viernes, 19 de diciembre de 2008

La picaresca informática

Resulta que en mi trabajo se obliga a todos los usuarios a cambiar su contraseña de inicio de sesión en el ordenador cada 6 meses. Por motivos de seguridad la contraseña debe tener una longitud mínima de 8 caracteres y debe contener mayúsculas, minúsculas y números. Asimismo no pueden contener ni el nombre ni apellidos del usuario, ni pueden repetir ninguna de las últimas 14 contraseñas que hayan tenido anteriormente.

Hasta aquí todo muy bonito y ¡oh qué despliegue de seguridad, madre mía!. Total, para que luego la acaben pegando en un post-it en el monitor o se la digan al compañero de turno. En fin.

Pero a lo que iba con este post es a un caso que tuvimos no hace mucho. A un usuario le llegó el aviso de que ya le tocaba cambiar de contraseña. Bien, ¿y qué hizo para "jugárnosla" y conservar la que ya tenía? Algo bastante sorprendente. Cambió su contraseña 14 veces seguidas en ese mismo instante para así poder volver a escoger la que tenía en ese momento. ¡Toma ya! ¿Y si al departamento de Sistemas le da por obligar a que no se pueda coger ninguna de las 1000 últimas también habría hecho lo mismo? Jejeje.

¿Y vosotros? ¿Habéis tenido algún tipo de usuario avispado como este? ¡Viva la picaresca!

14 comentarios:

  1. Lo que demuestra que es más importante educar a los usuarios que poner condiciones draconianas. Daría lo mismo tener "patata" de contraseña, o directamente no tener ninguna, si se va a tener en un post it y se le va a decir al primero que la pregunte.

    ResponderEliminar
  2. En una de las empresas en las que trabaje no se podía cambiar la contraseña si no habían pasado 24h desde el último cambio.
    De esta manera se desactiva esta picaresca.

    ResponderEliminar
  3. oye, pues hay que reconocerle que al menos se lo curró, la verdad es que no entiendo la obsesión de tener que cambiar claves tan amenudo, al final el 90% guarda la contraseña escrita para no columpiarse...

    ResponderEliminar
  4. Y digo yo... ¿No sería más fácil darles una tarjeta inteligente y un PIN de 4 dígitos?
    Porque yo tengo la misma memoria que el agua ("hagamos una raya en el agua para que no se borre") y tener que cambiar de contraseña y buscar una diferente cada 6 meses, aunque parezca una tontería, es un infierno.

    ResponderEliminar
  5. En mi empresa es igual, por eso cambian la contraseña cambiando un numero del final. Y se lo van diciendo a todo el mundo para que haga lo mismo.

    ResponderEliminar
  6. Pero como queréis que alguien recuerde una contraseña si cada dos por tres tiene que cambiarla y ademas tiene que ser larga y "segura". Ya se que lo del post-it no tiene escusa pero lo entiendo aunque he de reconocer que lo de tu pícaro usuario roza el absurdo y la buena memoria, ¿se sabe sus últimas 14 contraseñas?¿Seguro que las tiene en un post-it en algún sitio?

    ResponderEliminar
  7. Afortunadamente los lusers no están carentes de habilidades tales como la lógica deductiva...

    ResponderEliminar
  8. Lo más normal es que se ponga alguna del tipo Diciembre08 o similares...

    ResponderEliminar
  9. En mi curro la contraseña inicial que te dan, es una muy pero que muy estúpida, fácil de adivinar, y todo aquello que hace a una contraseña totalmente inútil.

    Pues en eso que me dispongo a cambiarla y me pide unos requisitos para validarla que ni en la NASA. Total que paso del marrón y me quedo con la "empleado18" xD Ya se lo harán.

    En cuanto a la picaresca de usuario... pues alguna intranet que la validación la hace por javascript.

    javascript:document.forms[0].submit();

    ResponderEliminar
  10. mientras mas trabas se pongan a los usuarios para poner la contraseña que siempre usa y que tenga que poner contraseñas dificiles de recordar... mas necesidad de apiuntarsela en un papel y pegarla en el monitor va a tener.

    de todas formas no es mas facil...
    Abc00001
    Abc00002
    Abc00003
    ...
    Abc00014??

    Tienes contraseñas para 7 años XD y luego puedes volver a empezar.

    ResponderEliminar
  11. Ya sabes lo que dicen, que el hambre agudiza el ingenio. Pues eso, en tiempos de guerra habría cambiado la contraseña 1000 veces si hubiese sido necesario.
    Seguro.

    ResponderEliminar
  12. Me parece el ejemplo perfecto de un sistema de seguridad inútil. Poner ese tipo de trabas sólo sirve para que el usuario, como ya han comentado, se la tenga que apuntar o decírsela a alguien o... o sea, que se vuelve a quebrar el sistema por el lado más débil, con el añadido de que es el propio sistema el que fomenta que el usuario sea el que lo rompa.

    Si se necesita tanta seguridad (que lo dudo) el método de la tarjeta inteligente me parece mucho mejor que el cambio de contraseña cada 6 meses (no sé muy bien para qué).

    Por otra parte si la contraseña utilizada es segura -digamos 10 caracteres alfanuméricos sin nombres y apellidos ni fecha de nacimiento, etc. - no sé qué sentido tiene que se obligue a cambiarla a los 6 meses propiciando un fallo de seguridad o un aumento de las incidencias.

    ResponderEliminar
  13. Pufff voy a intentar contestaros a todos los que creo que debería:

    REHTSE: Cambiar las claves a menudo es algo que todos deberíamos hacer. Si caen en manos malvadas... por eso es mejor ir renovándolas, para que no te sigan la pista.

    Peká: Darles una tarjeta inteligente?? Y a los 2 días la han perdido. Se puede poner una contraseña nueva tan solo variando un caracter de la actual como bien ha apuntado alguno. Tampoco hay que volverse loco.

    Beatriz: Como bien ha dicho otra persona "Diciembre08" es una contraseña válida y sencilla de recordar. Por otra parte el usuario no necesitaba recordar sus últimas 14 contraseñas. Simplemente cambiándola 14 veces ya puede volver a elegir la que tenía en ese momento.

    draconte: Como ya he dicho yo y alguno otro aunque los requisitos de seguridad parezcan tan fatales escoger una contraseña fácil de recordar para el usuario es supersencillo. Pero ya sabes que los hay muy "lusers".

    chamaruco: Lo que acabo de escribir para draconte y para alguno más te lo digo a ti también. Y si se necesita tanta seguridad es porque estamos hablando de un organismo público, en este caso. El día que tengas una auditoría de seguridad en tu empresa lo entenderás. ¿Qué podrían hacerse muchas cosas de un modo mejor? De acuerdo, pero no lo decidimos nosotros por desgracia.

    ResponderEliminar
  14. Al que se le ocurrió que las contraseñas caducasen no trabajaba en un CAU porque usuarios que olvidan su pass por culpa de esa chorradas hay a miles

    ResponderEliminar