[10/04/2021] Elegir la contraseña perfecta se reduce a una batalla entre dos prioridades que compiten entre sí: crear contraseñas seguras que sean largas y únicas, y crear unas que pueda recordar. Quizá piense: "¡Ya tengo más contraseñas de las que necesito! Llevo años creando contraseñas.Pero con el aumento de las violaciones de las contraseñas, y con más contraseñas expuestas que están vinculadas a los nombres de usuario, una estrategia de contraseñas sólida es cada vez más esencial.
Empezaremos con lo más básico: las mejores formas de almacenar contraseñas y cómo evitar el uso de contraseñas populares y fáciles de adivinar. A continuación, nos adentraremos en lo más divertido: estrategias para elegir contraseñas complejas y memorables que tengan una buena oportunidad de sobrevivir a una violación de la contraseña, de modo que tenga tiempo de cambiarla.
¿Por qué recordar una contraseña cuando puede guardarla? Ya puede guardar las contraseñas de forma gratuita en los principales navegadores web y en Microsoft Edge. Es fácil e incluso tentador ir por este camino, especialmente cuando el navegador ve que introduce las contraseñas y le invita a guardarla.
Mi colega Brad Chacos, en cambio, sostiene que un gestor de contraseñas es mejor. Lo reconozco: Los gestores de contraseñas son la herramienta más poderosa: almacenan sus contraseñas en una bóveda encriptada, y los mejores gestores de contraseñas también funcionan en su PC y en su teléfono. Por eso le advertimos cuando LastPass cambió su nivel gratuito para permitir solo un tipo de dispositivo.
Los gestores de contraseñas y los navegadores siguen necesitando una contraseña maestra que desbloquee las contraseñas almacenadas en su interior. (Microsoft utiliza su contraseña de Windows para almacenar las contraseñas dentro de Edge, mientras que Google utiliza la contraseña que ha asociado a Gmail). Incluso si solo tienes esa contraseña, tiene que ser una buena.
¿Cuán vulnerable es mi contraseña?
Le sorprendería la rapidez con la que se pueden descifrar las contraseñas más sencillas, así como los meses y años que se tarda en descifrar las más complejas. Las brechas exponen estas contraseñas en forma de hash; cualquier persona con acceso puede intentar adivinar su contraseña, utilizando la potencia de la computadora para intentar miles de millones de conjeturas por segundo. Como muestra el siguiente gráfico (desarrollado por la empresa profesional de descifrado de contraseñas Terahash), necesitará al menos diez caracteres en su contraseña para que sea segura, y más larga es siempre mejor.
Empresas como Terahash pueden combinar varios cientos de GPU para crear potentes soluciones de descifrado de contraseñas que pueden descifrar contraseñas cortas al instante. Este gráfico ilustra cómo el simple hecho de añadir unos pocos caracteres más a una contraseña, puede hacer que el tiempo necesario para descifrarla sea casi imposible, incluso con varias GPU.
Tiene algunas protecciones. A menos que un atacante le busque específicamente a usted, una violación masiva de contraseñas sigue ofreciéndole el anonimato de ser solo uno de los muchos objetivos potenciales. (Sin embargo, si una contraseña ha sido asociada a su nombre de usuario anteriormente, es mucho más vulnerable).
Un atacante también tiene que adivinar la totalidad de su contraseña, lo que no es poca cosa. Los piratas informáticos pueden utilizar ataques de diccionario, probando palabras comunes y contraseñas conocidas que han sido vulneradas anteriormente. Pueden utilizar máscaras, reglas y "tablas arco iris" generadas por procedimientos que pueden facilitar aún más el descifrado de contraseñas por fuerza bruta.
Sin embargo, los sitios web y los servicios están (generalmente) de su lado. Intente introducir una contraseña incorrecta en su sitio bancario demasiadas veces: al final se bloqueará y se verá obligado a autenticarse con aún más información. La autenticación de dos factores (2FA) puede frustrar a un atacante incluso si conoce su contraseña. le recomendamos encarecidamente que utilices la 2FA siempre que esté disponible.
Cuatro reglas para elegir contraseñas más seguras
¿Qué más puede hacer para protegerse? Utilice estas reglas para elegir contraseñas más seguras.
Regla 1: Las contraseñas deben ser lo más largas posible: Si no hace nada más, haga que sus contraseñas sean lo más largas posible. Como ya hemos dicho, la longitud es importante: Incluso una contraseña formada por una frase conocida, como JackandJillwentupthehill, es mucho más segura que bT6$g2 simplemente porque la primera es más larga.
Algunos expertos con los que hemos hablado dicen que puede parar ahí. Sin embargo, nosotros recomendamos que la contraseña sea ligeramente compleja.
Cada carácter de una contraseña puede ser una letra minúscula, una letra mayúscula, un número o un carácter especial como el %. Utilizar solo letras minúsculas ofrece 26 combinaciones por carácter; si se añaden letras mayúsculas, números y un carácter especial, la cifra puede aumentar a 96 combinaciones por carácter. Dado que los descifradores de contraseñas pueden estar programados para intentar adivinarlas utilizando solo caracteres en minúsculas, añadir incluso un número y un carácter especial puede despistarles. Por eso, los bancos imponen normas como la de elegir contraseñas con una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales, que tengan una longitud mínima determinada, y que le permitan elegir contraseñas aún más largas para los gestores de contraseñas.
Regla 2: Haga contraseñas únicas para cada sitio o servicio: Si una de sus contraseñas queda expuesta en una filtración y se compara con su nombre de usuario, los hackers pueden utilizar esa información para probar el mismo nombre de usuario y contraseña en otros servicios. Por eso es fundamental utilizar contraseñas únicas, para que el daño se limite a un solo servicio.
Un gestor de contraseñas generará automáticamente contraseñas únicas para todos los sitios y servicios que utilices, resolviendo este problema por usted.
Regla 3: Una contraseña es inútil si no se puede recordar: Claro que puede pedir que se restablezca la contraseña, pero con las contraseñas realmente importantes se arriesga a tener que pasar por un largo proceso para demostrar su identidad. O bien necesita una contraseña memorable, o bien una que sepa encontrar. (Más adelante hablaremos de ello).
Lo bueno de utilizar un gestor de contraseñas es que solo necesita una contraseña larga. Si gestiona varias contraseñas, tendrá que adaptarlas a la longitud de la contraseña y a las condiciones que impone cada sitio, y eso significa más contraseñas que recordar.
Por desgracia, hay una cuarta regla:
Regla 4: Una contraseña solo es perfecta hasta que deja de serlo: Una contraseña comprometida está muerta para usted. Una vez que se entere de la existencia de una brecha, cambie su contraseña tan pronto como pueda.
Incluso si no se ha producido una infracción, si una contraseña no se ha actualizado en varios años, podría dar a un atacante una forma de entrar en su vida digital. No se lo permita. Actualice las contraseñas con frecuencia para ir un paso por delante.
Seis estrategias para crear contraseñas más seguras
Ahora que sabe lo que requieren las contraseñas seguras, vamos a discutir algunas estrategias posibles para crearlas. Empezaremos con una estrategia de contraseña básica, y añadiremos complejidad a medida que avancemos.
Estrategia 1: La frase de contraseña: Para muchos, una excelente estrategia de inicio de contraseña es una frase de paso: alguna combinación de palabras o números que sea larga y se le quede grabada en la cabeza. Puede ser un dicho o una cita favorita, o una cadena de palabras que signifiquen algo para usted, como sus cinco mejores sabores de helado.
Las frases de paso suelen incluir tanto letras mayúsculas como caracteres especiales. Las que incluyen números añaden aún más complejidad.
Fresa1060PardoyAliaga
Un argumento para no utilizar una frase de contraseña común por sí sola es que realmente no sabe lo que un cracker tiene en su bolsa de trucos. En un ataque de diccionario podrían utilizarse frases muy populares, así como pasajes de la Biblia, por ejemplo.
Estrategia 2: Idiomas extranjeros: Si un atacante utiliza un diccionario, puede probar primero con frases en inglés. Mezclar y combinar idiomas no hace daño, y puede añadir complejidad: Qu'est-cequec'estBigMac,otaku? le da una idea de las posibilidades.
Estrategia 3: Poesía o historia: Si el objetivo es una contraseña fácil de memorizar, la poesía es una gran fuente de inspiración. Los pasajes del poema "Jabberwocky" de Lewis Carroll, por ejemplo, o los libros del Dr. Seuss, contienen palabras sin sentido. Su contraseña puede ser un verso o dos de cualquier poema, con una barra entre líneas para añadir esa complejidad de caracteres especiales. Y si saca sus ejemplares de los Cuentos de Canterbury o Beowulf, para añadir complejidad al inglés medio o al inglés antiguo a su frase de contraseña, se lleva puntos.
Estrategia 4: No utilice nada que pueda encontrar en Facebook: Uno de los trabajos conceptuales más interesantes sobre la vulneración de contraseñas que he leído es el de Ding Wang, de la Universidad de Pekín, y otros, en el que se analizaba cómo el mero hecho de conocer algunos datos básicos sobre una persona -nombre, sexo, fecha de nacimiento y número de teléfono- aumentaba drásticamente las probabilidades de que sus algoritmos pudieran adivinar la contraseña de un usuario, hasta alcanzar una tasa de éxito del 73% frente a las vulneraciones del mundo real. (Esa tasa utilizó una contraseña diferente, filtrada en otro sitio, y algunos datos personales).
¿La respuesta? Asuma que lo que dice en línea en Facebook, Twitter e Instagram será utilizado en su contra.
¿Significa eso que no puede usar su vida personal como contraseña? Por supuesto que no. Utilice simplemente información que conozca, pero que los demás no conozcan. No utilice los nombres de los miembros de su familia o de sus mascotas, pero los nombres de los hijos o de las mascotas de sus vecinos podrían funcionar.
Estrategia 5: Mezcla: Un estudio del 2013 sobre el descifrado de contraseñas realizado por Ars Technica reveló que "en general, las letras mayúsculas van al principio, las minúsculas van en el medio y los símbolos y números van al final", incluyendo "sufijos" de múltiples letras y números aleatorios unidos a palabras más comunes.
Así que a mezclar. 2bornot2b, thattisthequestion no incluye una letra mayúscula, pero juega un poco con la famosa frase de Shakespeare. Solo recuerde el objetivo final: una contraseña larga es la más fuerte.
El tecnólogo de seguridad Bruce Schneier tiene un esquema similar, incluso más complejo, en el que toma una frase y la abstrae. "¿Quién es el líder de la banda que está hecha para usted y para mí?" se convierte en "W'sTLotbW'smade4u&me?". "Si quiere que su contraseña sea difícil de adivinar, debe elegir algo que este proceso no pueda adivinar", escribió Schneier.
Una estrategia más antigua que algunos conocen es el "l33t-speak", donde los números pueden sustituir a las letras. Sin embargo, los descifradores de contraseñas pueden ser programados para ello, por lo que ya no es necesariamente una estrategia segura.
Estrategia 6: El mundo es su contraseña: Elegir contraseñas que tengan sentido puede ser tan tonto como la frase con la que saludaba su profesor de educación física, o tan repetitivo como el cartel que ve cada día anunciando la salida de la autopista hacia su casa.
Elija un título de la estantería, cuanto más extraño, mejor. ¿A quién se le ocurre un libro de cocina titulado "Doce meses de sopas de monasterio”?
Incluso puede utilizar un libro como fuente de su contraseña, y luego guardar el recordatorio de la misma en su cartera o bolso. Si escribo "Página 69, línea 2" en un trozo de papel y lo meto en mi cartera, un atacante necesita robar mi cartera; saber qué significa el mensaje; saber a qué documento o libro me refiero; tener acceso a una copia idéntica a la mía; y saber a qué palabras me refiero.
¿Debe escribir sus contraseñas?
Anotar las contraseñas parece la cosa más estúpida que se puede hacer. Que sea realmente una estupidez depende de la situación.
Escribir sus contraseñas a mano, en un piso compartido con compañeros de piso en los que no confía necesariamente, parece una muy mala idea. Del mismo modo, una nota adhesiva con su contraseña de Windows nunca debería dejarse pegada a la PC que utiliza en la oficina.
En una casa que comparte con la familia o con personas de confianza, el argumento para anotar y almacenar sus contraseñas en algún lugar se vuelve más convincente. Guardar una contraseña maestra en una caja de seguridad, por ejemplo, podría permitir a su cónyuge acceder a sus cuentas online en caso de que falleciera.
Un futuro sin contraseñas
Las contraseñas son cada vez menos importantes. Ya estamos avanzando hacia un futuro en el que nuestra cara, nuestra huella dactilar, nuestro teléfono o alguna combinación de las tres cosas proporcionen las claves que desbloquean nuestra PC, nuestro correo electrónico y nuestro sitio bancario. Por desgracia, ninguna de estas alternativas es aún universal. Mientras sigamos con las contraseñas, todo lo que podamos hacer para que sean más difíciles de descifrar ayudará a mantener a raya a los hackers.
Basado en el artículo de Mark Hachman (PCWorld) y editado por CIO Perú
Puede ver también: