Si hallas algún fallo en tu código o trabajo, recuerda probar siempre en un ambiente de testing antes aplicar el código al trabajo final.
Solución:
El ataque de fuerza bruta se puede describir como tal: el atacante intenta una gran cantidad de ataques aleatorios. potencial contraseñas, hasta encontrar la correcta. Forzar un cambio de contraseña para el usuario, es decir, cambiar de una contraseña potencial a otra, no reduce sustancialmente la tasa de éxito del atacante (de hecho, cambia algo solo si el espacio de posibles contraseñas es tan pequeño que el atacante puede explorarlo exhaustivamente: – y esto significa que tienes un problema mayor, que es que tus usuarios eligen contraseñas muy débiles). Es una creencia generalizada, pero errónea, que los cambios de contraseña de alguna manera “restauran la seguridad”.
Lo que puede tener sentido es deshabilitar las cuentas que son el objetivo de un ataque de fuerza bruta, indicado por muchos intentos fallidos. Pero este tipo de función de bloqueo puede ser contraproducente: permite que cualquiera bloquee la cuenta de otra persona, lo que puede convertirse en un gran problema de soporte técnico.
En consecuencia, no es necesario que cambie la contraseña de su proveedor de telefonía móvil porque es antiguo. Cambie su contraseña si es débil, pero la debilidad no crece con el tiempo; está allí desde el día 1.
- Cuando sus usuarios son humanos, forzar cambios regulares de contraseña no necesariamente aumenta la seguridad.
Ver la publicación de la FTC “Es hora de repensar los cambios de contraseña obligatorios” por el tecnólogo jefe Lorrie Cranor, basado en investigaciones sobre cómo los humanos realmente usan estos sistemas. (Cobertura del Washington Post aquí). - Cuando eres el usuario, debes cambiar tu contraseña con más frecuencia que la frecuencia media esperada de cuando la contraseña se ve comprometida por un pirateo en el almacén de datos o cualquier otro método por el cual alguien pueda obtener su contraseña. Este es un tiempo más largo (frecuencia más baja) si sus contraseñas son únicas que si las reutiliza (porque hay una variedad más amplia de formas en que una contraseña reutilizada con frecuencia podría verse comprometida). Si tiene alguna razón especial para creer que una contraseña se ha visto comprometida recientemente, también es un buen momento para cambiarla; de lo contrario, confía en sus propias estimaciones de la seguridad de ese control de acceso.
Tengo que estar en desacuerdo con Tom sobre “no hay necesidad de cambiar tu contraseña porque es antigua…”.
En sí mismo, eso es razonablemente truesin embargo, la pragmática de la vida real interfiere con la teoría y hace que no sea tan true. Dado que a menudo se nos pide que ingresemos nuestras contraseñas en muchos entornos y lugares diferentes, algunos de los cuales no siempre controlamos, es mi opinión que tener buenos horarios de cambio de contraseña es una política que debe implementarse y es una política de pares para fortalecer. .
Hay demasiadas posibilidades de que una vez se ingrese una contraseña en un entorno comprometido y se capture, o (como lo veo a menudo), se le da una contraseña a un administrador (para un propósito momentáneo, pero la mantienen). para realizar una tarea mientras alguien está de viaje… o alguna otra razón por el estilo. Sin calendarios de cambio de contraseña vigentes, no tiene forma de volver a establecer el riesgo asociado con estos eventos falsos y aleatorios.
Recuerda difundir este enunciado si te valió la pena.