Hace un tiempo que estoy pensando en contraseñas y su robustez. A ver, ¿Cómo elegimos una contraseña? Por lo que he visto, es bastante frecuente emplear una palabra cualquiera, que signifique algo para el usuario (zapatillas, berlín, homero,..). Hay quien dá una vuelta más al asunto y le agrega un número (corbata27, alabastro23,..) y con mucha frecuencia se sustituyen las vocales por números que se asemejan en grafía de manera que A=4, E=3, I=1, O=0(4v3f3n1x, p4ssw0rd,…) para así hacerla más complicada.
Sin embargo en los estudios realizados, las contraseñas más recurridas son del tipo 1234, 123456 o 12345678,… lo que supone todo un hito en (in)seguridad.
Otro gran error que se comete es tener para todo la misma contraseña. «Que si no, no me acuerdo…» es la excusa más usual.
Otra gente, sin embargo, tiene dos o tres contraseñas y las pone según la importancia que tenga el servicio. De este modo las cosas «menos importantes» como el mail que se usa para los amigos, el instagram y el facebook tienen una contraseña y se busca otra diferente para el correo de trabajo, el banco y otras cosas con datos de carácter más privado. Así si alguien conoce las contraseñas menos importantes no accederá a las más importantes. No parece mala idea…
Pero ¿Qué puede fallar en una contraseña? ¿Por qué una contraseña es mala o buena?
Para despejar estas dudas debemos saber cómo alguien con malas intenciones podría llegar a averiguar una contraseña. (Si hay algún gurú de la seguridad leyendo, que no espere más que algún consejo, no hay grandes métodos descritos en este post). El método más usual es que el usuario tenga un descuido y la comparta con alguien o alguien la vea. Por ello la opción de usar una palabra común es muy inseguro ya que es fácil de memorizar de un vistazo. Si la palabra contiene un número es más difícil (p. ej. «pato123«) pero tampoco requiere un gran esfuerzo de memorización.
El caso de usar la substitución de vocales por números (p.ej. «p4t0») hace más ilegible la palabra, pero es un método de «encriptación» demasiado extendido como para confiar en que no se memorice con facilidad.
Luego también está el método prueba-error que consiste en que quien quiera entrar use un nombre de usuario (cosa muy fácil de obtener de historiales de navegación, cookies, etc.) y vaya probando palabras o combinaciones de letras hasta dar con la adecuada. Para esta tarea de prueba-error hay métodos automáticos que hacen que en un rato (más corto o largo en función del método que use y la complejidad de contraseña) se pueda obtener el acceso. Para librarse (en gran medida) de este método de ataque, por tanto, sería recomendable usar una contraseña lo más larga posible, mediante varias palabras o símbolos, para que se tarde mucho más en encontrar la combinación correcta, provocando en muchos casos que el sistema desista.
Así como para proteger la cuenta de una persona física es mucho más efectivo usar una contraseña como «p4t0123«, para protegerla de un posible ataque de diccionario automatizado es mucho más efectiva «micarromelorobaron» ya que el sistema en el primer caso debe averiguar 7 letras mientras que en el segundo caso debe averiguar 18, con el añadido de que a cada caracter que se suma a la contraseña las posibles combinaciones se incrementan exponencialmente.
Sí, es cierto, en muchos servicios cuando se prueban muchas contraseñas en un mismo usuario, este se bloquea. En estos casos, si no importa en qué cuenta entrar sino que únicamente se quiere entrar en alguna, se usa la suprayectiva, que es un método que usa de manera fija las contraseñas más comunes y para cada contraseña va probando diferentes usuarios. Ante este método, tener una contraseña del tipo «12345678» es un error garrafal.
Entonces, ¿Qué contraseña pongo? Pues con lo que sabemos hasta ahora debería ser una combinación de estas dos protecciones, creando una contraseña del tipo m1c4rr0m3l0r0b4r0n, aunque dado que el método de substitución de vocales es muy popular, se podría agregar una variante del tipo mcrrmlrbn14030040 (consonantes al principio y vocales al final) o m11c4rr0m3l0r0b4r00n (doblando la primera y última vocal) o M1C4rr0M3L0R0b4r0n (iniciales en mayúsculas)
Con esto tenemos una contraseña bien segura y aquí podría finalizar el post, peeeero no lo haré. Voy a poner otro supósito (que son 2, pero bueno).
(Ahora empieza el modo paranoico…)
Pongamos que:
a) Por un tema de imperiosa necesidad le tenemos que dar la contraseña a alguien para acceder a algun servicio
b) Nos registramos en un servicio que, sin saberlo, tiene malos fines o que es pirateado pudiendo revelar contraseñas.
En estos dos casos alguien puede usar la contraseña para probar en otros servicios como cuentas de correo, bancarias, de compañías de teléfono,… pudiendo obtener datos y cambiarlos. Por este motivo es por el que se recomienda tener diferente contraseña para cada servicio al que nos hemos registrado.
«Que si no, no me acuerdo…»
Evidente. Podemos estar registrados en numerosos servicios con usuario y contraseña, que si se cuentan pueden ser más de 20 con facilidad, por lo que se deberían recordar más de 20 contraseñas complejas como las que hemos descrito anteriormente. Inviable.
Por ello no es mala idea la descrita al principio del artículo de hacer grupos según la importancia de los servicios y tener 2 o 3 contraseñas.
Sin embargo se pueden tener las contraseñas diferentes mediante un poco de imaginación y sin mucho esfuerzo. Esto es haciendo una parte de la contraseña fija (para tener una contraseña larga) y una parte variable, en función del servicio al que nos conectemos.
Pongamos que la parte fija es la contraseña ‘M1C4rr0M3L0R0b4r0n’. A esta le podemos agregar una parte variable que puede ser la inicial en mayúscula del servicio al que nos conectamos como la G de Google de manera que nos quedaría ‘M1C4rr0M3L0R0b4r0nG’que será diferente de ‘M1C4rr0M3L0R0b4r0nF’ de Facebook. A partir de aquí cada uno puede elegir combinaciones para la parte variable, como la primera y última letra (‘M1C4rr0M3L0R0b4r0nGe’ y ‘M1C4rr0M3L0R0b4r0nFk’ respectivamente), la última y la primera, el nombre de usuario o lo que se te ocurra.
A modo de conclusión-resumen se podría decir que usemos las contraseñas con razocinio, sabiendo qué es lo que estamos protegiendo con ellas y actuemos en consecuencia.
Tal como dijo Gene Spafford «El único sistema que es realmente seguro es aquel que está apagado, desconectado, dentro de una caja fuerte de titanio, enterrado en un bunker de hormigón, rodeado de gas tóxico, y cuidado por guardias armados y muy bien pagados. Y aún así, no apostaría mi vida a que es seguro» así que poner una contraseña tampoco es un tema que deba obsesionarnos, pero sí intentar que no sea de fácil acceso ni por máquinas ni por humanos.
A modo resumen-resumen: Pensar dos veces antes de poner la contraseña 12345678
EDITADO: vía Barrapunto leo que McAfeee ha publicado una herramienta online para saber cuanto de segura es una contraseña, calculando cuánto tiempo necesitaría un hacker para acceder a la cuenta. Probando el anterior ejemplo M1C4rr0M3L0R0b4r0nF nos avisa de que «It would take about 1219418763 years to crack your password.», cosa que parece indicar que es bastante buena… 😉
