Me encanta este foro. Yo estoy aprendiendo cosas de redes que no sabía, pero tengo dos dudas sobre el foro:
La primera ¿Por que no se puede poner una contraseña mas compleja? Solo te deja 10 caracteres.
Y las segunda ¿dónde esta la opcion si quieres cerrar la cuenta?
Yo diría que 10 caracteres (letras mayúsculas, minúsculas y números a mezclar) son suficientes para un foro sin datos sensibles del usuario.
A mi me molesta más lo contrario; foros de chuminadas con contraseñas de mínimo 16 caracteres con letras mayúsculas y minúsculas, números y símbolos obligatorios más doble factor de autenticación. Y hay muchos foros así.
Y luego los guardan en un CSV en un server accesible desde internet.
Y lo de no dejar repetir contraseñas… hasta cierto punto.
En eso tienes razon la unica informacion que tienes mas asi es el correo que si lo tienes asociado a todo es un problema por si se llega a filtrar
¿Es suficiente o no 10 caracteres? Pues depende de algunos factores. Por ejemplo, depende de la robusted de la función de derivación de clave para almacenar las contraseñas. No es lo mismo utilizar MD5, que utilizar bcrypt con sal. Porque si hay una filtración de la base de datos, con una tarjeta gráfica RTX 4090 se puede sacar una contraseña de 10 letras minúsculas, cifrada con MD5, en un tiempo máximo de 14 minutos (o 7 minutos de media).
¿Importa mucho que la contraseña que utilicemos en bandaancha se llegase a filtrar en Internet? Pues depende. Por ejemplo, si es una contraseña única y aleatoria, que utilizamos sólo en bandaancha y la tenemos guardada en un gestor de contraseñas, lo más grave que puede pasar es que alguien nos robe la cuenta para trolear. Pero si es una contraseña que reutilizamos para otros sitios web, puede utilizar esa filtración para hackearnos otras cuentas a las que les podamos dar más valor.
En mi caso utilizo Bitwarden, y generalmente utilizo contraseñas aleatorias, complejas (números, minusculas, mayúsculas, caracteres especiales) y de más de 20 caracteres. Bandaancha es de las pocas excepciones que tengo una contraseña tan corta como 10 caracteres. Y si excluyo las que son realmente un PIN (que no almacena en ningún sitio web), pues yo diría que es casi la única. Ya ni hablemos de los sitios donde tengo doble autenticación, o con passkey (FIDO2 WebAuthn) como la cuenta de Google o de Amazon.
Por cierto, el NIST ( Instituto Nacional de Estándares y Tecnología de EE.UU.) en su publicación 800-63B recomienda lo siguiente "Users should be encouraged to make their passwords as lengthy as they want, within reason. Since the size of a hashed password is independent of its length, there is no reason not to permit the use of lengthy passwords (or pass phrases) if the user wishes.". Se debe alentar a los usuarios a que establezcan sus contraseñas tan largas como quieran, dentro de lo razonable. Dado que el tamaño de un hash es independiente de su longitud, no hay razón para no permitir el uso de contraseñas (o frases de contraseña) largas si el usuario lo desea.)
En todo caso de nada sirve una contraseña de 100 caracteres si el usuario la reutiliza en varios sitios que vete a saber cómo gestionan su seguridad cada uno de ellos. Es como lo que dicen de que el mejor antivirus es el sentido común.
En lo de los antivirus y el sentido comun no estoy nada de acuerdo el sentido comun es el menos comun de los sentidos y tu sentido comun deberia decirte que no sabes tanto asi que usa el antivirus que no es perfecto pero te quitara muchos dolores de cabeza
Partiendo de que las contraseñas se almacenen con una función hash o función de derivación de clave, el NIST indica que la longitud de la contraseña es un factor principal a la hora de determinar la seguridad de la contraseña. Las contraseñas demasiado cortas dan lugar a ataques de fuerza bruta, así como a ataques de diccionario que utilizan palabras y contraseñas comúnmente elegidas.
Dado que la longitud de la contraseña incrementa de forma exponencial, es mucho mejor tener una contraseña de 14 caracteres de letras minúsculas, a una contraseña de 8 caracteres con números, letras minúsculas, letras mayúsculas, y caracteres especiales. Aunque esto se puede ver gráficamente en la tabla que he puesto arriba, matemáticamente se expresaría así:
Contraseña "compleja" de longitud 8 = log2(94) x 8 = 52,43 bits de entropía
Contraseña "sencilla" de longitud 14 = log2(26) x 14 = 65,80 bits de entropía
65,80 - 52,43 ≈ 13,37 bits de diferencia.
Es decir, que la contraseña "sencilla" de 14 caracteres es 2^13,37 ≈ 10.586 veces más costosa de crackear que la contraseña "complicada" de 8 caracteres.
Yo soy partidario de una contraseña compleja y un 2 factor para todo y como gestor de contraseña los mejores son los que estan en local keepass por ejemplo ya que la nube todos sabemos (LASTPASS)
Mira que hay gestores de contraseña online, y has tenido que mencionar al peor.
Los gestores de contraseñas que se almacenan en local tienen inconvenientes, como que puedes perder TODO si ocurre una catástrofe (=pérdida de datos) donde tienes Keepass. ¿Y si hay un incendio en tu casa? Porque es muchísimo más probable que ocurra un incendio en nuestra casa, a que un hacker logre descrifrar un base de datos cifrada en AES-256, utilizando una función de derivación de clave Argon2id y una contraseña maestra con entropía superior a 100 bits. Si como muchos, guardas una copias del archivo cifrado en Google Drive, Dropbox, etc… en la práctica estás guardando tus contraseñas cifradas en la nube, por lo que puedes la ventaja que puede tener guardarlo en local.
No me quiero extender mucho, pero el problema principal de Lastpass no era que estuviera en la nube. Este experto en seguridad lo explica muy bien: infosec.exchange/@epixoip/109585049354200263 que por cierto, recomenda Bitwarden y 1password como gestores de contraseñas.
SI quieres cerrar la cuenta solo tienes que decirmelo y elimino los datos asociados a tu usuario.
Si te gusta el foro echa un vistazo a las normas para entender mejor cómo funciona esto: 📖 Normas de participación en BandaAncha.eu
Gracias ya mire las normas
Que se filtren las contraseñas de un foro es irrelevante siempre que cada usuario use contraseñas únicas y sobretodo no reutilice con mismo email la contraseña de un foro para servicios más trascendentales.
Pon una contraseña un poco decente en esos 10 caracteres y listo.
