¿Es tan malo tener un password anotado en un papelito?

Escrito el , visto 4064 veces Ver usuariopor



En mis inicios informáticos no existía el password, era algo reservado para grandes computadoras de empresas inaccesibles, mi vieja máquina de 8 bits no necesitaba de eso, hasta booteaba en un milisegundo, era tan poca la memoria que no existía el concepto. Ni aun en mi PC 286 hizo falta pero recién para cuando empecé a conocer sistemas multiusuario me di cuenta para qué servía y cuando accedí al primer módem era imprescindible.

Un mito que surgía en aquella época era la de memorizar las claves de usuario, pero no podían ser las mismas entre sitios y servicios, así que había que memorizar una gran variedad. Pero no sólo eso, aquél que anotaba en un papel un password era un blasfemo directamente, el anti informático.

Pasaron los años y nos volvimos locos inventando métodos para recordar nuestras claves, algunos terminaron usando la misma para todo, otros pasaron a sistemas de administración de contraseñas (yo digo que éstos son los peores porque no tienen control real de sus cuentas :D) y el papelito pasó al olvido.

Pero luego la nube nos dio la posibilidad de anotarnos todas las claves en un archivo y leerlas allí si las olvidábamos, hasta poder copypastear sin problemas ¿Es que acaso alguien tipea un password hoy en día? Si no lo guardó el browser lo copio y pego, ni siquiera podría escribir tanto! (vagos)

Pero he aquí que, entonces, el mayor riesgo ya no es que alguien pueda leer tu password en una agenda que tenías, ya nadie usa agendas, ya nadie las mira, ya nadie las entiende y de pedo saben escribir. El riesgo real es que encuentren la versión digital de tu clave de acceso, esa copia fiel de tus códigos de acceso a cualquier servicio que, para colmo, seguro es la misma en todos los servicios así que sólo basta con robarte una.

Al final del camino aquél postit con la clave no era tan malo, la agenda con teléfonos de la abuela sigue siendo el mejor escondite porque podemos "enterrar" el password de la forma que querramos y sabemos, tenemos la seguridad, que nadie, ningún hacker, tendrá acceso a la misma. ¿Dónde vieron un ladrón que se lleve un anotador de papel? Se podrán llevar la PC entera pero sin la clave de desencripción anotada en la pared en letras de 20 cm no la van a sacar :D

Así es, hasta podríamos tener las claves explícitas pegadas como empapelado que difícilmente alguien las vería, tan sólo sin decir qué es cualquier clave puede pasar desapercibida. El exceso de información y cadenas de texto es nuestro mejor escondite, un anotador con garabatos y listas de supermercado termina siendo el mejor escondite para tus passwords más reservados.

PS: tampoco digo que sea la mejor opción, sólo estaba divagando :D

PS2: creo que técnicamente, en mi vida, yo ya cometí todos los errores posibles con mis claves :P


Comentarios

  1. Mi técnica es la siguiente:

    Uso la misma contraseña para todo, pero uso diferentes para el trabajo y lo personal, ya son dos.

    Pero en realidad ninguna contraseña es igual, porque depende para que la uso la modifico, entonces, son todas diferentes, u que quilombo.

    Encima las tengo que cambiar regularmente, en el trabajo es cada 45 días, un despropósito. Así que en un papelito me anoto un nemotecnico, que es de donde se me inspiro la clave, pero después, traducir eso en "la clave" para cada cosa solo lo puede hacer alguien que sepa el método.

    Además para servicios muy inseguros, como yahoo, uso Keepass (https://keepass.info/), donde realmente dejo que sea KeePass que genere la clave y la guarde, no me interesa memorizarla, ni exponer mis verdaderas claves. Y si, el archivo comprimido con una clave de más de 20 caracteres lo pongo en la nube por comodidad.

    También uso Keepass para recordar los agregados a cada servicio, pero también como un nemotecnico. También necesitas el Papelito, y saber como usar las dos cosas.

    Y las claves tienen números, letras (Mayúsculas y Minúsculas) y símbolos.

    Ah!!, hola señores, ¿en que los puedo ayudar? ¿Por que me quieren poner esa camisa de mangas tan largas?

    Comentario editado el 27/02/2018 - 11:00:42

    Citar »
  2. otros pasaron a sistemas de administración de contraseñas (yo digo que éstos son los peores porque no tienen control real de sus cuentas :D)


    Por ahí en sistemas centralizados no, pero por ejemplo KeePass se maneja con un archivo, y es OSS.

    Citar »
  3. Me rendí hace rato. Tengo más o menos variantes de la misma contraseña para todo pero entre las que tengo que cambiar periodicamente (las del laburo y las de home banking) y las que uso poco (como la de la web de la obra social) ya estoy completamente perdido.
    Me memoricé las más importantes: la del mail principal, la del banco donde cobro el sueldo y la de acceso a la máquina de la oficina y el resto, si de casualidad acierto, bien, sino las voy recuperando a medida que las tengo que usar. Las de las redes sociales ya ni sé, cada vez que instalo las app en un celu nuevo o entro en una compu ajena prefiero que me manden un código de verificación por sms, total todas tienen mi número y no lo cambio hace 10 años.

    Citar »
  4. Claves numéricas de 16 dígitos con uno o dos símbolos al final, las genere aleatoriamente y me las aprendí. Con el pad numérico y la practica ni me caliento

    Citar »
  5. Tengo más de 10 passwords seguro, mails, páginas varias, home banking, etc, etc. Uso repetidas en varios lugares y las que tengo que cambiar con frecuencia varian muy poco.

    Tengo 2 o 3 anotadas pero por el solo hecho de que las invierto o mezclo cuando las cambio.

    Las escribo casi todas y en cada sitio que entro recuerdo cual corresponde, a veces falla a la primera pero siempre entro.
    Las que no escribo son las de las redes sociales.

    Citar »
  6. Para los mails principales tenía la misma clave por 20 años hasta que yahoo se puso en rompebolas y me lo hizo cambiar, cada vez que el browser explota tengo que pedir blanqueo porque jamas me acuerdo qué mierda puse.

    Para todo lo demás tengo dos o tres claves caballitos de batalla que voy probando cuando me olvido qué puse.

    Lo de los bancos y su supuesta seguridad es para tema aparte, ya a esta altura deberían usar claves de frases en lugar de obligarte a poner usuario, clave y no se qué zarlanga que es un bodrio.

    Lo del papelito o la agenda no es tan descabellado, si llegaron a sentarse en tu escritorio se merecen la oportunidad de entrar a tu Windows.

    Citar »
  7. Yo lo hacía así para las cosas sin importancia, pero que por alguna razón necesitaría después y por seguridad, jamás pongo los passwords en digital, aunque también está el lado de la seguridad de los respectivos proveedores, a los que eventualmente hackearán, entonces, analizo que tanto me impactaría que hackearan al proveedor.

    Citar »
  8. etas todas anotadas con un codigo nemotecnico que uso, asi que una clave podria leerse por cualquiera sabiendo que es de facebook como "palabra_yomar_palabara_valpo" por lo que "palabra" son palabras o sea tipo "mesa" pero el resto son palabras/numero/combinacion por ejemplo hay 3: "YO" "mar" y "valpo" que yo solo se q significan y que son . asi que la clave de otro servicio/pagina/etc puede tranquilamente ser "palabra"(otra)_BsAsyo_"palabra"ana.. donde nuevamente yo es la misma que antes.. pero BsAs es otra cosa y ana otra.. y que solo se yo.porque por ejemplo ciudades "valpo" y "bsas" puede en realidad hacer referencia a un recuerdo o algo que paso en u viaje que solo yo se.. en general mis claves tienen como minimo unos 20 o 23 caracteres entre numeros, simbolos, mayusculas y letras ..siempre recuerdo por una charla ted de una changa donde decia que era mas seguro una frase tipo "eldia23haciacalorcacaputo2343" que otras cosas.. jaja

    Citar »
  9. La copia en papel fue siempre muy bastardeada, pero hay circunstancias donde sigue siendo un método totalmente válido, siempre que esté bien resguardada.

    Por poner un ejemplo, gocryptfs lo recomienda en cada montaje:

    "Your master key is: ...
    If the gocryptfs.conf file becomes corrupted or you ever forget your password,
    there is only one hope for recovery: The master key. Print it to a piece of
    paper and store it in a drawer. Use "-q" to suppress this message."

    Enlace

    Por mi parte, conservo además las claves privadas de los certificados TLS. Impresas en papel.
    En el peor de los casos habrá que probar varias veces con el OCR, jejej.

    Citar »
  10. Tengo dos claves, segura y mechupaunhuevo. Cuando uso la segura agrego tres letras de la página y #, y dos digitos atras en modo contador. ejemplo:
    gma#clavesegura00
    fac#clavesegura00

    Los servicios que me piden cambiarla incremento el contador, y todo va al KeePass, que tiene base backapeada en la nube.

    Seguridad de 0 a 10: 1.3 asumo :D

    Citar »
  11. Yo escribía en texto plano y las guardaba en .dll que se mezclaba con el resto :D, lo único que tenía que saber era el nombre de este archivo.

    Secreto mejor guardado recién bastardeado en este blog.

    Citar »
  12. El banco me pide cada dos meses cambiar la clave y tiene reglas tan estrictas que si no llevo un registro de las que usé se me hace difícil crear nuevas.

    Salvo un par de cuentas críticas, tengo anotadas las restantes. Ya abandoné toda esperanza de seguridad, total te meten un keylogger o hackean el sitio y se llevaron todo. TODO.

    La posta es no tener nada. Ni en las redes sociales (donde ni fotos subo) ni en los bancos (donde mi saldo consolidado es de unos 13 pesos, aproximadamente).

    Citar »
  13. Es que ... depende.
    Cuando el passwd era para que tus amigos esposa no leyera tu correo, era mejor no tenerlo en papel.
    Pero como hoy el riesgo es mayor del lado de atras de la pantalla, el papel tiene su magia. De hecho, en cryptomonedas no se considera que nada es más seguro que la "billetera de papel", en lápiz, en un folio para evitar la humedad, en una caja fuerte.
    Yo uso una combinación de lastpass con keepasx, con _TODAS_ las contraseñas al azar y diferentes. No cuesta tanto con la herramienta correcta. La última vez que conté tenía ~1100 logins, de varias épocas, y 20 años de sysadmin + devops.
    Lo cierto es que quien gasta un poco de tiempo en pensar su estrategia, ya está fuera del 99% de los robos de contraseñas.

    Citar »
  14. Hugo dijo:
    Tengo dos claves, segura y mechupaunhuevo. Cuando uso la segura agrego tres letras de la página y #, y dos digitos atras en modo contador. ejemplo:
    gma#clavesegura00
    fac#clavesegura00



    Solía hacer eso hasta que un sitio que consideraba seguro (Dropbox) fue hackeado. Así que nope, desde ahora TODO clave generada por KeePass y que la chupen.

    Citar »
  15. 1- Lo de tener la clave anotada grande enfrente del escritorio me hizo recordar algunas películas en las que quieren entrar a una computadora con clave y empiezan a mirar y poner palabras que ven, como un libro sobre Ramses II, entonces la clave seria "ramsesii". Creo que lo vi en algún lado a eso.
    2- Estás recopilando datos sobre claves con tus usuarios! La CIA agradecida.
    3- Una vez leí que no recomendaban poner el mes y el año como clave, esa "idea" me facilitó cambiar las claves del laburo ya que algunos te piden que cambies todos los meses (?).

    Citar »
  16. Me preguntaba cómo diablos explicarle a algunas de mis clientes, mujeres de 60+ que usan fb, el banco, mail y alguna que otra cosa, alguna de éstas estrategias de claves... la mayoría tiene un cuaderno donde están las claves junto con anotaciones de "cómo bajar el tamaño de una foto", todo mezclado y sin ningún orden.

    Citar »
  17. Hugo dijo:
    Me preguntaba cómo diablos explicarle a algunas de mis clientes, mujeres de 60+ que usan fb, el banco, mail y alguna que otra cosa, alguna de éstas estrategias de claves... la mayoría tiene un cuaderno donde están las claves junto con anotaciones de "cómo bajar el tamaño de una foto", todo mezclado y sin ningún orden.

    el orden de esos cuadernos es secuencial en base a cuándo les llegó la información, no tienen tags, categorías, nada, es puramente secuencial, hermosamente caótico :D no resiste un defrag

    Citar »
  18. Hugo dijo:
    Me preguntaba cómo diablos explicarle a algunas de mis clientes, mujeres de 60+ que usan fb, el banco, mail y alguna que otra cosa, alguna de éstas estrategias de claves... la mayoría tiene un cuaderno donde están las claves junto con anotaciones de "cómo bajar el tamaño de una foto", todo mezclado y sin ningún orden.

    Jajajaj.. Me hiciste acordar a mi contadora, que tiene todo un cuadernito con los usuarios y claves del Banco, AFIP, Anses, ... de buena parte de sus clientes (los más haraganes, probablemente). Y que siempre te pide que le avises si cambiás la clave.

    Ese cuadernito es una joya en bruto.

    Citar »
  19. Teno un metodo que casi casi nunca falla y me sirve para tener una clave distinta para cualquier sitio sabiendo solo una clave y una regla:

    Clave: 123Acb
    Regla: Que parte del nombre del dominino uso y donde la mezclo con mi clave.

    Ejemplo: Voy a usar las 3 primeras letras del dominio al final de mi clave, (o al medio, o dos al principio y dos al final o cualquier combinacion que les guste) una en entonces queda:

    para www.facebook.com : 123Abcfac
    para mail.google.com: 123Abcgoo
    para www.instagram.com 123Abcins

    Listo, Jamas olvide una clave ( excepto la de visa home que quiere que empiece tenga solo 6 caracteres y no se que garcha mas, lo que contradice mi regla para formar las pass )

    Citar »
  20. Pero ya no necesitás ocultar nada. Aunque pongas un cartel de leds que diga claves de acceos aqui. o un archivo que se llame passwords de acceso. txt. Los post-millenial ya no leen, ni comprenden texto, solo imagenes táctiles, asi que tu información está completamente segura.

    Citar »
  21. timoss dijo:
    2- Estás recopilando datos sobre claves con tus usuarios! La CIA agradecida.
    Yo miro las respuestas y estoy . Díganme perseguido, pero no pienso escribir mis métodos.

    Citar »
  22. Claves complejas con cambios randomicos y/o en cortos plazos sirven si tenes una cuena en un Banco de Suiza o si filamas un peli en Hollywood. Diria que para el resto de los mortales el tema del pass es meramente folklorico. Ni ayer ni hoy es necesario semejante circo. Como dijo uno por allí, se llevan el site entero y listo.

    Citar »
  23. Cansado de olvidarme el pass del cajero automático y el HomeBanking volví al papel y asunto solucionado. Al final una libretita guardada en casa es lo mas seguro y simple.

    Citar »
  24. Dale larga, que vamos por tus 13 pesos aproximadamente. :D

    Danbat dijo:
    timoss dijo:
    2- Estás recopilando datos sobre claves con tus usuarios! La CIA agradecida.
    Yo miro las respuestas y estoy . Díganme perseguido, pero no pienso escribir mis métodos.

    Citar »
  25. Hace unos años me cansé de usar apps para gestionar pass o anotar en .txt ofuscados por ahí.

    Tengo un algoritmo simple que uso para generarlas, cada sitio/servicio tiene una distinta porque el nombre del mismo participa de la misma y también tengo la posibilidad de mantener memorizadas las que exigen cambiar frecuentemente, le pongo la misma a todo con esta regla y voy bien.

    Tengo dos semillas a usar para el algoritmo, uno para las importantes y otro para las cuentas boludas.

    Saludos!

    Citar »

Deje su comentario:

(comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador sin previo aviso)

Security Image

Negrita Cursiva Imagen Enlace

Guardar los datos: Si / No