Pregunta para expertos en seguridad informática (y cualquiera que sepa):
Una contraseña de 5 caracteres es segura si el sistema de identificación web se bloquea a los 5 intentos, verdad? parecido a lo que ocurre con en el teléfono móvil, por ejemplo.
Entiendo que con 5 caracteres tienes una probabilidad de 5 entre 99 999 mientras que con 10 caracteres sería de 5 entre 9 999 999 999, pero al final el porcentaje es tan tan bajo que tampoco importa.
Se me escapa algo?
@JesusDQ aparte de lo demás, ten en cuenta que si cualquiera puede acceder al login, si alguien sabe tu nombre de usuario, puede bloquearte la cuenta indefinidamente sin esfuerzo. (Hay maneras y maneras de gestionar esto, pero no es trivial.)
@yo
Sí, ese es un buen punto y es algo que sí he valorado.
La "solución" era que los usuarios normales pudieran poner contraseñas simples a cambio de ser bloqueados a los cinco intentos fallidos, mientras el admin no tiene límite de intentos pero sí una contraseña de veinte caracteres de todo tipo.
@JesusDQ si estás diseñando un sistema, depende mucho de tus requisitos, pero hay unas cuantas cosas de moda:
- Pasar de contraseñas y enviar links de login por email
- Passkeys (soy anti-passkeys si no tienes al administrador a mano)
- Logins federados (e.g. haz login con Google)
- Cosas esotéricas (certificados, acceso por IP, etc.)
@yo
Nah, no llego a tanto. Solamente tengo un servidor de streaming con unas cuantas configuraciones que puedo toquetear.
Personalmente odio los enlaces que envían por email. El sistema está bien, pero algunos servicios (Spotify o Renfe, por ejemplo) comienza a usarlo por defecto y yo quiero poner mi contraseña y mi código 2fa de la app.
@JesusDQ bueno, Spotify no sé cómo va, pero lo de Renfe es 2FA. Yo lo que digo es una alternativa para la gente que no se apaña con contraseñas; pones tu email (y nada más) y recibes un enlace que te mete en la aplicación sin nada más.
Para la gente que sí se apaña con contraseñas, gestor de contraseñas y andando... (IMHO, claro)
