Comienza Contenido
  • Lo lees en 11 min
  • Archivado en Usar Internet
  • Escrito por Cesáreo hace 7 años y 11 meses (06 May 2016 01:23)
La Llave de la Policía

Para usar servicios web, además de escoger un nombre de usuario, hay que escoger una contraseña (clave/password/PIN [1]). Hoy en día utilizamos contraseñas para todo: sistemas operativos, cajeros automáticos, servicios web, teléfonos, etc. Lo habitual es que sea un conjunto de números y caracteres sencillos [2] :

  • difícil de adivinar
  • y fácil de recordar

En realidad es un equilibrio entre la facilidad de uso y la seguridad que proporciona (The Usability of Passwords). Y aunque son vulnerables y previsibles aquí te cuento algunas recomendaciones para escoger una buena contraseña.

Contraseñas Vulnerables

Es (relativamente) fácil adivinar una contraseña sobre todo si se tiene acceso a la lista de usuarios y contraseñas. Primero hay que robar la base de datos y luego probar a adivinar (tipicamente por fuerza bruta). Es decir, pruebas con todas las combinaciones posibles hasta que encuentres la adecuada. Adivinar 4 números es más fácil que adivinar combinaciones de 4 letras (hay más letras posibles qué números), pero con un ordenador potente en realidad encontrar la combinación es sólo cuestión de tiempo.

Y sí, se ha hecho muchas veces. Como dice Bruce Schneier (Choosing Secure) el problema no es la contraseña, sino el sistema que la maneja. O lo más débil de los dos. No es lo mismo un ataque on-line (el atacante tiene generalmente 3 intentos) que off-line (puede intentarlo infinitas veces). El riesgo es que te roben tu identidad (usuario/contraseña) pero hay que vivir con ese riesgo y aprender a gestionarlo. Sin paranoias.

Si eres el objetivo [3] y alguien quiere de verdad conseguir tu usuario y contraseña lo mejor es que te asesores bien. La buena noticia es que es difícil que seas un objetivo, la mala es que todos lo somos para algo. Pero lo primero que tienes que entender es que todas las contraseñas son vulnerables.

Si quieres probar cuanto de fuerte es una contraseña puedes probar (Password Meter) cual es su fortaleza (Brute Force Attack)y eso va a depender del número y tipo de caracteres. Pero tampoco sirve de mucho, simplemente es un medidor sencillo de lo difícil que es adivinar la combinación pero no de que sea realmente fuerte. Es más bien un medidor de duración (lo que tardarías en probar todas la combinaciones) más que la fortaleza real (pero algo es algo).

Contraseñas Previsibles

Con los datos de algunos ataques se ha podido hacer un perfil de las contraseñas que las personas utilizan. Veamos algunos ejemplos.

  • Robo en MySpace en 2006 sobre 34.000 registros, aunque se robaron más (Statistics). Se podría decir que una contraseña media tiene 6 caracteres, números y letras y suele ser clave, clave1, myspace1, myspace o abc123
  • Robo en Gawker en 2010 sobre el 20% del millón de registros robados (Statistics). Y dice más o menos lo mismo, las contraseñas más habituales son 123456, clave, 12345678, lifehack, qwerty y abc1234.
  • Robo en Hotmail en 2009 sobre 10 mil registros (Statistics). Sobre datos en español pero la conclusión es la misma. Las más habituales son 123456, 123456789, alejandra, 111111, alejandro

En definitiva, que somos bastante previsibles[4] y buscamos comodidad (usabilidad) frente a seguridad (que para eso somos personas y no robots). De hecho la parte más débil del sistema suele ser la persona.

Recomendaciones

Vale, vale, vamos a lo práctico. Para escoger una buena constraseña se me ocurren dos recomendaciones (Choose and Remember Great Passwords):

  1. Escoge una regla de construcción
  2. y no utilices siempre la misma contraseña

Una regla típica de construcción es usar frases para construir la contraseña. Lo más fácil es utilizar la primera letra, pero hay múltiples variaciones. Por ejemplo de la frase Lo leí en un artículo de cesáreo tendrías la contraseña lleuadc, y si lo complicas un poquito, intercambias minúsculas y mayúsculas y escoges LlEuAdC, y así sucesivamente. Fácil de recordar y difícil de adivinar.

Y para utilizar diferentes passwords[5] según el servicio, construyes la constraseña base[6] y añades las palabras que te interesen. En realidad es incluir en la regla de construcción el servicio que utilizas. Un ejemplo (muy simple) sería que la frase base sea Esta es La contraseña, es decir EeLc y añadirle la primera letra[7] del servicio a utilizar, así para gmail sería EeLcDg o para yahoo EeLcDy. Es decir EeLcDy sería Esta es La contraseña De yahoo. ¿Fácil no?

Y nada más, tenemos que vivir con sistemas de identificación y eso implica usar usuario y contraseña (u otros mecanismos de firma electrónica). Pero al menos espero que tus contraseñas sean fáciles de recordar y difíciles de adivinar. El resto no depende de tí, sino del sistema que utilices.


Notas

Actualizado del original

[1]. En español contraseña viene de los centinelas, que pedían algo que identificara a la persona. Era aquello de "santo y seña". En inglés se habla de pass-word (palabra de paso) o pass-code (código de paso) o pass-phrase (frase de paso). También se habla de PIN (Personal Identification Number) cuando la constraseña son números (por ejemplo con las tarjetas). En realidad la idea es la misma.

[2]. Lo mejor es utilizar caracteres ASCII, es decir, los habituales del inglés. Nada de eñes o caracteres acentuados o caracteres raros porque a lo mejor el software no lo reconoce bien (¿no te ha pasado alguna vez en el correo electrónico?) o el teclado no responde bien (no está bien configurado bien el idioma).

[3].. De hecho una forma fácil de robar la contraseña es hacer pasar por el usuario y decirle que nos la recuerde (función recuperar contraseña). Y también la más grave y que funciona son los ataques de phising

[4]. Aunque es cierto que somos muy previsibles, hay que tener en cuenta que estas contraseñas son las que se han conseguido descifrar. Es decir, el análisis es sobre las constraseñas descifradas, no sobre todas las robadas.

[5]. Una opción útil para guardar todas estas constraseñas es utilizar el software Password Safe (en inglés) o también confiar en los gestores de contraseñas de los navegadores (pero que tienen sus riesgos)

[6]. A esta técnica se le suele llama poner sal (salt en inglés) porque permite complicar el descifrado de forma exponencial

[7]. En realidad le añadí la palabra De, porque me es más fácil recordar Esta es la clave DE Yahoo o Esta es la Clave DEL trabajo

Sección del Artículo
Blog 1 de 1.000
Sección » Usar Internet
Sección del Artículo
Usa la firma electrónica (tu vida será más fácil)
Aunque lo había hecho antes, en los últimos meses he tenido que * firmar algunos documentos a distancia*. Muchas veces (¿porqué no siempre?) necesitamos firmar un documento sin estar ahí (presencialmente). Y lo hice con mi certificado digital (o...

¿Te gustó el artículo?