Arkangel 

Los que tenemos más delito somos los que conocemos la teoría pero la perrera nos puede a veces ;-)

Incluso ahora, que no me voy a parar en comprobar si soy vulnerable (aunque creo que no). Doy de plazo hasta esta noche que saque un rato para verlo con calma :P

theNinjaBunny 

Y tanto que “aparentemente” complejas, usar signos|letras|numeros aleatorios NO da más seguridad que usar una palabra común. Es sencillo, hoy en día nadie en su sano juicio usaría un diccionario, al menos no para algo “serio”, con cambiar una sola letra de la palabra o añadir un numero al final ya estarías jodido. Usando la fuerza bruta (y generando secuencias ordenadas de palabras) posiblemente una contraseña entera de símbolos fuera “más dificil” (mentira, solo se tardaría más) de descifrar, ya que por lo general se suelen dejar los símbolos para lo último a comprobar. Siempre queda la ingenería social y el problema de la “devolucion de clave por respuesta secreta” (recordemos a Paris Hilton)

Tronfi 

Excelente artículo. Espero que no te moleste que lo comente en un siguiente post.

Un saludo!

NetDancer 

Ark > Sé de lo que hablas, y ese es el principal problema al que nos enfrentamos todos los humanos: Al final pasamos de complicaciones y optamos por claves sencillitas. En cuanto a la vulnerabilidad, ya te puse yo “a prueba” y no parece que estes afectado… =)

theNinjaBunny > No estoy del todo de acuerdo. Una clave basada en un conjunto de letras y números (y además con alternancias) debe ser, a priori, bastante más segura que una basada en palabras comunes. Para empezar requiere más tiempo para ser extraída, y a la hora de introducirla en un lugar público (ciber, universidad, etc…) resulta mucho menos susceptible de ser copiada “a simple vista”. Por otra parte, poder introducir símbolos en la contraseña no suele ser muy habitual. En cualquier caso coincido en que la ingeniería social se carga cualquier tipo de clave segura…

Tronfi > Muchas gracias, espero que no encuentres demasiadas “vulnerabilidades” en mi post… ;-)

theNinjaBunny 

Quizás atí te parezca más fácil que una contraseña sea una palabra de diccionario, pero no es así. Pongamos por ejemplo que alguien usase en su contraseña la palabra “pedro33″ a priori parece una contraseña muy sencilla, pero si probamos por el método del diccionario, te aseguro que serán pocos aquellos que incluyan la palabra pedro, y menos aun pedro33. Por lo que si, es cierto que podrías intentar con listas enormes de palabras, pero a la larga resultan inefectivas, solo por añadir unas cifras al final, por no hablar de por ejemplo algo muy comun, cambiar la V por la B o la C por la K. Así una contraseña que fuera “dabid” dificilmente aparecería en tu lista.

Usando la auténtica fuerza bruta (empezando por a,b,c,d… aa,ab,ac…aba,abb,abc,…) Tardarías infinitamente más, pero así te aseguras que obtendrás la contraseña. En este caso, usar o no palabras reales o un conjunto aleatorio es indiferente, pues el ordenador no va a entender ninguna de las dos. Podrías pensar que empezar el chequeo por la “a” es lo mas comun, así que empezarías tu contrraseña con “z” que quizas sea la ultima letra en llegar.

Por otra parte introducir numero y caracteres extraños en contraseñas en lugares privados ES precisamente lo que te delata. Hagan la prueba, pongan sus manos en el teclado, y vean que para introducir numeros deben de mover las muñecas hacia delante, y para meter caracteres deben de usar ambas manos en la mayoria de los casos, o al menos mirar el teclado. (al menos en el portatil)

De todas formas, no se a quien se le ocurre poner el backup en el public_html U.U’
(y por cierto MD5 no es 100% seguro, se puede forzar para que dé el resultado buscado -no debe de ser facil, pero es posible)

NetDancer 

Creo que no hablamos exactamente de lo mismo, y aunque así fuera nuestras opiniones no parecen destinadas a coincidir x’D

Por un lado, me referería a que es mucho más sencillo copiar al vuelo “dabid33″ (aunque sea con b) que, por ejemplo, “3syjyc7″. No importa cómo movamos los dedos, sencillamente resulta más complicado captar una sucesión de caracteres sin sentido que una palabra común, esté o no mal escrita. Por otro lado, es habitual que por fuerza bruta se prueben antes ciertas combinaciones más “lógicas” que las meramente basadas en el azar (o al menos debería hacerse así), y por tanto “dabid” (consonante / vocal / consonante/ vocal / consonante) debería caer antes que “syjyc”. Además, no suele ser muy habitual que en base a palabras comunes se generen contraseñas de más de 7 o 8 caracteres, y ese es el principal inconveniente que yo le veo. En fin, imagino que al menos estamos de acuerdo en que las claves númericas son las más inseguras x’DDD

En cuanto a lo del backup en el public_html, que supongo que mencionarás por lo de la vulnerabilidad, es un fallo que incorpora el propio WordPress en algunas versiones. El usuario afectado sólo peca de no haber estado al tanto de esta peculiaridad potencialmente peligrosa.

Déjà vu 

Primero, solo uso dos claves, tremendamente sencillas, que además varias personas cercanas conocen. Y sin embargo nunca he tenido movidas por la seguridad. ¿Quien demonios se va a tomar las molestias?. Somos hijos de vecinos, no poseedores del secreto de la cocacola.

Igual por fuerza bruta, el ordenador no hace combinaciones letra-consonante-letra, sinó que empieza por la a y acaba por la z. (si hiciera las combinaciones iniciales perdería immensidad de posibilidades de acierto)

Para mas inri, existen los keyloggers, y contra ellos NADA SE PUEDE. (Si estás infectado por uno y no lo sabes).

Conclusión: Vivan los keyloggers y la ingeniería social. Y que se preocupen de la seguridad los paranoicos y los poseedores de patentes industriales.

NetDancer 

Madre mía, si llego a sospechar que íbamos a montar este debate en torno a la fuerza bruta (un tema aburridísimo, por otra parte), hubiera posteado sobre mi gata o colgado algún vídeo de YouTube ¡Quien me mandaría a mi meterme en semejantes berenjenales!

Dejando las bromas a un lado, creo que se hace necesario recordar que la humilde intención del post no era otra que la de generar claves relativamente complejas que pudieran ser recordadas. Ahora bien, tampoco quisiera aportar más conocimientos inexactos a Internet, y es por ello que no quiero pasar por el alto la discusión generada.

Déjà, a ver, realizar las combinaciones como antes he comentado no conlleva que algunas posibilidades queden excluídas. El método consonante-vocal-consonante es totalmente válido, uno más entre la multitud de métodos de combinación posibles; y aunque se hace difícil explicarlo por aquí, voy a intentarlo… Llegada la combinación “baa…”, el programa da prioridad a las vocales, que son sólo cinco, y las excluye de la posterior pasada con consonates. De este modo, al alcanzar “baz…”, en lugar de continuar con “bba…” pasa a “bea…”, luego a “beb…”, “bec…”, y así sucesivamente (al llegar a “bez…” pasa a “bia…”, y así hasta pasar “buz…”, que le haría volver al “modo clásico” con “bba…”). Para explicarlo de otro modo, es como si el diccionario estuviera configurado con las vocales primero, y después las consonantes. Como ves no es nada complejo, y en los casos de contraseñas basadas en palabras puede ahorrar tiempo.

En cuanto al tema de los keyloggers, ingeniería social, y todo eso… Pues sí, estoy de acuerdo, pero como dije antes, no iban por ahí los tiros del post… Hablando de tiros, y puestos a manejar posibilidades, si alguien nos pone una pistola en la nuca seguro que también revelaríamos hasta nuestra más preciada contraseña… (siempre y cuando los nervios lo permitan, claro) x’DDD