Dejando las bromas a un lado, creo que se hace necesario recordar que la humilde intención del post no era otra que la de generar claves relativamente complejas que pudieran ser recordadas. Ahora bien, tampoco quisiera aportar más conocimientos inexactos a Internet, y es por ello que no quiero pasar por el alto la discusión generada.

Déjà, a ver, realizar las combinaciones como antes he comentado no conlleva que algunas posibilidades queden excluídas. El método consonante-vocal-consonante es totalmente válido, uno más entre la multitud de métodos de combinación posibles; y aunque se hace difícil explicarlo por aquí, voy a intentarlo… Llegada la combinación “baa…”, el programa da prioridad a las vocales, que son sólo cinco, y las excluye de la posterior pasada con consonates. De este modo, al alcanzar “baz…”, en lugar de continuar con “bba…” pasa a “bea…”, luego a “beb…”, “bec…”, y así sucesivamente (al llegar a “bez…” pasa a “bia…”, y así hasta pasar “buz…”, que le haría volver al “modo clásico” con “bba…”). Para explicarlo de otro modo, es como si el diccionario estuviera configurado con las vocales primero, y después las consonantes. Como ves no es nada complejo, y en los casos de contraseñas basadas en palabras puede ahorrar tiempo.

En cuanto al tema de los keyloggers, ingeniería social, y todo eso… Pues sí, estoy de acuerdo, pero como dije antes, no iban por ahí los tiros del post… Hablando de tiros, y puestos a manejar posibilidades, si alguien nos pone una pistola en la nuca seguro que también revelaríamos hasta nuestra más preciada contraseña… (siempre y cuando los nervios lo permitan, claro) x’DDD

Igual por fuerza bruta, el ordenador no hace combinaciones letra-consonante-letra, sinó que empieza por la a y acaba por la z. (si hiciera las combinaciones iniciales perdería immensidad de posibilidades de acierto)

Para mas inri, existen los keyloggers, y contra ellos NADA SE PUEDE. (Si estás infectado por uno y no lo sabes).

Conclusión: Vivan los keyloggers y la ingeniería social. Y que se preocupen de la seguridad los paranoicos y los poseedores de patentes industriales.

Por un lado, me referería a que es mucho más sencillo copiar al vuelo “dabid33″ (aunque sea con b) que, por ejemplo, “3syjyc7″. No importa cómo movamos los dedos, sencillamente resulta más complicado captar una sucesión de caracteres sin sentido que una palabra común, esté o no mal escrita. Por otro lado, es habitual que por fuerza bruta se prueben antes ciertas combinaciones más “lógicas” que las meramente basadas en el azar (o al menos debería hacerse así), y por tanto “dabid” (consonante / vocal / consonante/ vocal / consonante) debería caer antes que “syjyc”. Además, no suele ser muy habitual que en base a palabras comunes se generen contraseñas de más de 7 o 8 caracteres, y ese es el principal inconveniente que yo le veo. En fin, imagino que al menos estamos de acuerdo en que las claves númericas son las más inseguras x’DDD

En cuanto a lo del backup en el public_html, que supongo que mencionarás por lo de la vulnerabilidad, es un fallo que incorpora el propio WordPress en algunas versiones. El usuario afectado sólo peca de no haber estado al tanto de esta peculiaridad potencialmente peligrosa.

Usando la auténtica fuerza bruta (empezando por a,b,c,d… aa,ab,ac…aba,abb,abc,…) Tardarías infinitamente más, pero así te aseguras que obtendrás la contraseña. En este caso, usar o no palabras reales o un conjunto aleatorio es indiferente, pues el ordenador no va a entender ninguna de las dos. Podrías pensar que empezar el chequeo por la “a” es lo mas comun, así que empezarías tu contrraseña con “z” que quizas sea la ultima letra en llegar.

Por otra parte introducir numero y caracteres extraños en contraseñas en lugares privados ES precisamente lo que te delata. Hagan la prueba, pongan sus manos en el teclado, y vean que para introducir numeros deben de mover las muñecas hacia delante, y para meter caracteres deben de usar ambas manos en la mayoria de los casos, o al menos mirar el teclado. (al menos en el portatil)

De todas formas, no se a quien se le ocurre poner el backup en el public_html U.U’
(y por cierto MD5 no es 100% seguro, se puede forzar para que dé el resultado buscado -no debe de ser facil, pero es posible)

theNinjaBunny > No estoy del todo de acuerdo. Una clave basada en un conjunto de letras y números (y además con alternancias) debe ser, a priori, bastante más segura que una basada en palabras comunes. Para empezar requiere más tiempo para ser extraída, y a la hora de introducirla en un lugar público (ciber, universidad, etc…) resulta mucho menos susceptible de ser copiada “a simple vista”. Por otra parte, poder introducir símbolos en la contraseña no suele ser muy habitual. En cualquier caso coincido en que la ingeniería social se carga cualquier tipo de clave segura…

Tronfi > Muchas gracias, espero que no encuentres demasiadas “vulnerabilidades” en mi post… ;-)

Un saludo!

Incluso ahora, que no me voy a parar en comprobar si soy vulnerable (aunque creo que no). Doy de plazo hasta esta noche que saque un rato para verlo con calma :P