1) Sabes qué es mejor que 123456: 654321.
Es trivial.
2) No se puede evitar que la gente sea retrasada. Eso está en la naturaleza de algunas personas.
Creo que es el caso de la inmensa masa que apenas sabe lo justo de informática, usa los recursos de la red, pero no sabe nada subyacente sobre la tecnología, son puramente consumidores... En realidad no es culpa de ellos, a menudo en ejemplos de manuales aparecen contraseñas como 'admin', '1234' (parta ejemplo tenemos los fabricantes de router, que las suelen usar por defecto), luego ellos acaban por considerar que 'si lo usan los fabricantes, será que eso es seguro, entonces ''pluto1234'' tiene que serlo mucho más'.
Sin ir más lejos, cuando lees manuales de programación ves cosas igualmente ridículas como: 'Ahora vas a crear tu primer programa en el lenguaje 'x'... escribe:
print "Hola mundo"
y se quedan tan panchos... Al igual que los lenguajes de 'Hola mundo' crean programadores mediocres, los manuales de programas que señalan 'crea tu contraseña' y exponen como ejemplo una casilla de texto con '1234' han acabado creando usuarios confiados (no retrasados, retrasado lo sería si después de birlarle una cuenta, siguiera usando esas contraseñas). Para ellos es muy fácil pensar en algo como: 'con toda la gente que hay en el mundo, con dinero y otras coas de valor, para qué me van a atacar a mi con mi modesta contraseña???'...
3) La mayoría de los lugares ya ni siquiera permiten que la gente cree contraseñas como esa. La mayoría de los lugares a los que me registro en estos días requieren letras, números y, por lo general, símbolos.
Las tarjetas de crédito sin ir más lejos se han manejado con 4 digítos... claro que al tercer intento fallido la tarjeta quedaba bloqueada en el cajero.
4) Nunca podremos cambiar el deseo de los seres humanos de hacer las cosas lo más simples y rápidas posible. Supongo que eso significa algo para nosotros; más cuentas crackeadas para usar/vender lol.
Tampoco podremos cambiar la creencia de los fabricantes de imaginar que los sitemas biométricos son infalibles, no solo antes el robo si no ya incluso para uno mismo.
Yo mismo si uso mi huella dactilar para el tf. móvil, solo me vale para el propio día, al día siguiente ya no me la reconoce... las yemas de mis dedos no mantienen largo tiempo su aspecto, las líneas no cambian básicamente en la vida, pero sí se pueden deformar fácilmente por la erosión. Si eres dado a las manualidades, te podrá suceder a menudo.
5) Incluso si las personas no fueran lo suficientemente estúpidas como para usar cosas simples como 12345, esa vieja fuga de rockyou db con las contraseñas y los correos electrónicos y todo por sí solo ha llevado a que se violen opciones más seguras. Sus contraseñas no están seguras en sus mentes, o por parte de la tecnología, finalmente.
Es que ahí es donde tenemos cierto deber nosotros. Si cada uno enseñamos a nuestos amigos y conocidos a usar contraseñas fuertes y muy fáciles de recordar, no tendrían problema en mantener contraseñas seguras... y con el tiempo, cada uno de ellos, se lo enseñaría a otros...
A menudo cuando descubro esas contraseñas ridículas en mis amistades, les pregunto: "tienes en tu cabeza alguna estrofa de una canción o una frase, que sabes que jamás se te olvidará?. La respuesta siempre es sí.. les pido que la reciten y les muestro como usar (por ejemplo, en el modo más sencillo), la primera letra de cada palabra... así si la estrofa tiene 20 palabras es de 20 caracteres de largo, guau, escrito no la podrías recordar, pero resulta que la frase YA ESTÁ memorizada en tu cerebro... luego les digo, bueno no lo dejes tan simple, después de todo hay letras que son las más comunes para empezar palabras, podrías por ejemplo descartar palabras de menos de 3-5 letras, o usa la letra inicial, luego la segunda en la siguiente palabra, luego la primera, etc... alternas una mayúscula otra minúscula, si son dos o más vocales seguidas omite excepto la primera o la última. etc... usa tu imaginación, y mete en algún punto algún número aunque no tenga número, por ejemplo cuenta las letras de una o dos palabras y ahí en medio de ellas lo pones, etc... después de una breve charla con diversos ejemplo escritos, captan la idea y con el tiempo notan la diferencia.
6) Por otra parte, odio cuando me prohíben usar símbolos y luego nunca puedo recordarlos.
7) A estas alturas, cualquier sitio web que solo permita la autenticación con contraseña tiene una seguridad inadecuada. elhacker.net permite la autenticación solo con contraseña, pero recomiendo encarecidamente a todos los administradores, y en especial al dueño, que habiliten 2FA, que creo que es una compensación práctica para garantizar que las personas puedan registrarse con la suficiente facilidad. 2FA basado en apps o 2FA de token de hardware debería ser lo mínimo en estos días. Incluso sería mejor si los datos de comportamiento también se vieran como datos de localización, direcciones IP/información de ISP, huellas digitales del navegador, etc. como un tercer factor para generar un puntaje de confianza. Por supuesto, todos los datos de comportamiento se pueden aprender y falsificar, por lo que no es aceptable para la autenticación per se, pero aumenta la dificultad del secuestro de cuentas.
Yo que lo más odio, es que el usuario que aparece en un sitio, sea justamente la mitad de tu login en ese sitio...
Si aquí tu alias es 'TickTack', cualquiera tiene ya la mitad de tu login, solo precisa encontrar la contraseña... Además si algien quiere entrar en tu cuenta ya sabe que tiene que usar 'TickTack'... si consigo dar con la contraseña tengo acceso a tu cuenta, que es la que uno en un momento dado quería atacar...
Yo prefiriría que el login exigiera un alias que para nada sea el alias usado en el foro, supongamos que en tu login usaras 'perico1234' (ahí que no te gusta eso del 1234
), solo con ver tu alias de 'TickTack', yo no podría decir... "voy a ver si consigo entrar en tu cuenta..." porque no sé cual sería tu alias de login, un login cualquiera usado podría corresponder a cualquier usuario desconocido, luego no podría siquiera 'fijar un objetivo concreto'...
...pero 'Donald Trump' sabemos que es la cuenta de 'Donald Trump', pero si Donald Trump, hiciera su login con "Pato Donald", la gente tendría que adivinar no solo una contraseña facilona (que seguro que la tiene facilona), si no además el alias... las combinaciones se elevan al cuadrado.