[opensuse-es] Seguridad de las contraseñas
OS 42.3 He activado en yast la seguridad de las contraseñas He puesto 8 de longitud y recordar las ultimas 4. El caso es que solo te avisa de que la contraseña no es correcta pero si que deja cambiarla por la que quieras. ¿Es correcto y funciona así o es un fallo? Por otro lado ¿alguno tiene alguna configuración en samba para comprobar las contraseñas?. Saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 18/04/18 a las 10:49, Francisco F. escribió:
Por otro lado ¿alguno tiene alguna configuración en samba para comprobar las contraseñas?.
Para esto encontré este correo de otra lista y funciona bien https://bugs.launchpad.net/ubuntu/+source/samba/+bug/886048
Saludos
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola El 18/04/18 a las 05:49, Francisco F. escribió:
OS 42.3 He activado en yast la seguridad de las contraseñas He puesto 8 de longitud y recordar las ultimas 4.
8 no es contraseña, de 10 caracteres en adelante hay que utilizar, 12 es una buena cantidad, 16 o más si se es algo extremadamente importante. Saludos, Alfredo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 18/04/18 a las 20:31, Alfredo Jesús Delaiti escribió:
Hola
El 18/04/18 a las 05:49, Francisco F. escribió:
OS 42.3 He activado en yast la seguridad de las contraseñas He puesto 8 de longitud y recordar las ultimas 4.
8 no es contraseña, de 10 caracteres en adelante hay que utilizar, 12 es una buena cantidad, 16 o más si se es algo extremadamente importante.
¿Que noooo??. En comparación con el 1234 que querrían tener todos es una maravilla. Ahora mismo ya ha salido el primero protestando porque la tiene que cambiar y no puede poner la misma. Y eso que solo es una vez al año. Es el mínimo que exige la LOPD, con la nueva no lo sé que no la he mirado. Saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2018-04-19 a las 08:29 +0200, Francisco F. escribió:
El 18/04/18 a las 20:31, Alfredo Jesús Delaiti escribió:
Hola
El 18/04/18 a las 05:49, Francisco F. escribió:
OS 42.3 He activado en yast la seguridad de las contraseñas He puesto 8 de longitud y recordar las ultimas 4.
8 no es contraseña, de 10 caracteres en adelante hay que utilizar, 12 es una buena cantidad, 16 o más si se es algo extremadamente importante.
¿Que noooo??. En comparación con el 1234 que querrían tener todos es una maravilla.
Hay bancos que exigen 4 y no se puede cambiar. Y es pin numerico. - -- Saludos Carlos E. R. (desde openSUSE 42.3 x86_64 "Malachite" en Telcontar) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iEYEARECAAYFAlr5YLMACgkQtTMYHG2NR9XjlgCePoRSb93kv0DGl0dpveiGPxM/ UVAAmwfk1NETU/fpbQuZeUORzWaslE22 =8z7+ -----END PGP SIGNATURE-----
He activado en yast la seguridad de las contraseñas He puesto 8 de longitud y recordar las ultimas 4.
8 no es contraseña, de 10 caracteres en adelante hay que utilizar, 12 es una buena cantidad, 16 o más si se es algo extremadamente importante.
¿Que noooo??. En comparación con el 1234 que querrían tener todos es una maravilla.
Hay una empresa de comercialización de electricidad en España (y de las grandes) que cuando te registras te imponen: - el usuario - basado en el nombre del titular - el PIN - cuatro cifras. Acabo de descubrir que se puede cambiar el PIN :-( Yo, después de eso, cualquier cosa sirve para decir que se ha securizado el acceso a algo... :-( -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. Steven Wright -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2018-05-14 12:54, miguel gmail wrote:
He activado en yast la seguridad de las contraseñas He puesto 8 de longitud y recordar las ultimas 4.
8 no es contraseña, de 10 caracteres en adelante hay que utilizar, 12 es una buena cantidad, 16 o más si se es algo extremadamente importante.
¿Que noooo??. En comparación con el 1234 que querrían tener todos es una maravilla.
Hay una empresa de comercialización de electricidad en España (y de las grandes) que cuando te registras te imponen: - el usuario - basado en el nombre del titular - el PIN - cuatro cifras.
La conozco.
Acabo de descubrir que se puede cambiar el PIN :-(
¿Que sí o que no? :-?
Yo, después de eso, cualquier cosa sirve para decir que se ha securizado el acceso a algo... :-(
Peor es en un banco. El login suele ser el DNI, y el pin de cuatro dígitos, a veces ocho. Ah, eso me recuerda lo de "correspondencia electrónica" de esos sitios: tienes que conectarte via web al sitio de ellos y bajártela. No son capaces de usar email cifrado y enviártela. -- Cheers / Saludos, Carlos E. R. (from 42.3 x86_64 "Malachite" at Telcontar)
La conozco.
Acabo de descubrir que se puede cambiar el PIN :-(
¿Que sí o que no? :-?
Que sí se puede cambiar, lo he visto esta mañana. Ahora me da cosica cambiarla... ya me acostumbré a ella :D
Yo, después de eso, cualquier cosa sirve para decir que se ha securizado el acceso a algo... :-(
Peor es en un banco. El login suele ser el DNI, y el pin de cuatro dígitos, a veces ocho.
Uhm... cierto. Bueno, con matices: en el mío, el primer login requiere DNI+FechaNac+Pin. El segundo y sucesivos solo DNI+Pin. Eso sí, este acceso solo da permisos de lectura. Para cualquier operación se requiere un método adicional: tarjeta de coordenadas, clave... Y en muchos casos, confirmación de un PIN enviado por SMS.
Ah, eso me recuerda lo de "correspondencia electrónica" de esos sitios: tienes que conectarte via web al sitio de ellos y bajártela. No son capaces de usar email cifrado y enviártela.
Je, es verdad. ... aunque, bueno, dado el tipo de correspondencia que envían por este medio, me parece menos preocupante. Creo. ... y es que estamos asumiendo que nos envíen por correo ordinario estado de cuenta, intereses, depósitos, etc. Y ése es un medio altamente hackeable! -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. Steven Wright -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2018-05-14 15:58, miguel gmail wrote:
La conozco.
Acabo de descubrir que se puede cambiar el PIN :-(
¿Que sí o que no? :-?
Que sí se puede cambiar, lo he visto esta mañana. Ahora me da cosica cambiarla... ya me acostumbré a ella :D
JUASS! X-)
Yo, después de eso, cualquier cosa sirve para decir que se ha securizado el acceso a algo... :-(
Peor es en un banco. El login suele ser el DNI, y el pin de cuatro dígitos, a veces ocho.
Uhm... cierto. Bueno, con matices: en el mío, el primer login requiere DNI+FechaNac+Pin. El segundo y sucesivos solo DNI+Pin.
Eso sí, este acceso solo da permisos de lectura. Para cualquier operación se requiere un método adicional: tarjeta de coordenadas, clave... Y en muchos casos, confirmación de un PIN enviado por SMS.
Si. O en vez de por SMS, a la app del android.
Ah, eso me recuerda lo de "correspondencia electrónica" de esos sitios: tienes que conectarte via web al sitio de ellos y bajártela. No son capaces de usar email cifrado y enviártela.
Je, es verdad.
... aunque, bueno, dado el tipo de correspondencia que envían por este medio, me parece menos preocupante. Creo. ... y es que estamos asumiendo que nos envíen por correo ordinario estado de cuenta, intereses, depósitos, etc. Y ése es un medio altamente hackeable!
Algún banco envia al menos parte de la correspondencia mediante PDF cifrado. Yo creo que es más seguro que en papel. La mayoría de empresas te hacen ir tú a recoger la correspondencia al sitio web, lo cual es una lata; y en algunos, si te la descargas los nombres son claves que no quedan ordenados en los directorios porque son aleatorios. Ni por fechas ni por conceptos. En un sitio se les estropeó la descarga, y decían que me lo mandaban por email si me corria prisa, pero sin cifrar. -- Cheers / Saludos, Carlos E. R. (from 42.3 x86_64 "Malachite" at Telcontar)
... aunque, bueno, dado el tipo de correspondencia que envían por este medio, me parece menos preocupante. Creo. ... y es que estamos asumiendo que nos envíen por correo ordinario estado de cuenta, intereses, depósitos, etc. Y ése es un medio altamente hackeable!
Algún banco envia al menos parte de la correspondencia mediante PDF cifrado. Yo creo que es más seguro que en papel.
Ni en broma. True story: Hace muchos años llegó a mi cuenta un recibo de 25mil pesetas (150 € de los de ahora). Era mi primer trabajo, así que tenía clarísimo cuánto dinero tenía que haber. Llame a CajaMadrid y me dijeron que era un recibo de Barclays. Lo rechacé, pensando que era un error de alguien y me olvidé del tema. Al mes siguiente llegó otro recibo de 30mil, 180€. Volví a llamar, otro recibo de Barclays y ahí ya pensé que no era un error sino algo intencional. Llamé a Barclays Banks y - he de decirlo - me atendieron francamente bien. Recogieron mis datos y me devolvieron la llamada a las tres horas con la historia. Al parecer alguien se había sacado una tarjeta de crédito de Barclays Card (entidad distinta de Barclays Bank) contra mi cuenta de CajaMadrid con **todos** mis datos con el único cambio de la dirección física. Mi interpretación es que esta dirección la cambiaron para recoger, cómodamente y sin reventar un buzón, la tarjeta. Se habían gastado ya unos 3000 € que iba pagando yo en 'cómodas cuotas'. BCard me pidió datos correctos, etc. etc. Pero les dije que había cancelado todos los pagos y bloqueado futuros pagos. Presenté denuncia contra los HdlP que se sacaron la tarjeta **y** contra el banco porque 'ya sea por acción, omisión o negligencia, han permitido o favorecido el uso fraudulento de una tarjeta' (abogado mediante, claro :-) ). La verdad, no esperaba nada de la denuncia a los ladrones, pero sí esperaba algo contra el banco... y tampoco. Un banco no puede emitir una tarjeta sin comprobación fehaciente de identidad y ellos regalaban las tarjetas al tuntún. Por cierto... me olvidé del tema, y años más tarde volvió a la carga un bufete de abogados solicitando los 3000 más intereses... la cosa ya iba por 6000€. Envié una copia de la denuncia y hasta ahí llegó el tema. La verdad, no confío lo más mínimo en la comunicación escrita.
La mayoría de empresas te hacen ir tú a recoger la correspondencia al sitio web, lo cual es una lata; y en algunos, si te la descargas los nombres son claves que no quedan ordenados en los directorios porque son aleatorios. Ni por fechas ni por conceptos.
Es verdad, pero eso son pequeñas mejoras puntuales, nada más. En nada afectan a la seguridad.
En un sitio se les estropeó la descarga, y decían que me lo mandaban por email si me corria prisa, pero sin cifrar.
Auch. Estaría bien revisar qué dice la GDPR sobre esto... uhm... -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. Steven Wright -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2018-05-15 09:58, miguel gmail wrote:
... aunque, bueno, dado el tipo de correspondencia que envían por este medio, me parece menos preocupante. Creo. ... y es que estamos asumiendo que nos envíen por correo ordinario estado de cuenta, intereses, depósitos, etc. Y ése es un medio altamente hackeable!
Algún banco envia al menos parte de la correspondencia mediante PDF cifrado. Yo creo que es más seguro que en papel.
Ni en broma.
True story:
Hace muchos años llegó a mi cuenta un recibo de 25mil pesetas (150 € de los de ahora). Era mi primer trabajo, así que tenía clarísimo cuánto dinero tenía que haber. Llame a CajaMadrid y me dijeron que era un recibo de Barclays. Lo rechacé, pensando que era un error de alguien y me olvidé del tema.
Al mes siguiente llegó otro recibo de 30mil, 180€. Volví a llamar, otro recibo de Barclays y ahí ya pensé que no era un error sino algo intencional.
Llamé a Barclays Banks y - he de decirlo - me atendieron francamente bien. Recogieron mis datos y me devolvieron la llamada a las tres horas con la historia. Al parecer alguien se había sacado una tarjeta de crédito de Barclays Card (entidad distinta de Barclays Bank) contra mi cuenta de CajaMadrid con **todos** mis datos con el único cambio de la dirección física. Mi interpretación es que esta dirección la cambiaron para recoger, cómodamente y sin reventar un buzón, la tarjeta. Se habían gastado ya unos 3000 € que iba pagando yo en 'cómodas cuotas'. BCard me pidió datos correctos, etc. etc. Pero les dije que había cancelado todos los pagos y bloqueado futuros pagos.
Presenté denuncia contra los HdlP que se sacaron la tarjeta **y** contra el banco porque 'ya sea por acción, omisión o negligencia, han permitido o favorecido el uso fraudulento de una tarjeta' (abogado mediante, claro :-) ). La verdad, no esperaba nada de la denuncia a los ladrones, pero sí esperaba algo contra el banco... y tampoco. Un banco no puede emitir una tarjeta sin comprobación fehaciente de identidad y ellos regalaban las tarjetas al tuntún.
Por cierto... me olvidé del tema, y años más tarde volvió a la carga un bufete de abogados solicitando los 3000 más intereses... la cosa ya iba por 6000€. Envié una copia de la denuncia y hasta ahí llegó el tema.
La verdad, no confío lo más mínimo en la comunicación escrita.
Vale, eso es un fraude por usurpación de identidad. No sabía que en España hubiera casos tan sencillos de hacer como ese. Pero no veo en qué afecta eso al envío de correspondencia por un sistema u otro.
La mayoría de empresas te hacen ir tú a recoger la correspondencia al sitio web, lo cual es una lata; y en algunos, si te la descargas los nombres son claves que no quedan ordenados en los directorios porque son aleatorios. Ni por fechas ni por conceptos.
Es verdad, pero eso son pequeñas mejoras puntuales, nada más. En nada afectan a la seguridad.
Bueno, afectan a que no recojo la correspondencia más de una vez al mes, o dos meses.
En un sitio se les estropeó la descarga, y decían que me lo mandaban por email si me corria prisa, pero sin cifrar.
Auch.
Estaría bien revisar qué dice la GDPR sobre esto... uhm...
Pues no se. -- Cheers / Saludos, Carlos E. R. (from 42.3 x86_64 "Malachite" at Telcontar)
La verdad, no confío lo más mínimo en la comunicación escrita.
Vale, eso es un fraude por usurpación de identidad. No sabía que en España hubiera casos tan sencillos de hacer como ese.
Pero no veo en qué afecta eso al envío de correspondencia por un sistema u otro.
Vale, otra true story: Envié un modem 3G hace unos añitos de Madrid a Barcelona. El cartero llegó a llamar por telefonillo antes de subir a entregar el paquete. La persona a la que se lo envié habló con el cartero a través del telefonillo y abrió en remoto la puerta del portal. Sorpréndete: el cartero no llegó a entregar el paquete jamás. Denuncié y me devolvieron algo... pero ni cubría el importe del módem. Lo más importante de esta entrega es que era urgente, no el valor económico del paquete. Eso no se pudo solucionar. Al parecer, el cartero se cruzó con alguien en el portal y, no me explico cómo, se convenció ahí mismo de que le podía entregar el paquete a esa persona. Por supuesto, la persona no tenía ninguna relación conmigo ni con el destinatario, ni se identificó. Imagino que le caería alguna sanción... por ingenuo, descuidado... y quizás por terminar pronto el reparto. El asunto es que el sistema de envío físico me parece terriblemente inseguro. Una carta o paquete físico pasa por innumerables manos hasta tu buzón, y hasta los buzones tienen evidentes problemas de seguridad (no parecen tener las mejores cerraduras). Prefiero, con mucho, la comunicación electrónica cifrada... si no puede ser por email que sea por https en la página web del banco o entidad de turno. Después de mi experiencia con la tarjeta de crédito me he vuelto un obseso la seguridad: si alquilo coche y pago en la oficina y tengo dudas al día siguiente cancelo la tarjeta y solicito otra; si pago un peaje y quien gestiona la tarjeta es una persona física, al día siguiente cancelo la tarjeta y pido otra... El hecho de que envíen tarjeta y código de activación en días distintos solo relaja algo mi sensación de inseguridad con este sistema.
La mayoría de empresas te hacen ir tú a recoger la correspondencia al sitio web, lo cual es una lata; y en algunos, si te la descargas los nombres son claves que no quedan ordenados en los directorios porque son aleatorios. Ni por fechas ni por conceptos.
Es verdad, pero eso son pequeñas mejoras puntuales, nada más. En nada afectan a la seguridad.
Bueno, afectan a que no recojo la correspondencia más de una vez al mes, o dos meses.
En mi caso no es relevante, tengo poca comunicación de este tipo. -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. Steven Wright -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2018-05-16 09:01, miguel gmail wrote:
La verdad, no confío lo más mínimo en la comunicación escrita.
Vale, eso es un fraude por usurpación de identidad. No sabía que en España hubiera casos tan sencillos de hacer como ese.
Pero no veo en qué afecta eso al envío de correspondencia por un sistema u otro.
Vale, otra true story:
Envié un modem 3G hace unos añitos de Madrid a Barcelona. El cartero llegó a llamar por telefonillo antes de subir a entregar el paquete. La persona a la que se lo envié habló con el cartero a través del telefonillo y abrió en remoto la puerta del portal. Sorpréndete: el cartero no llegó a entregar el paquete jamás.
Denuncié y me devolvieron algo... pero ni cubría el importe del módem. Lo más importante de esta entrega es que era urgente, no el valor económico del paquete. Eso no se pudo solucionar.
Al parecer, el cartero se cruzó con alguien en el portal y, no me explico cómo, se convenció ahí mismo de que le podía entregar el paquete a esa persona. Por supuesto, la persona no tenía ninguna relación conmigo ni con el destinatario, ni se identificó. Imagino que le caería alguna sanción... por ingenuo, descuidado... y quizás por terminar pronto el reparto.
El asunto es que el sistema de envío físico me parece terriblemente inseguro. Una carta o paquete físico pasa por innumerables manos hasta tu buzón, y hasta los buzones tienen evidentes problemas de seguridad (no parecen tener las mejores cerraduras). Prefiero, con mucho, la comunicación electrónica cifrada... si no puede ser por email que sea por https en la página web del banco o entidad de turno.
Vale, pues entonces coincides conmigo en preferir la comunicación electrónica a la física :-) La variación es que yo prefiero el PDF cifrado enviado por email, en vez de tener que entrar al sitio web y bajarme yo la correspondencia, que puede ser fácilmente una docena de sitios. Yo creo que un PDF cifrado por email es más seguro que un correo en papel. El que un PDF cifrado por email sea más seguro que un PDF sin cifrar descargado directamente desde el sitio web puede ser discutible. Pero es más conveniente.
Después de mi experiencia con la tarjeta de crédito me he vuelto un obseso la seguridad: si alquilo coche y pago en la oficina y tengo dudas al día siguiente cancelo la tarjeta y solicito otra; si pago un peaje y quien gestiona la tarjeta es una persona física, al día siguiente cancelo la tarjeta y pido otra... El hecho de que envíen tarjeta y código de activación en días distintos solo relaja algo mi sensación de inseguridad con este sistema.
Yo a eso no llego. Me basta con leer el extracto periódicamente. Sólo tuvimos un fraude en la familia: a mi padre le clonaron la tarjeta de crédito y le sacaron 600€ dos veces. Recuperé la mitad después de mucho discutir.
La mayoría de empresas te hacen ir tú a recoger la correspondencia al sitio web, lo cual es una lata; y en algunos, si te la descargas los nombres son claves que no quedan ordenados en los directorios porque son aleatorios. Ni por fechas ni por conceptos.
Es verdad, pero eso son pequeñas mejoras puntuales, nada más. En nada afectan a la seguridad.
Bueno, afectan a que no recojo la correspondencia más de una vez al mes, o dos meses.
En mi caso no es relevante, tengo poca comunicación de este tipo.
Bancos, recibos agua, luz, gas, telefono... -- Cheers / Saludos, Carlos E. R. (from 42.3 x86_64 "Malachite" at Telcontar)
participants (4)
-
Alfredo Jesús Delaiti
-
Carlos E. R.
-
Francisco F.
-
miguel gmail