo basta con bajarlo y ejecutarlo).
Saludos.

[GKawa]

Usar un gestor de passwords es una buena idea. Hay que considerar que siempre hay un punto en que van a tener que basarse en la fé y en ese punto es donde hay que hacer un balance de valor/riesgo.

Otra estrategia es usar algoritmos y no passwords. Igual que con el resto, algoritmos simples para sitios de bajos valor van bien, para el banco hay que hacer algo más complicado. Una cosa que uso mucho es Leet, un 51573m4 de 35cr17ur4 7191c0 d3 n3rd5 d0nd3 s3 r33m9l424n l37r45 p0r num3r05. No hay reglas específicas, a veces basta con reemplazar las vocales por números y como no hay un reemplazo natural para la u pueden no reemplazarla, asignarle cualquier número y directamente reemplazarlas en orden del 1 al 5, o al revés, o como quieran. La única regla es ser consistente. Otro método es el telefónico, los números del dial del teléfono tienen letras asignadas, una genialidad de Bell para que la gente pudiera recordar los números de las centrales por nombre o sigla. Ahora se puede aprovechar al revés, discar/tipear la clave que se convierte en un número. Obviamente, a mí me funcionan porque en mi cabeza lo hago naturalmente. Busquen algo que les funcione naturalmente o practiquen. Usen lápiz y papel!!!

Ejemplos simples:

Mi madre usa un método combinado de iniciales y fechas de nacimiento para algunos sitios. Es poco recomendable usar fechas pero son de bajo riesgo y no usa las suyas. Por ejemplo, cumpleaños de sobrinos, Juan Perez, nacido el 18 de Junio de 1974, clave jp180674 o Jp18Jun74 o 180674jp o 180674 si es un PIN. A mí no me gusta, hay que hacer el vínculo persona/sitio (será que me cuesta vincularme con humanos...) pero ella es la que nunca jamás se olvida de una fecha así que le va de 10.

Yo suelo usar passwords combinados sitio/usuario o sitio/usuario/fecha. Un ejemplo de un sistema que nos exigía cambio de password mensual y no se podía repetir los de los últimos dos años    Sumado a eso, mayúsculas, minúsculas, números, letras, símbolos y mínimo 10 caracteres... (S1573m4U5u4r10En324) y solo hay que mirar la fecha. Es un caso un poco extremo. En foros suelo usar un nombre de foro (no el nombre completo porque éste por ejemplo es muy largo, Elf0r0d3l71r4d0r) y no uso el nombre de usuario, uso un nombre mío, privado. No se gasten, en este foro uso otro password    porque mi cuenta de es admin y es un riesgo mayor.

Música y poemas es otro buen método, títulos de canciones, letras en algunos casos. De vuelta, hay que ver como les funciona en la cabeza. En mi mente retorcida, relaciono el sitio donde compro zapatillas con un tema de Steely Dan que se llama Bad sneakers (malas zapatillas) y uso eso como base para el password.

Para passwords de Wifi vienen bien porque las seteas una vez en el dispositivo y es para siempre. Entonces ponerle toda una estrofa es una molestia menor. Ojo con las claves de default para algunos servicios de Internet porque es posible que les entren a la red solamente con los datos de la factura que está tirada en la entrada del edificio. Nunca jamás lo hice...    es algo que me contaron. Entiendo que es raro en estos días pero no me extrañaría que siguiera existiendo. Puedo dar fé de gente que tiene el password asignado de Telecentro que se saca del número de cliente de la factura. No les puedo decir quién es por un tema de seguridad, no quisiera que le hackearan la red a mi madre. 
Telecom está asignando un con el DNI, que no está en la factura pero sigue siendo un riesgo.

Una recomendación que suelen hacer para estos métodos es usar solo elementos que están en la cabeza de uno mismo y no en la de nadie más. Es un poco creepy, para mi gusto, porque una vez alguien me comentaba que lo hacía y que era también una forma de catarsis, "sacar algo afuera que no podés compartir con otra gente". Yo me imaginaba que sus passwords eran todos coordenadas GPS de sitios en el medio del desierto...
Pero ésto venía a que me acordé que el foro tiene en los perfiles de usuario una pregunta de seguridad, como alternativa para recuperar la cuenta si se olvidan el pass. A diferencia de otros sitios, que tienen preguntas predefinidas (y son todas ridículas  ), acá pueden poner lo que quieran. Ni siquiera tiene que ser una pregunta. Para la pregunta, traten de no usar "Who's on first?" o "Who let the dogs out?" 

Fíjense que hay sitios donde existe la opción de poner una "pregunta" o frase recordatoria del password. La gente rara vez la setea pero, si usan algoritmos para passwords, esos recordatorios siempre vienen bien. Tuvimos un sistema muy pesado con el tema passwords, lo teníamos que levantar una vez cada muerte de obispo, nadie se los acordaba, permanentemente estábamos preguntando a todos a ver quién se lo acordaba. Un día ví que habían seteado el recordatorio... con el password!