Hoy se celebró el Día Mundial de la Contraseña, que busca recordar a los usuarios la importancia de crear contraseñas fuertes para sus dispositivos y servicios web. Y es que, pese a la gran cantidad de contraseñas que debemos usar a diario, no muchas personas se toman el trabajo de crear passwords que sean realmente sólidos y seguros. Crear contraseñas fuertes es una tarea a la que debe dedicar tiempo.
Hay muchos artículos que ofrecen recomendaciones sobre cómo crear contraseñas. En esencia, lo que le dicen es que no se deben utilizar palabras que se encuentren en un diccionario, ni nombres propios (y menos si están asociados con su entorno). Además, debe emplear números pero no escribirlos en series (123456), tiene que incluir caracteres especiales (como signos de puntuación o símbolos) y debe usar mayúsculas y minúsculas.
La razón para hacer esto es que con cada juego adicional de caracteres que use en su contraseña usted está obligando a un hacker a incluir un parámetro más en el software que utiliza para romper su password; eso aumenta el tiempo que le toma averiguar su clave.
El libro ‘Perfect Passwords’, de Mark Burnett, explica este punto mediante un ejemplo. Un candado de los que utilizan clave suele tener tres ruedas selectoras y cada una de ellas permite escoger los números del cero al nueve. Eso da un total de 1.000 posibles combinaciones, que no es mucho. Si se construyera un candado que en lugar de utilizar sólo números también incluyera las letras de la A a la Z en cada una de las tres ruedas, el número de posibles combinaciones aumentaría a casi 50 mil.
Con las contraseñas pasa algo similar. Si usted sólo usa letras minúsculas, y encima las emplea para crear palabras que existen en un diccionario, les está facilitando la labor a los delincuentes porque un ‘password cracker’ puede obtener resultados en unos pocos segundos. En cambio, si emplea símbolos, mayúsculas y números (es como aumentar el número de opciones en las ruedas selectoras de un candado), y además genera contraseñas muy largas (eso equivale a no tener solo tres ruedas en el candado, sino muchas más), está disparando el tiempo y el trabajo que les toma.
Cuando un hacker se adueña de una base de datos de contraseñas o de un documento encriptado, es posible que primero intente un ‘ataque de diccionario’ con el password cracker. En este tipo de procedimiento el software trata de adivinar la clave probando con todas las palabras que se encuentran en los diccionarios de varios idiomas. Además, los programas modernos permiten incluir variaciones ligeras de las palabras (por ejemplo, con números al comienzo o al final) y también se valen de listados de las contraseñas más comunes. Los ataques de diccionario toman poco tiempo y, como mucha gente utiliza los mismos passwords, se obtienen buenos resultados.
No debe utilizar palabras que se encuentren en un diccionario, ni nombres propios.
Si esa técnica no es exitosa, el hacker intentará un ‘ataque de fuerza bruta’; en esta modalidad, el software trata de generar todas las combinaciones posibles de contraseñas con el tipo de caracteres que se escogen para el intento. Para reducir el tiempo que le toma al programa producir resultados, los hackers primero probarán con letras y números; no solo es más rápido, sino que la mayoría de las contraseñas únicamente incluye esos dos elementos.
Solo si se trata de un trabajo más elaborado y se dispone de mucho tiempo, se incluirán en los parámetros del software los ataques de fuerza bruta con símbolos y caracteres especiales. Los resultados tardarán mucho más; de hecho, si su contraseña es suficientemente larga y compleja, el password cracker pasará de entregar resultados en horas o días a ofrecerlos en meses o años. De ahí la importancia de incluir esos elementos en las contraseñas.
Cómo construir la contraseña
La meta, entonces, es crear una contraseña larga y compleja, pero sin correr el riesgo de que se le olvide. Para ello se emplean técnicas que le permiten recordar con cierta facilidad contraseñas elaboradas.
Por ejemplo, una contraseña podría estar formada por las primeras letras de cada palabra en un par de líneas de una canción (como una especie de acróstico). Una canción del grupo español ‘El último de la fila’ tiene un pedazo que dice así: “convertidos en paganos, subiremos a algún monte a meditar, a adorar becerros de oro…”. Tomando las primeras letras de cada palabra, eso formaría la siguiente contraseña: cepsaamamaabdo (de 14 caracteres).
Ese es un password completamente ininteligible y es largo. Sin embargo, está formado sólo por letras minúsculas, por lo que debe hacerse más fuerte. Hay muchas opciones para ello, y la idea es que usted cree un sistema propio.
Por ejemplo, uno podría agregar comas en los lugares donde la canción tiene cortes (cep,saamam,aabdo), podría cambiar todas las letras ‘a’ por el símbolo # (cep,s##m#m,##bdo), podría remplazar las letras ‘e’ por el número 1 (c1p,s##m#m,##bdo) y podría poner en mayúsculas las dos letras ‘m’ (c1p,s##M#M,##bdo).
Esta es una contraseña muy fuerte de 16 caracteres, el tipo de password que uno usaría para un programa de encriptación que protege contenido muy relevante o para un documento de Office con cosas privadas.
A un atacante le tomará años romper esta contraseña con un password cracker. Y aun así, pese a su aparente complejidad, es una contraseña que se puede recordar fácilmente. Como usará un par de líneas de una canción que ya se sepa, lo único que debe recordar es qué caracteres cambia o agrega: en este caso, el símbolo # por la letra a, el número 1 por la e, las M en mayúsculas y las comas entre las líneas de la canción.
Cree un sistema propio
El sistema para crear contraseñas debe ser personal, algo que sólo usted conozca, y no tiene que estar atado a canciones; pueden ser frases, partes de libros, etc., pero lo importante es que no sean cosas relacionadas con su entorno o que otra gente sepa sobre usted.
Otra opción para crear contraseñas es usar palabras completas, pero deformándolas con símbolos: por ejemplo, puede emplear dos o tres palabras seguidas, que no estén relacionadas entre sí ni tengan nada que ver con usted (nunca use nombres de familiares, ni el de su mascota, ni la ciudad donde nació, ni su fecha de nacimiento, etc.).
Suponga, por ejemplo, que emplea las palabras ‘absurdo aburrido’, pero luego cambia las letras ‘r’ por un símbolo (/), las letras ‘b’ por un número (8), deja en mayúsculas las letras O y mete una de las palabras entre paréntesis. Quedaría así: a8su/dO(a8u//idO). Eso le da una clave de 17 caracteres que no es fácil averiguar con un ataque de fuerza bruta.
Después de crear la contraseña, escríbala varias veces hasta que se acostumbre a digitarla en el teclado. Al comienzo le costará trabajo, pero en unos días la escribirá rápido. Sin embargo, si ve que algunos de los caracteres que remplazó quedan en lugares muy lejanos del teclado y eso le impide escribirlos de forma fluida, podría cambiarlos por otros. Lo que no debe hacer es caer en lugares comunes: por ejemplo, remplazar las ‘a’ por @ o los ‘3’ por E. Todo el mundo hace eso, y los hackers y su software lo saben.
De esta forma puede crear varias contraseñas, unas más complejas y extensas que otras dependiendo del servicio o la información que quiera proteger. Mark Burnett recomienda en el libro Perfect Passwords algo con lo que no todos los expertos en seguridad estarían de acuerdo: anotar una contraseña nueva y guardarla unos días mientras la memoriza (por supuesto no en un papel pegado a su monitor, sino en un lugar muy seguro, como un documento encriptado en su PC).
Yo no lo haría, pero quizá sí pueda escribir en un documento encriptado pistas que le permitan recordar las claves que no usa tan seguido, sin anotar la contraseña completa. Otra opción es comprar un programa administrador de contraseñas, que guarda e introduce sus diversos passwords cuando se necesitan (estos se protegen bajo una sola contraseña maestra).
Es evidente que las contraseñas mencionadas en los ejemplos anteriores no son tan fáciles de escribir ni recordar como su TeamoMaria (siendo María el nombre de su esposa, su amante o su hija), pero puede estar seguro de que usar esta última contraseña es como dispararse en un pie y no lo protegerá gran cosa el día que alguien quiera entrar a sus cuentas o abrir sus documentos privados.
Cambie las contraseñas y no use la misma
Cuando uno crea contraseñas fuertes, fáciles de recordar y que además se escriben con fluidez, puede empezar a sentir apego por ellas. Sin embargo, otra recomendación importante es precisamente que cada cierto tiempo cambie esas claves que con tanto juicio construyó por otras nuevas. Una razón es que uno puede tener contraseñas muy fuertes, pero nunca sabe qué tan seguro es el servicio en donde se utilizan.
Mark Burnett explica que la frecuencia más adecuada para cambiar una contraseña depende de qué tan fuerte sea el password, qué tan importante sea la información que protege con él y qué tan bien protegido esté el sistema que lo almacena.
Una contraseña débil, dice Burnett, no es adecuada ni un mes, mientras que una fuerte se puede mantener varios meses. Por otra parte, que algunas cuentas queden comprometidas puede tener consecuencias devastadoras, mientras que perder otras quizá no sea muy importante. “Algunas cuentas se pueden dejar durante un año sin cambiar la contraseña, pero en otras se debe cambiar cada tres meses”, dice.
Es vital que no caiga en la tentación de utilizar una misma contraseña para todas sus cuentas y servicios. Eso tiene un riesgo grande: que se adueñen de todas sus cuentas con sólo descubrir una clave.
Recomendaciones para crear contraseñas fuertes
– Cree contraseñas de 10 a 15 caracteres hacia arriba. Las de menor tamaño son muy vulnerables.
– No construya sus passwords sólo con números y letras en minúscula. Agrégueles signos de puntuación, símbolos y mayúsculas.
– No utilice palabras que se encuentran en el diccionario (ni en español ni en otros idiomas). Tampoco nombres de familiares u otros datos relacionados con su entorno.
– No use los números de forma obvia. Por ejemplo, el 10 por ciento de las contraseñas terminan con un 1.
– No emplee los símbolos de manera predecible. Las @ como remplazo de la letra ‘a’, los 3 en lugar de la ‘E’ y el 1 en vez de la ‘l’ son lugares comunes que los hackers y su software conocen.
Imagen: iStock
más que una buena contraseña, la mejor recomendación es el Login con segundo paso.
El segundo factor de autenticación es un control adicional, y normalmente es deseable. Pero siempre hay peros: para empezar, depende del proveedor del servicio y en algunos casos puede no ser una opción. En segunda medida, la elección del segundo factor (frecuentemente una contraseña de un sólo uso) y su implementación pueden ser defectuosas. Por último, si la contraseña escogida es trivial, su valor como primer factor de autenticación es prácticamente nulo.
Las contraseñas son una carga significativa, pero mientras sigan siendo tan críticas en temas de seguridad, más conviene escogerlas y administrarlas con precaución.
Contraseñas complejas, largas, únicas, renovadas con frecuencia (se puede utilizar un gestor de contraseñas). Segundo factor de autenticación.
XD esto de las contraseñas seguras me parece muy lindo, entre mas “segura sea” mas seguro es q la encontraras anotada en un papelito al lado del PC, en una nota dentro del movil o te estarán llamando cada dos por tres a pedirte q la cambies desde la consola de administración jajjajajaja, lo mejor es la confirmación de dos pasos y se acabo.
aun q la identificacion biometria q promete windows hello me parece brutal jejejeje
Yo tengo una contraseña tal como dice la noticia y no necesito ponerla en una nota para recordarla cada ves que la escriba.
una contraseña nada mas? te reto a tener una contraseña de este tipo para cada banco, herramienta, cuenta de correo electrónico… al final como somos flojos solo terminamos con una sola y ni dios esta seguro del lugar donde se digita…
en lo personal le recomiendo a todas las personas q conozco usar su contraseña “fuerte” en sistemas de pagos o bancarios y un correo electronico vinculado a esos mismos sistemas y cambiar la contraseña una vez cada 3 o 4 meses (en lo personal mi estadistica dice q una persona en colombia realiza maximo 3 transacciones por estos medios)
para todo lo demas te creas un par de correos con la contraseña mas simple q tengas y los usas para referenciaslas o vincularlas a todas las tonterias q nos puede ofrecer internet jejejeje
en lo personal tengo 8 correos electronicos, para cada actividad de mi vida amigos, familia, pareja, negocios, trabajos y los 3 restantes son para pruebas de herramientas especificas q salen cada tanto asi en cada correo electronico encuento lo q quiero, todo redireccionado a mi correo de outlook q me muestra las carpetas y adjuntos sin problemas y donde si tengo mi contraseña q aveces ni yo la se pero q la tecleo sin luz jjajajaja ya q mi contraseña al contrario de lo aqui recomendado consiste el la ubicacion de mis mamos y el ritmo de una cacion el cual utilizo para oprimir las teclas, asi puedo teclearla con la luz apagada en un teclado sin retroiluminacion y honestamente solo reconozco q me equivoco por el ruido de cada tecla… si lo se… soy un cochino y terrible friki jajajaja pero si te fijas muy bien tu teclado reproduce un sonido diferente dependiendo del dedo con el q oprimes y la tecla jejejeje