Si tu sitio web tiene la opción para registrarse como miembros, es importante que no pierdas de vista la primera impresión que los usuarios van a percibir desde que llenen el formulario de registro. Para que tus visitantes reconozcan que le das especial importancia a la seguridad del sitio y todos los datos que ellos están a punto de almacenar, es recomendable utilizar un medidor de seguridad en las contraseñas. Incluso si tú te preocupas por la seguridad de la data almacenada en la página web, las contraseñas poco seguras pueden tener serias consecuencias.
Es importante conocer algunas reglas básicas para la creación de passwords, que todos deberíamos saber, pero a las que realmente no hacemos caso y podríamos estar poniendo en riesgo nuestra identidad virtual.
- Mientras más caracteres, mejor. Usualmente nos conformamos con los 6 u 8 que nos exigen los sitios web, pero si empleáramos entre 13 y 15 podemos dormir más tranquilos.
- Intercala mayúsculas y minúsculas y tanto letras como números. Es más difícil ser vulnerable si no utilizas palabras comunes en el lenguaje y que puedes encontrar en un diccionario.
- Utiliza el lenguaje leet y símbolos especiales. Ojo que por símbolos especiales entendemos todos los símbolos, no necesariamente aquellos que están en la parte superior del teclado (#, $, %, &, /).
- Y sobre todo, no utilices la misma contraseña para todo.
A continuación ponemos a tu disposición unos scripts que serán útiles para crear una mejor interfaz de registro.
Password Meter:
Password Meter nos explica fácilmente cuáles son los defectos que tienen las contraseñas que ingresamos y nos devuelve un porcentaje que indica qué tan segura es. Su algoritmo está basado en una función en lenguaje JavaScript bastante exacto.
GeekWisdom:
GeekWisdom nos ofrece un algoritmo JavaScript y nos devuelve un resultado numérico, además de darnos tips para la creación de contraseñas.
Yet Another Password Mete:
Yet Another Password Meter también nos detalla los aspectos evaluados y nos da un veredicto sobre la vulnerabilidad de la contraseña ingresada.
jQuery:
jQuery nos ofrece un código simple de entre su librería para diseñar un medidor de seguridad que podemos aplicar a nuestro sitio web.
Dave’s Weblog:
Y por último, Dave’s Weblog nos ofrece un tutorial detallado para que podamos crear nuestros propios medidores de seguridad PHP, paso a paso.
El uso de estos medidores es útil para demostrar que todo miembro que se registre puede dejar de preocuparse acerca de qué va a pasar con su información, además de ser un proceso bastante sencillo para implementar en cualquier sitio. Muchas veces los usuarios no tienen conocimiento suficiente para crear una contraseña que verdaderamente sea segura en su afán de no olvidarla.
Parecería bastante obvio que “123456” deja la información de las personas casi tan vulnerable como si su cuenta estuviera abierta al público, pero contraseñas de este tipo son bastante comunes. Otra opción de seguridad que te recomendamos para tu sitio web y la información de tus usuarios es encriptar contraseñas con md5. ¿Cuál utilizas en tu sitio? ¿Qué otra recomendación incluyes en está lista?
Les corrigo: MD5 no es un algoritmo de `encripción` sino que es de hash’eo son cosas completamente distintas.
Hola ironic estas en lo correcto pero encripcion no existe. tal vez estas queriendo decir Cifrado. Que es la palabra encryp en ingles que se traduce erroneamente a spanglish como encripcion. saludos.
@ironic, @eddwinpaz: MD5 es un algoritmo de reducción criptográfico. Las traducciones suelen ser un problema porque muchos términos utilizados en lenguajes técnicos (de todo tipo) suelen provenir del inglés por su universalidad como lenguaje.
Gracias por las observaciones.
@Luis Eduardo Barrueto `algoritmo de reducción criptográfico` difiere mucho de `encripción` no crees?
y ya que pillaste la descripción de la wikipedia también deberías consultar:
http://es.wikipedia.org/wiki/Hash
[...] de encontrar el artículo Medidores de seguridad para contraseñas en tu sitio web. En este artículo nos indican algunos sitios web donde podemos encontrar algoritmos en JavaScript [...]
Si vamos por seguridad sería mejor encriptar con sha1 o sha2 en vez de md5 no?
Si nos ponemos algo paranóicos podríamos probar nuestros propios cifrados con herramientas de hacking como el CAIN & ABEL, o cualquier otro de ataque de fuerza bruta, recuerdo que en la especilidad nos daban algunas contraseñas hasheadas con md5 y con sha1 y teníamos que “hackearlas” con ese tipo de herramientas.
Podemos hacer algo también para que la contraseña caduque cada cierto tiempo y obligar al usuario a cambiarla. Lo que me gusta de Windows Server es que puedes activar los parámetros que quieras en tu contraseña, si utilizas el login de tu sitio haciendo referencia con el active directory puedes activar esto obligando al usuario a usar una contraseña fuerte.
Algo básico… aprendete la contraseña…o apuntala en un lugar seguro por si se te olvida… un postit al pegado en el monitor no es el lugar más seguro para eso ¬¬ como suelen hacer muchas personas…
Implementar un sistema para que en la contraseña no acepte el nombre del usuario.. porque muchos ponen -> user: juan pass: juan1
Bueno son algunos de los que se me ocurren
Saludos y buen artículo
[...] la contraseña en nuestro correo. En seguridad, toda prevención es buena.Fuentes: Cristalab y Maestros del WebEtiquetas: consejos, contraseñas, protección, SeguridadDeja tu [...]
[...] Visto Aquí [...]
[...] Visto Aquí [...]
me gusta