Foro de elhacker.net

 Una sociedad permanentemente conectada a Internet como la nuestra se enfrenta, desde hace bastantes años, a los riesgos de la seguridad en la Red, cada vez más perfeccionados. Taher Elgamar, inventor de la firma digital y uno de los desarrolladores del protocolo SSL (http://es.wikipedia.org/wiki/Transport_Layer_Security) (Secure Socket Layer), cree que uno de los grandes problemas de la sociedad actual es que "no nos gusta pensar en los problemas de seguridad en Internet".

 Una de las mayores preocupaciones ante los crímenes cometidos en la Red se debe a lo que se piensa que es la profesionalización de los ciberdelincuentes. Sin embargo, Elgamar destaca que "no existen nuevos criminales: son los mismos que han encontrado Internet y lo utilizan para lograr sus fines". Es más, apunta que "si nos remontamos a hace quince años, había 'hackers', pero se lo pasaban bien, no querían robar dinero. Sólo querían probar a la gente que podían hacerlo". Además, añade, "cada vez que llega un medio nuevo, los criminales acaban encontrando la forma de hacer uso de él para cometer sus delitos".

 Eso sí, el experto admite que "Internet hace más fácil [la ciberdelincuencia] porque es rápido. [...]Ahora ya no es necesario que robe una gran fortuna; puedo robar un dólar a muchas personas y eso será mi fortuna. Pero nadie sabrá cómo he hecho mi millón de dólares".

 Para Elgamar, el gran error en la seguridad en Internet son las contraseñas. "Son una mala idea", asegura. Esto se debe a que, al utilizar "número limitado de contraseñas para un número mayor de sitios web", si un 'hacker' consigue una contraseña, probablemente le sirva para varios sitios. Y quizá no preocupa que conozcan la clave para entrar a eBay, pero sí "si es la misma que usa para entrar a la banca 'online'", explica el padre de la firma electrónica.

 Respecto a la privacidad de los datos personales 'colgados' en la Red, una de los grandes controversias tras la aparición de las redes sociales, Elgamar advierte de que "si alguien 'cuelga' sus datos en Internet, es responsable por ello". El problema llega cuando "en una cuenta de Facebook hay fotos de muchas personas, y no sólo del dueño del perfil, es información privada de más gente".

 A pesar de esta responsabilidad del usuario, los 'miedos' de muchos sobre los datos que están abiertos y disponibles para todo el mundo están fundamentados, asegura el egipcio, ya que "no hay ninguna forma de controlar que seas el único en utilizar esos datos". Con ello, Elgamar no quiere decir que la propia compañía Facebook haga un mal uso de éstos, cosa que no cree, sino que "¿cuántas veces se hace uso de todos los datos? ¿muchas, pocas?, ése es realmente el asunto del que preocuparse".

 Sin embargo, el criptógrafo cree que todos estos malos usos de los servicios de Internet "no se pueden prevenir, ya que es desconocido. Es después de que algo se vuelva útil cuando se encuentra la forma de usarlo perjudicialmente, y es cuando se intenta arreglar".

 La 'sobreprotección' de los nuevos medios es también un error para el criptógrafo egipcio, que visitó España para asistir al Día Internacional de la Seguridad de la Información: "Si tratas de sobreproteger algo, al final no será usado".

FUENTE :http://www.elmundo.es/elmundo/2010/12/03/navegante/1291372922.html

Y qué propone, no me parce lógico decir que es una mala idea cuando es la única que hay (no digo que lo sea), debería decir alguna solución si tan mala idea le parece...

Saludos...

Mmh, me parece que es "ElGamal" con "l", en cuanto a lo que dice, es muy cierto. Cuantas veces uno pudo crackear una contraseña, ya sea guardada en un hash o probando algunas al azar en un login porque era muy debil?
Cuántas veces uno ve contraseñas como "qwerty" "1234" "asdfgh"?

Sin embargo, las contraseñas presentan al usuario algo que las claves entrópicas no pueden, facilidad para memorizarlas. Nadie puede leer nuestra mente, por lo menos aún. Las contraseñas entrópicas se pueden memorizar claro, pero es mucho más dificil.

Como bien dice el artículo, la solución es un punto medio, entre las claves entrópicas y las contraseñas débiles. Las passphrases.
Para conseguir el mismo nivel de entropía en una clave de 8 bytes que utiliza todo el charset ascii, utilizando solo las 26 letras minúsculas del alfabeto estándar, esta tiene que ser de 78 bytes. Claro que si a esto, le agregamos las 26 letras mayúsculas, números, acentos, espacios la coma y el punto, el charset ya se amplía a 70 caracteres (26 + 26 + 10 + 5 + 3). Y la contraseña, debe ser de sólo 30 caracteres, lo cual se puede conseguir fácilmente con una frase.

Por ejemplo tener una contraseña que diga "Realmente, me parece que las contraseñas cortas son una falla de seguridad." es algo muy seguro en el día de hoy.

Claro que si esto se generaliza, entonces se crearán diccionarios que contengan frases comunes, dichos, partes de canciones y todo lo que uno se pueda poner en el nick del messenger. Y de ahí nacerán tablas precomputadas basadas en diccionarios, etc.
Sin embargo, con frases lo suficientemente originales, se podrían hacer contraseñas virtualmente incrackeables.

Un abrazo
APOKLIPTICO.

"EsT aEsU nA ConTRa sEñA SegURA @" (?

Claro que si, pero hay que ver si te la acordas, aparte, cuando la entrás, es bastante obvio que estás haciendo permutación de mayúsculas y minúsculas, y el último es claro una arroba.
Es vulnerable a shouldersurfing. jeje

Jaja lo mejor es formar un patrón facil pero variado en donde no se repitan letras.

mmmmm por lo de la noticia, refiriendome a: "no nos gusta pensar en los problemas de seguridad en Internet"
Por lo que yo pienso, ese pensamiento es bastante patetico, sin ofender a nadie, yo no soy el gran sabelo-todo de informatica, pero si se que si no t gusta pensar en los problemas, como vas a resolverlso? jeje :P

El problema en internet son los usuarios, da igual si están protegidos por lo que sea o quien sea.

Jdc tenes razon, aunque yo diria que es la mentalidad de los usuarios jaja :P

Es que a los usuarios les falta muchisima educación sobre seguridad, al 99.9% de las personas le decis "SSL" y te miran como si estuvieses hablando de física nuclear.

Que era SSL que no me acuerdo de verdad.

si yo no lo tengo mal entendido, y APOKLIPTICO se quiso referir a el protocolo SSL es un sistema diseñado y propuesto por Netscape Communications Corporation. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico.

Fuente: http://www.iec.csic.es/criptonomicon/ssl.html
PD: espero que te hayas querido referir a esto APOKLIPTICO , sino, explicate :P jaja

Y, a q otra cosa me voy a estar refiriendo? SSL: Secure sockets layer, ahora reemplazado por TLS (Transport layer security), el estándar internacional de seguridad a nivel tcp/ip utilizando un algoritmo híbrido asimétrico-simétrico con firmas digitales.

PD: Sorry si soné prepotente, no era la idea!! XDD.

Disculpe Señor APOKLIPTICO  por mi ignorancia :P ajjaa