Muchas veces oímos en blogs, o en videos virales realizados por supuestos gurus que realmente repiten frases y argumentos denostados como que hay que utilizar siempre contraseñas fuertes.
Que es una contraseña "fuerte"?
entendemos por contraseña "fuerte" aquella que tiene una longitud de más de 6 dígitos al menos, utiliza números, símbolos, mayúsculas y minúsculas.
Son completamente seguras?
NO. Evidentemente son más difíciles de descifrar que "1234" pero no por ello son inquebrantables. Sólo hace falta muchos intentos y capacidad de procesamiento de los mismos. El proceso puede durar días, semanas o incluso meses dependiendo de su complejidad, pero al final se llegaría a la contraseña en cuestión.
Porque algunos bancos utilizan contraseñas que no pueden ser más de 4 dígitos o no tan "fuertes"?
Podríamos pensar que dichas contraseñas son fácilmente hackeables pero no es así.
Por qué? la respuesta esta en que solo permiten un número de fallos determinado (3 o 4 intentos), después de esto se bloquean.
Es decir, que aunque mi contraseña no sea muy fuerte necesitaría poder averiguarla en 4 intentos lo cual es muy poco probable y después de intentarlo se bloquea.
Este tipo de estrategias "Fail2Ban" hace que desde hace bastante tiempo no necesitemos contraseñas fuertes si no factores de autenticación que no permitan a atacantes infinitos intentos o intentos desde cualquier lugar.
Concretando, si reducimos la capacidad de los vectores de ataque hacemos que la contraseña fuerte no sea necesaria y que las posibilidades de averiguar una contraseña se reduzcan a casi el 0%.
Es necesaria una contraseña "fuerte" entonces?
NO. Es conveniente y depende para que servicios. Si tenemos una contraseña en una web de una empresa que no tiene restringido el número de intentos o tampoco bloquea la cuenta en caso de fallo de autenticación, entonces si deberíamos tenerla. Pero con estrategias "Fail2Ban" o Doble factor de autenticación son bastante seguras.
No hay comentarios:
Publicar un comentario