Discussion:
¿Por qué 'login' y 'password', y no sólo 'password'?
(demasiado antiguo para responder)
Kepler
2003-10-27 13:25:35 UTC
Permalink
Estoy haciendo una página para permitir el acceso sólo a usuarios
registrados, y naturalmente estoy empleando un sistema de login y password,
que es lo que he visto que se hace siempre en estos casos. Pero me
pregunto... ¿para qué demonios sirve el "login"? No le veo utilidad.

En casi, casi todas (por no decir todas, al menos, todas las que he
visto en los años que llevo navegando) las páginas que he visitado donde era
necesario introducir un passord (para acreditar tu identidad), también se
tiene que introducir un login (es decir, el usuario debe introducir DOS
datos).

Supongamos los siguientes datos de usuario:

login: motorola
password: alfa4437
nombre: Perico de los Palotes Martínez

Casi siempre, el login se emplea simplemente para buscar y leer de una
base de datos el nombre real del usuario, y escribirlo en pantalla:

"Hola, Perico de los Palotes Martínez, ¿qué tal estás hoy?"

Entonces, ¿para qué sirve el login (o el password), si simplemente
introduciendo el password (o el login), podemos buscar en la base de datos
el nombre del usuario y escribirlo en pantalla? O sea, ¿para qué obligar al
usuario a recordar e introducir dos datos (login y password), si simplemente
con uno nos bastaría?

Otra cosa sería si lo que se escribe en pantalla es el login del
usuario, no su nombre real:

"Hola, motorola, ¿qué tal estás hoy?"

Pero esto no es frecuente; lo normal es que se llame al usuario por su
nombre, no por su login.

Puede haber personas que respondan a esta pregunta diciendo: "el login
es necesario para que el programa sepa tu nombre, y el password, para que
compruebe que efectivamente eres tú" (o sea, lo mismo que en Unix). Pero en
Unix hay una diferencia: el ordenador se dirige a ti por tu nombre de login,
no por tu nombre real completo; ahí sí tiene sentido introducir un login y
un password.

Otras personas pueden responder: "se introduce login y password para
aumentar la seguridad, y hacer más difícil que un usuario cualquiera pueda
entrar a la web adivinando el password de otro mediante fuerza bruta". Pero
entonces, ¿por qué no aumentar la seguridad explícitamente, poniendo 2 (o
más) passwords? :

Introduzca su contraseña número 1: ...
Introduzca su contraseña número 2: ...

Si el motivo es aumentar la seguridad, ¿no sería esto más lógico y
eficaz? ¿O simplemente, obligar al usuario a introducir un único password,
pero que tenga al menos 10 caracteres?

Yo creo que voy a deshacer todo lo que tengo hecho de login y password,
y voy a hacer que un usuario, para acceder a sus datos restringidos, sólo
tenga que teclear su password: así es más sencillo para el usuario (sólo
tiene que recordar e introducir un dato), y más sencillo para el
programador.
Lars Hoffmann
2003-10-27 13:55:41 UTC
Permalink
Post by Kepler
En casi, casi todas (por no decir todas, al menos, todas las que he
visto en los años que llevo navegando) las páginas que he visitado donde era
necesario introducir un passord (para acreditar tu identidad),
también se
Post by Kepler
tiene que introducir un login (es decir, el usuario debe introducir DOS
datos).
Para evitar que dos usuarios pueden tener problemas al tener la misma
contraseña. Me explico....
Para identificar un usuario y asegurar que realmente es ese usuario
con quien tratamos, necesitamos que tiene un dato unico y un dato
secreto. Si el usuario tiene la posibilidad de elegir su propia
contraseña, es imposible mantenerle secreto y unico al mismo tiempo.
Imaginate una aplication que solo tiene contraseña, pero no tiene
usuario. ¿Que pasaría en el momento que el usuario intenta elegir una
contraseña que pertenece a otro? La aplicación tendría que dar una
respuesta como "password no disponible - ya esta en uso", y por lo
tanto hemos revelado una contraseña.
Saludos
Lars Hoffmann
--
www.intercabiodvd.com
bicyclerepairman
2003-10-27 16:09:36 UTC
Permalink
Post by Lars Hoffmann
¿Que pasaría en el momento que el usuario intenta elegir una
contraseña que pertenece a otro? La aplicación tendría que dar una
respuesta como "password no disponible - ya esta en uso", y por lo
tanto hemos revelado una contraseña.
Bueno, podría decir, "es la hora de comer, vuelva usted pasado mañana". Así
nadie sospecharía nada (por lo menos en España). URF:)

Es irrebatible, necesitas login y password, a no ser que el código se lo
asignes tú.

Saludos
--
Lavan esa base naval.
Lars Hoffmann
2003-10-27 16:15:53 UTC
Permalink
Post by bicyclerepairman
Es irrebatible, necesitas login y password, a no ser que el código se lo
asignes tú.
Completamente de acuerdo.
Saludos
Lars Hoffmann
--
www.intercambiodvd.com
Kepler
2003-10-28 19:35:15 UTC
Permalink
Post by Lars Hoffmann
Para evitar que dos usuarios pueden tener problemas al tener la misma
contraseña. Me explico....
¡Coño, pues es verdad!
Post by Lars Hoffmann
Para identificar un usuario y asegurar que realmente es ese usuario
con quien tratamos, necesitamos que tiene un dato unico y un dato
secreto. Si el usuario tiene la posibilidad de elegir su propia
contraseña, es imposible mantenerle secreto y unico al mismo tiempo.
Imaginate una aplication que solo tiene contraseña, pero no tiene
usuario. ¿Que pasaría en el momento que el usuario intenta elegir una
contraseña que pertenece a otro? La aplicación tendría que dar una
respuesta como "password no disponible - ya esta en uso", y por lo
tanto hemos revelado una contraseña.
Se me ocurre otro grave problema: ¿cómo sabe la aplicación si el
password que alguien acaba de teclear, es realmente de su usuario original,
o es de algún otro que por casualidad ha elegido el mismo? No habría forma
de diferenciar ambos casos; mal asunto...
Post by Lars Hoffmann
Saludos
Lars Hoffmann
--
www.intercabiodvd.com
Para disculparme miserablemente por mi torpeza, alegaré que en mi
aplicación, como dice bicyclerepairman, soy yo el que va asignando passwords
a cada usuario... en ese caso, sí basta con usar un único identificador
(siempre que sea único, valga la redundancia) por cada usuario, ya sea un
password inventado por mí, su DNI (no creo que hayan más de 100 usuarios
registrados, y tampoco se van a manejar datos económicos ni nada de eso, ni
mucho menos), etc.

Muchas gracias, me habéis hecho ver la luz.
A lak
2003-10-27 14:32:33 UTC
Permalink
Y porque no haces que el login sea el email propio del usuario y punto. y la
contraseña se la crea .
Post by Kepler
Estoy haciendo una página para permitir el acceso sólo a usuarios
registrados, y naturalmente estoy empleando un sistema de login y password,
que es lo que he visto que se hace siempre en estos casos. Pero me
pregunto... ¿para qué demonios sirve el "login"? No le veo utilidad.
En casi, casi todas (por no decir todas, al menos, todas las que he
visto en los años que llevo navegando) las páginas que he visitado donde era
necesario introducir un passord (para acreditar tu identidad), también se
tiene que introducir un login (es decir, el usuario debe introducir DOS
datos).
login: motorola
password: alfa4437
nombre: Perico de los Palotes Martínez
Casi siempre, el login se emplea simplemente para buscar y leer de una
"Hola, Perico de los Palotes Martínez, ¿qué tal estás hoy?"
Entonces, ¿para qué sirve el login (o el password), si simplemente
introduciendo el password (o el login), podemos buscar en la base de datos
el nombre del usuario y escribirlo en pantalla? O sea, ¿para qué obligar al
usuario a recordar e introducir dos datos (login y password), si simplemente
con uno nos bastaría?
Otra cosa sería si lo que se escribe en pantalla es el login del
"Hola, motorola, ¿qué tal estás hoy?"
Pero esto no es frecuente; lo normal es que se llame al usuario por su
nombre, no por su login.
Puede haber personas que respondan a esta pregunta diciendo: "el login
es necesario para que el programa sepa tu nombre, y el password, para que
compruebe que efectivamente eres tú" (o sea, lo mismo que en Unix). Pero en
Unix hay una diferencia: el ordenador se dirige a ti por tu nombre de login,
no por tu nombre real completo; ahí sí tiene sentido introducir un login y
un password.
Otras personas pueden responder: "se introduce login y password para
aumentar la seguridad, y hacer más difícil que un usuario cualquiera pueda
entrar a la web adivinando el password de otro mediante fuerza bruta". Pero
entonces, ¿por qué no aumentar la seguridad explícitamente, poniendo 2 (o
Introduzca su contraseña número 1: ...
Introduzca su contraseña número 2: ...
Si el motivo es aumentar la seguridad, ¿no sería esto más lógico y
eficaz? ¿O simplemente, obligar al usuario a introducir un único password,
pero que tenga al menos 10 caracteres?
Yo creo que voy a deshacer todo lo que tengo hecho de login y password,
y voy a hacer que un usuario, para acceder a sus datos restringidos, sólo
tenga que teclear su password: así es más sencillo para el usuario (sólo
tiene que recordar e introducir un dato), y más sencillo para el
programador.
Oriol
2003-10-27 15:43:43 UTC
Permalink
Post by Kepler
Yo creo que voy a deshacer todo lo que tengo hecho de login y password,
y voy a hacer que un usuario, para acceder a sus datos restringidos, sólo
tenga que teclear su password: así es más sencillo para el usuario (sólo
tiene que recordar e introducir un dato), y más sencillo para el
programador.
No te recomiendo que hagas eso, una ataque por fuerza bruta probablemetne
tendrá exito, y más probabilidades de exito tendrá cuantos más passwords
guardes en la BBDD, cuantos usan passwords tan absurdos como nombre y
apellido, su NIF/DNI, el nombre de su perro, su fecha de nacimiento, etc??
talvez la probabilidad de exito al principio sea baja: 1 entre X, 2 entre X,
o 100 entre X, pero si la BBDD va creciendo la probabilidad de exito se
multiplica:1000 entre X, 5000 entre X. Cada nuevo usuario significa una
posibilidad para acertar el password.

Tal vez desde una conexión normal (ADSL, CABLE) te puedas morir usando la
fuerza bruta, pero si yo por ejemplo, se me ocurre hacer eso desde mi
facultad (conectada a rediris) con unos pings de la ostia te aseguro que
tarde o temprano daría con una contraseña válida.

Todo esto suponiendo que dejes a los usuarios introducir sus passwords, si
lo que haces es generarlos tu, con 15 digitos, case-sensitive y
numeros-caracteres, entonces sería un sistema bastante más seguro, pero
tampoco algo definitivo.

salu2
Kepler
2003-10-28 19:17:04 UTC
Permalink
Post by Kepler
Post by Kepler
Yo creo que voy a deshacer todo lo que tengo hecho de login y
password,
Post by Kepler
y voy a hacer que un usuario, para acceder a sus datos restringidos, sólo
tenga que teclear su password: así es más sencillo para el usuario (sólo
tiene que recordar e introducir un dato), y más sencillo para el
programador.
No te recomiendo que hagas eso, una ataque por fuerza bruta probablemetne
tendrá exito, y más probabilidades de exito tendrá cuantos más passwords
guardes en la BBDD, cuantos usan passwords tan absurdos como nombre y
apellido, su NIF/DNI, el nombre de su perro, su fecha de nacimiento, etc??
talvez la probabilidad de exito al principio sea baja: 1 entre X, 2 entre X,
o 100 entre X, pero si la BBDD va creciendo la probabilidad de exito se
multiplica:1000 entre X, 5000 entre X. Cada nuevo usuario significa una
posibilidad para acertar el password.
Tal vez desde una conexión normal (ADSL, CABLE) te puedas morir usando la
fuerza bruta, pero si yo por ejemplo, se me ocurre hacer eso desde mi
facultad (conectada a rediris) con unos pings de la ostia te aseguro que
tarde o temprano daría con una contraseña válida.
Todo esto suponiendo que dejes a los usuarios introducir sus passwords, si
lo que haces es generarlos tu, con 15 digitos, case-sensitive y
numeros-caracteres, entonces sería un sistema bastante más seguro, pero
tampoco algo definitivo.
Gracias Oriol, tienes toda la razón.

Ya que has sacado el tema, quisiera preguntar, a ver si alguien puede
responderme, cómo es posible llevar a cabo un ataque por fuerza bruta hacia
el password de una página web; ya sé que existen diccionarios que van
recorriendo secuencialmente las palabras hasta encontrar una que coincida
con un password almacenado en la base de datos de la web, pero, ¿cómo es
posible la comunicación automática entre dicho diccionario -mejor dicho,
entre el programa que lo va recorriendo- y la página web?

Es decir, para introducir un password en una web, alguien tiene que
teclear físicamente algo en un componente <input type="text"> (llámase como
se quiera: control TEdit, caja de edición, caja de texto...), luego pulsar
ENTER, y luego esperar la respuesta de la web (password correcto /
incorrecto). Peor se pone la cosa si por ejemplo tras introducir 3 passwords
incorrectos, la web desactiva tu conexión, o te redirige a otra página...
¿cómo puede hacerse todo esto automáticamente mediante un programa de
ordenador?

Muchas gracias.
taz007
2003-10-28 20:09:10 UTC
Permalink
El Tue, 28 Oct 2003 20:17:04 +0100
"Kepler" <***@terra.es> ha escrito:

no_e.xis.te> Oriol <***@ya.com> escribió en el mensaje de noticias
no_e.xis.te> bnjef3$1f5$***@news.ya.com...
no_e.xis.te> > > Yo creo que voy a deshacer todo lo que tengo hecho de login y
no_e.xis.te> > password,
no_e.xis.te> > > y voy a hacer que un usuario, para acceder a sus datos restringidos,
no_e.xis.te> sólo
no_e.xis.te> > > tenga que teclear su password: así es más sencillo para el usuario (sólo
no_e.xis.te> > > tiene que recordar e introducir un dato), y más sencillo para el
no_e.xis.te> > > programador.
no_e.xis.te> >
no_e.xis.te> > No te recomiendo que hagas eso, una ataque por fuerza bruta probablemetne
no_e.xis.te> > tendrá exito, y más probabilidades de exito tendrá cuantos más passwords
no_e.xis.te> > guardes en la BBDD, cuantos usan passwords tan absurdos como nombre y
no_e.xis.te> > apellido, su NIF/DNI, el nombre de su perro, su fecha de nacimiento,
no_e.xis.te> etc??
no_e.xis.te> > talvez la probabilidad de exito al principio sea baja: 1 entre X, 2 entre
no_e.xis.te> X,
no_e.xis.te> > o 100 entre X, pero si la BBDD va creciendo la probabilidad de exito se
no_e.xis.te> > multiplica:1000 entre X, 5000 entre X. Cada nuevo usuario significa una
no_e.xis.te> > posibilidad para acertar el password.
no_e.xis.te> >
no_e.xis.te> > Tal vez desde una conexión normal (ADSL, CABLE) te puedas morir usando la
no_e.xis.te> > fuerza bruta, pero si yo por ejemplo, se me ocurre hacer eso desde mi
no_e.xis.te> > facultad (conectada a rediris) con unos pings de la ostia te aseguro que
no_e.xis.te> > tarde o temprano daría con una contraseña válida.
no_e.xis.te> >
no_e.xis.te> > Todo esto suponiendo que dejes a los usuarios introducir sus passwords, si
no_e.xis.te> > lo que haces es generarlos tu, con 15 digitos, case-sensitive y
no_e.xis.te> > numeros-caracteres, entonces sería un sistema bastante más seguro, pero
no_e.xis.te> > tampoco algo definitivo.
no_e.xis.te>
no_e.xis.te> Gracias Oriol, tienes toda la razón.
no_e.xis.te>
no_e.xis.te> Ya que has sacado el tema, quisiera preguntar, a ver si alguien puede
no_e.xis.te> responderme, cómo es posible llevar a cabo un ataque por fuerza bruta hacia
no_e.xis.te> el password de una página web; ya sé que existen diccionarios que van
no_e.xis.te> recorriendo secuencialmente las palabras hasta encontrar una que coincida
no_e.xis.te> con un password almacenado en la base de datos de la web, pero, ¿cómo es
no_e.xis.te> posible la comunicación automática entre dicho diccionario -mejor dicho,
no_e.xis.te> entre el programa que lo va recorriendo- y la página web?
no_e.xis.te>
no_e.xis.te> Es decir, para introducir un password en una web, alguien tiene que
no_e.xis.te> teclear físicamente algo en un componente <input type="text"> (llámase como
no_e.xis.te> se quiera: control TEdit, caja de edición, caja de texto...), luego pulsar
no_e.xis.te> ENTER, y luego esperar la respuesta de la web (password correcto /
no_e.xis.te> incorrecto). Peor se pone la cosa si por ejemplo tras introducir 3 passwords
no_e.xis.te> incorrectos, la web desactiva tu conexión, o te redirige a otra página...
no_e.xis.te> ¿cómo puede hacerse todo esto automáticamente mediante un programa de
no_e.xis.te> ordenador?
no_e.xis.te>

si se hace en php se puede hacer de varias formas, y todas son muy
rapidas.
se me ocurren usar Curl. usar la clase snoopy, o directamente ir
generando peticiones GET, luego se trata la pagina de error, y cuando
recibas una pagina distinta a la de error, esa pagina se trata
manualmente para saber que tipo de mensaje es el que da.



no_e.xis.te> Muchas gracias.
no_e.xis.te>
no_e.xis.te>
Tracker
2003-10-29 16:31:29 UTC
Permalink
¿cómo es posible la comunicación automática entre dicho
diccionario -mejor dicho, entre el programa que lo va recorriendo- y
la página web?
en realidad es muy simple
Es decir, para introducir un password en una web, alguien tiene que
teclear físicamente algo en un componente <input type="text"> (llámase
como se quiera: control TEdit, caja de edición, caja de texto...),
luego pulsar ENTER, y luego esperar la respuesta de la web (password
correcto / incorrecto).
eso no es del todo cierto, en realidad, cuando nosotros escribimos
físicamente en un input de web, no se ace nada importante desde el punto
de vista del servidor hasta que finalmente se pula ENTER o mejor dicho,
se hace de algún modo un SUBMIT.

el submit es el que realiza el proceso de envio de lo escrito en los
INPUTs de la web hacia el servidor y para ello se vale de lo que haya en
el FORM ACTION="pagina.ext"

esto es que al hacer un SUBMIT, se mandará la información tecleada a la
pagina "pagina.ext" en el ejemplo.

luego es allí donde se procesa la info.

si en el momento de hacer el submit, pones en funcionamiento un snifer
para ver que ocurre, verás que simplemente se hace una petición a esa
página mediante un POST o un GET y el servidor retorna un resultado.

luego podemos saltarnos todo el proceso manual e ir directamente a hacer
POSTs o GETs a la página de comprovación.
Peor se pone la cosa si por ejemplo tras
introducir 3 passwords incorrectos, la web desactiva tu conexión, o te
redirige a otra página... ¿cómo puede hacerse todo esto
automáticamente mediante un programa de ordenador?
si el proceso que realiza la web se controla mediante IP, se tendrá que
engañar esta o poner un tiempo de espera entre PASS y PASS.

si el proceso es un HTTP_REFERER, entonces es muy simple porque eso se
puede falsear muy facilmente.

en cualquier caso, si la cosa está protegida por accesos, tanto por IP,
por HTTP_REFERER o por otro método, ya no es tan factible un proceso de
fuerza bruta y hay que pensar en algo distinto...

otra cosa a comentar, es que optino que es una burrada hacer un acceso a
una web por fuerza bruta, pues los LOGs que se quedan cantan mucho!
Muchas gracias.
dnd
Kepler
2003-10-30 16:56:00 UTC
Permalink
Post by Tracker
luego podemos saltarnos todo el proceso manual e ir directamente a hacer
POSTs o GETs a la página de comprovación.
Qué bien lo has explicado, Tracker... de momento, no lo utilizaré, pero
en el futuro, quién sabe ;-)

Saludos...

Tracker
2003-10-27 15:47:49 UTC
Permalink
Post by Kepler
Estoy haciendo una página para permitir el acceso sólo a usuarios
registrados, y naturalmente estoy empleando un sistema de login y
password, que es lo que he visto que se hace siempre en estos casos.
Pero me pregunto... ¿para qué demonios sirve el "login"? No le veo
utilidad.
la tiene.
Post by Kepler
En casi, casi todas (por no decir todas, al menos, todas las que he
visto en los años que llevo navegando) las páginas que he visitado
donde era necesario introducir un passord (para acreditar tu
identidad), también se tiene que introducir un login (es decir, el
usuario debe introducir DOS datos).
y para más seguridad, mejor sería usar 3 o 4 o aún más!
Post by Kepler
login: motorola
password: alfa4437
nombre: Perico de los Palotes Martínez
y

login: carlos
password: alfa4437
nombre: Carlos Perico

(si solo pedimos password ya la jodimos!)
Post by Kepler
Casi siempre, el login se emplea simplemente para buscar y leer de una
lo que se busca en la base de datos en la combinación de los datos
solicitados, por ejemplo, login y password. ambas cosas deben coincidir
en un registro de la base de datos o no hay entrada.
Post by Kepler
"Hola, Perico de los Palotes Martínez, ¿qué tal estás hoy?"
y además, sabemos su nick, fecha de alta y otras cosas como email,
telf.... según tu punto de vista, porque pedir una pass y no el número de
teléfono?

a tener en quenta que hay gente que introduce aún como pass el típico
"1111" o el "aaaa". luego, si pedimos solamente el pass, será facil dar
con una cuenta válida, no crees?

en cambio, con añadir tan solo que introduzca el nick, hay que saber ya
dos cosas a la vez que dificulta muuucho el arte del hack!

si si se pidiesen 3 o más sería chachi!
Post by Kepler
Entonces, ¿para qué sirve el login (o el password), si simplemente
introduciendo el password (o el login), podemos buscar en la base de
datos el nombre del usuario y escribirlo en pantalla? O sea, ¿para qué
obligar al usuario a recordar e introducir dos datos (login y
password), si simplemente con uno nos bastaría?
y porque no perir solo el telf.?

ya lo he explicado.
Post by Kepler
Otra cosa sería si lo que se escribe en pantalla es el login del
"Hola, motorola, ¿qué tal estás hoy?"
da igual, la finalidad es el poder tener dos campos en la base de datos,
tanto da si es el email, el nick o el telefono o lo que sea. siempre que
haya dos.

uno para determinar al usuario que debe ser único, el otro para saber que
es realmente ese usuario y no otro que por lo tanto solo el debe saber,
la pass.
Post by Kepler
Pero esto no es frecuente; lo normal es que se llame al usuario por su
nombre, no por su login.
sería engorroso poner cada vez en la pantalla:

login: Jose Ricardo Valdeperez Monzón
pass: 11223344
Post by Kepler
Puede haber personas que respondan a esta pregunta diciendo: "el login
es necesario para que el programa sepa tu nombre, y el password, para
que compruebe que efectivamente eres tú" (o sea, lo mismo que en
Unix). Pero en Unix hay una diferencia: el ordenador se dirige a ti
por tu nombre de login, no por tu nombre real completo; ahí sí tiene
sentido introducir un login y un password.
eso no es cierto, en unix no sé pero imagino que será como en linux, una
vez creada la cuenta, has introducido tu nick o alias y tu nombre real,
después el pass.... hay programas que usan tu nombre real como por
ejemplo el kmail.
Post by Kepler
Otras personas pueden responder: "se introduce login y password para
aumentar la seguridad, y hacer más difícil que un usuario cualquiera
pueda entrar a la web adivinando el password de otro mediante fuerza
bruta". Pero entonces, ¿por qué no aumentar la seguridad
tp estaría mal, pero quien es quien en este sistema?
Post by Kepler
Introduzca su contraseña número 1: ...
Introduzca su contraseña número 2: ...
Si el motivo es aumentar la seguridad, ¿no sería esto más lógico y
eficaz? ¿O simplemente, obligar al usuario a introducir un único
password, pero que tenga al menos 10 caracteres?
esta tal vez SI sea una alternativa.... ¿?
Post by Kepler
Yo creo que voy a deshacer todo lo que tengo hecho de login y password,
y voy a hacer que un usuario, para acceder a sus datos restringidos,
sólo tenga que teclear su password: así es más sencillo para el
usuario (sólo tiene que recordar e introducir un dato), y más sencillo
para el programador.
bueno, cada uno tiene sus manias.....
Lars Hoffmann
2003-10-27 16:08:39 UTC
Permalink
Post by Tracker
y para más seguridad, mejor sería usar 3 o 4 o aún más!
No! El nivel de seguridad no depende de la cantidad de campos que
metemos, sino la cantidad de caracteres que se usa para identificar
el usuario. Es decir que si tienes el login de 4 caracteres y el
password de otros 4, no es mas seguro que si tuvieras solamente un
password de 8 caracteres.
Post by Tracker
login: carlos
password: alfa4437
nombre: Carlos Perico
(si solo pedimos password ya la jodimos!)
Si es una contraseña generada automáticamente no hay problema.
Post by Tracker
a tener en quenta que hay gente que introduce aún como pass el típico
"1111" o el "aaaa". luego, si pedimos solamente el pass, será facil dar
con una cuenta válida, no crees?
una cosa es si tienes una buena validacion de contraseña, otra cosa
es si hay que meter contraseña y usuario. Por ejemplo podias exegir
que la contraseña consistia de como minimo 8 caracteres, que como
minimo 3 tendrian que ser numeros y como minimo 3 tendrian que ser
alfnumericos y que el mismo caracter no sepodia repetir mas que 2
veces.
Post by Tracker
si si se pidiesen 3 o más sería chachi!
No.
Post by Tracker
Post by Kepler
Introduzca su contraseña número 1: ...
Introduzca su contraseña número 2: ...
Si el motivo es aumentar la seguridad, ¿no sería esto más lógico y
eficaz? ¿O simplemente, obligar al usuario a introducir un único
password, pero que tenga al menos 10 caracteres?
esta tal vez SI sea una alternativa.... ¿?
Que no.
Respondeme a esto, ¿Es mas seguro, tener 3 contraseñas de 1 caracter
o 1 contraseña de 3 caracteres? La respuesta es que las dos opciones
son igual de seguras ya que existe la misma cantidad combinaciones en
ambos casos. Por lo tanto, lo importante no es la cantidad de campos,
sino la cantidad de combinaciones totales que haya. La única razon
por mantener tanto login como password es la que describo en news:bnj80a$11todb$***@ID-163022.news.uni-berlin.de.

Saludos
Lars Hoffmann
Tracker
2003-10-27 17:14:09 UTC
Permalink
Post by Lars Hoffmann
Post by Tracker
y para más seguridad, mejor sería usar 3 o 4 o aún más!
No! El nivel de seguridad no depende de la cantidad de campos que
metemos, sino la cantidad de caracteres que se usa para identificar
el usuario. Es decir que si tienes el login de 4 caracteres y el
password de otros 4, no es mas seguro que si tuvieras solamente un
password de 8 caracteres.
eso está claro, por eso indico que a cuanto más campo más seguro... no
por contra será más inseguro un pass tan largo como carácteres haya en
uno solo, me refiero a que si se fuerza a usar más de un password,
estamos de alguna manera alargando la cantidad de posibilidades.
Post by Lars Hoffmann
Post by Tracker
login: carlos
password: alfa4437
nombre: Carlos Perico
(si solo pedimos password ya la jodimos!)
Si es una contraseña generada automáticamente no hay problema.
eso era un ejemplo de entrada de alta de usuario siguiendo el ejemplo
anterior. la contraseña está claro que la ha elejido el usuario, así como
el nick y el nombre. por lo tanto mi obserbación es correcta, en el caso
de que otro usuario meta una pass igual a la de otro usuario ya no
sabemos a quien hace referéncia si solo se pide pass. es más, si en el
momento de la alta se indica que la pass ya existe, no solo sabemos que
hay alguien que la usa, sinó que tenemos acceso de ese alguien!!!!
Post by Lars Hoffmann
Post by Tracker
a tener en quenta que hay gente que introduce aún como pass el
típico
Post by Tracker
"1111" o el "aaaa". luego, si pedimos solamente el pass, será facil
dar
Post by Tracker
con una cuenta válida, no crees?
una cosa es si tienes una buena validacion de contraseña, otra cosa
es si hay que meter contraseña y usuario. Por ejemplo podias exegir
que la contraseña consistia de como minimo 8 caracteres, que como
minimo 3 tendrian que ser numeros y como minimo 3 tendrian que ser
alfnumericos y que el mismo caracter no sepodia repetir mas que 2
veces.
de igual forma podrías indicar que se deben usar 4 passwords de menor
longitud y de igual carácteristicas.

por ejemplo:

3s
6y
2E
bK
Post by Lars Hoffmann
Post by Tracker
si si se pidiesen 3 o más sería chachi!
No.
si
Post by Lars Hoffmann
Post by Tracker
Post by Kepler
Introduzca su contraseña número 1: ...
Introduzca su contraseña número 2: ...
Si el motivo es aumentar la seguridad, ¿no sería esto más
lógico y
Post by Tracker
Post by Kepler
eficaz? ¿O simplemente, obligar al usuario a introducir un único
password, pero que tenga al menos 10 caracteres?
esta tal vez SI sea una alternativa.... ¿?
Que no.
Respondeme a esto, ¿Es mas seguro, tener 3 contraseñas de 1 caracter
o 1 contraseña de 3 caracteres? La respuesta es que las dos opciones
son igual de seguras ya que existe la misma cantidad combinaciones en
ambos casos. Por lo tanto, lo importante no es la cantidad de campos,
sino la cantidad de combinaciones totales que haya. La única razon
así que me das la razón, no importa la longitud del pass o de estos sinó
la cantidad de combinaciones que se le puedan hacer... tanto da un pass
de 8 letras que 2 de 4! y si además se pide user pues son más que se
añaden!

de todas formas, el user se usa para saber de quien se trata y no es el
que da acceso! sinó el que se busca en la BD para saber si existe o no,
el acceso se lo dá el pass.
Post by Lars Hoffmann
Saludos
Lars Hoffmann
Saludos.
Lars Hoffmann
2003-10-27 20:39:33 UTC
Permalink
Tracker escribió / skrev
Post by Tracker
Post by Lars Hoffmann
una cosa es si tienes una buena validacion de contraseña, otra
cosa es si hay que meter contraseña y usuario. Por ejemplo podias
exegir que la contraseña consistia de como minimo 8 caracteres,
que como minimo 3 tendrian que ser numeros y como minimo 3
tendrian que ser alfnumericos y que el mismo caracter no sepodia
repetir mas que 2 veces.
de igual forma podrías indicar que se deben usar 4 passwords de
menor longitud y de igual carácteristicas.
3s
6y
2E
bK
Eh sí, pero eso sería absurdo complicarse la vida con 4 campos cuando la
seguridad seria igual de logrado con 1 solo campo de 8 caracteresLa
pregunta original justamente era "Porque usar 2 campos en vez de uno" y
el hecho de que 1 campo es igual de seguro que 2, no es razon por usar
los dos.
Post by Tracker
así que me das la razón, no importa la longitud del pass o de estos
sinó la cantidad de combinaciones que se le puedan hacer... tanto
da un pass de 8 letras que 2 de 4! y si además se pide user pues
son más que se añaden!
Estas mezclando cosas. primero: lo de usar mas de una contraseña es
absurda, no existe ninguna razon por usar dos campos cuando con 1 campo
consigues la misma seguridad. Es complicarse la vida, y nadie quiere
complicarse la vida innecesariamente. La cantidad de combinaciones es
una funcion proporcional a la cantidad de caracteres que introduces, lo
cual quiere decir que si tienes un campo "usuario" de 4 caracteres y
otro campo "contrasena" de 4 caracteres, podias igual tener solamente un
campo "contraseña" de 8 caracteres. Lo que digo es que la cantidad de
campos no tiene nada que ver con el nivel de seguridad.
Post by Tracker
de todas formas, el user se usa para saber de quien se trata y no
es el que da acceso!
Si mantienes una sistema donde las contraseñas no se duplican, podias
identificar perfectamente por contraseña y olvidarte del usuario.
Post by Tracker
sinó el que se busca en la BD para saber si
existe o no, el acceso se lo dá el pass.
Saludos
Lars Hoffmann
Tracker
2003-10-28 08:54:08 UTC
Permalink
Post by Lars Hoffmann
Si mantienes una sistema donde las contraseñas no se duplican, podias
identificar perfectamente por contraseña y olvidarte del usuario.
si hace eso, a la que te das de alta y usas una pass que ya está en uso,
el error será deducible a que la pass ya existía, luego sabrás la pass de
otro usuario y como no se solicita ningún campo más para validar, ya
tienes el acceso y lo peor es que lo tienes suplantando la identidad de
otro.

así que sigo pensando que hay que tener un campo SOLO para saber quien
eres y otro más para identificarte.

el campo de login solo será usado para buscarte en la base de datos y
será de uso único.

el campo de pass solo será para una vez encontrado en la base de datos el
campo de login, mirar si realmente es este y no otro usuario!

así que en realidad, el nivel de seguridad, será únicamente la
complejidad de la pass y la dificultad que haya para saber los usuarios
disponibles.

logicamente, a cuantos más usuarios más simple será romper la seguridad.

si se usa un generdador de pass en el momento del alta, perfecto. si se
especifica lo complicado que debe ser el pass y se comprueba, perfecto
tb. pero si se deja elegir el pass a cada usuario, como seguro que
alguien pondrá 1111, solo será cosa de ir probando fuerza bruta de la
siguiente manera:

LISTA USERS
lolo
lola
pedro
juan
miguel
....

LISTA PASS
0-9 (rango de 0 a 9)
a-z (..)
A-Z (..)
0-Z (..)

Es solo cuestión de tiempo el dar con un usuario de la lista que haya
puesto un pass simple y romperlo.

entonces, para ser seguro hay que evitar dejar logearse de forma masiba.
pero eso es otra história.
Lars Hoffmann
2003-10-28 09:06:30 UTC
Permalink
Post by Tracker
Post by Lars Hoffmann
Si mantienes una sistema donde las contraseñas no se duplican, podias
identificar perfectamente por contraseña y olvidarte del usuario.
si hace eso, a la que te das de alta y usas una pass que ya está en uso,
el error será deducible a que la pass ya existía, luego sabrás la pass de
otro usuario y como no se solicita ningún campo más para validar, ya
tienes el acceso y lo peor es que lo tienes suplantando la
identidad de
Post by Tracker
otro.
Vaya, parece que padecemos de amnesia, eso es justo lo que he dicho
en news:bnj80a$11todb$***@ID-163022.news.uni-berlin.de.
¿Hace falta que repito todo lo que he dicho anteriormente en el hilo
para que lo tomes en cuenta?

Por si acaso te vuelvo repetir: Solamente hace falta usuario y
contraseña si el sistema permite que los usuarios eligen su propaia
contrseña.
Post by Tracker
entonces, para ser seguro hay que evitar dejar logearse de forma masiba.
pero eso es otra história.
Tu lo has dicho, eso es otra historia y no tiene nada que ver con la
discussión actual.
Saludos
Lars Hoffmann
--
www.intercambiodvd.com
contra
2003-10-28 11:30:07 UTC
Permalink
Ciertamente cuando se genera un pass automáticamente se podría prescindir
del login. Pero, ¿ pensáis que es cómodo para un usuario tener que memorizar
o llevar siempre consigo un pass al estilo W25jH98ei1? Personalmente creo
que la comodidad para el usuario es una cosa muy importante (es parte del
éxito de muchos sites). Pass +login mejor que solo pass
Salu2 a todos
--
Grupos: es.comp.infosistemas.www.paginas-web
Fecha: Tue, 28 Oct 2003 10:06:30 +0100
Asunto: Re: ¿Por qué 'login' y 'password', y no sólo 'password'?
Post by Tracker
Post by Lars Hoffmann
Si mantienes una sistema donde las contraseñas no se duplican,
podias
Post by Tracker
Post by Lars Hoffmann
identificar perfectamente por contraseña y olvidarte del usuario.
si hace eso, a la que te das de alta y usas una pass que ya está en
uso,
Post by Tracker
el error será deducible a que la pass ya existía, luego sabrás la
pass de
Post by Tracker
otro usuario y como no se solicita ningún campo más para validar,
ya
Post by Tracker
tienes el acceso y lo peor es que lo tienes suplantando la
identidad de
Post by Tracker
otro.
Vaya, parece que padecemos de amnesia, eso es justo lo que he dicho
¿Hace falta que repito todo lo que he dicho anteriormente en el hilo
para que lo tomes en cuenta?
Por si acaso te vuelvo repetir: Solamente hace falta usuario y
contraseña si el sistema permite que los usuarios eligen su propaia
contrseña.
Post by Tracker
entonces, para ser seguro hay que evitar dejar logearse de forma
masiba.
Post by Tracker
pero eso es otra história.
Tu lo has dicho, eso es otra historia y no tiene nada que ver con la
discussión actual.
Saludos
Lars Hoffmann
--
www.intercambiodvd.com
Lars Hoffmann
2003-10-28 13:52:44 UTC
Permalink
Post by contra
Ciertamente cuando se genera un pass automáticamente se podría prescindir
del login. Pero, ¿ pensáis que es cómodo para un usuario tener que memorizar
o llevar siempre consigo un pass al estilo W25jH98ei1?
Personalmente creo
Post by contra
que la comodidad para el usuario es una cosa muy importante (es parte del
éxito de muchos sites). Pass +login mejor que solo pass
Depende de lo importante que son los datos que proteges. No se si
debes dejar a los usuarios elegir sus propios contraseñas porque un
porcentaje (sorprendentemente alto) usara su nombre, su fecha de
nacimiento u otro dato facilmente adivinable.
Saludos
Lars Hoffmann
--
www.intercambiodvd.com
Kepler
2003-10-28 19:42:27 UTC
Permalink
Post by Tracker
Post by Kepler
Puede haber personas que respondan a esta pregunta diciendo: "el login
es necesario para que el programa sepa tu nombre, y el password, para
que compruebe que efectivamente eres tú" (o sea, lo mismo que en
Unix). Pero en Unix hay una diferencia: el ordenador se dirige a ti
por tu nombre de login, no por tu nombre real completo; ahí sí tiene
sentido introducir un login y un password.
eso no es cierto, en unix no sé pero imagino que será como en linux, una
vez creada la cuenta, has introducido tu nick o alias y tu nombre real,
después el pass.... hay programas que usan tu nombre real como por
ejemplo el kmail.
Hola Traker:

Hace tiempo que no uso Unix ni Linux, pero estoy casi seguro de que para
entrar, tenías que introducir tu login y password (esto es seguro), y
después, el shell se refería al usuario por su login, no por su nombre
completo...

Ojo, yo me refiero al shell, no a las aplicaciones.

Un saludo.
Tracker
2003-10-29 16:38:40 UTC
Permalink
Post by Kepler
Hace tiempo que no uso Unix ni Linux, pero estoy casi seguro de que para
entrar, tenías que introducir tu login y password (esto es seguro), y
después, el shell se refería al usuario por su login, no por su nombre
completo...
Ojo, yo me refiero al shell, no a las aplicaciones.
si, eso no te lo niego, lo que quiero decir es que una vez has entrado
mediante el login y el pass, los programas Y NO EL SHELL pueden usar todos
tus datos que diste en el momento del alta como por ejemplo el nombre real.

el shell se refiere a ti por el nick porque así lo tienes configurado, pero
debes saber que no tiene porqué ser forzosamente así, pues puedes cambiar
el prompt a tu gusto e indicar que se refiera al usuario por su nombre real
o incluso que no especifique nombre alguno. por lo tanto, el hecho de
entrar en linux por el nick, es simplemente por comodidad, pues es más
facil entrar por "tracker" que no por "Don Federico Gusman Montoñés" (es un
ejemplo) y una vez logeado, no importa ya si lo has hecho con el nick o no,
de hecho, linux no usa el nick, sinó un UID, es decir, un UserID para saber
quien eres y mediante ese número lo sabe todo sobre tí, el pass, el nick,
el nombre real y lo que haga falta.
Loading...