Escoger una Contraseña

Lo Último
Tecnología »
Proyectos »
Viajar »
1. Bolivia
2. Colombia
3. Uruguay
4. Aviones
Personal »

Para usar servicios web, además de escoger un nombre de usuario, hay que escoger una contraseña (clave/password/PIN [1]). Hoy en día utilizamos contraseñas para todo: sistemas operativos, cajeros automáticos, servicios web, etc. Lo habitual es que sea un conjunto de números y caracteres sencillos [2] difícil de adivinar y fácil de recordar (The Usability of Passwords). Aunque son vulnerables y previsibles aquí te cuento algunas recomendaciones para escoger una buena contraseña.

Contraseñas Vulnerables

Es (relativamente) fácil adivinar una contraseña sobre todo si se tiene acceso a la lista de usuarios y contraseñas. Es decir, primero hay que robar la base de datos y luego probar a adivinar (tipicamente por fuerza bruta). Y sí, se ha hecho muchas veces. Como dice Bruce Scheneier (Choosing Secure) el problema no es la contraseña, sino el sistema que la maneja (o lo más débil de los dos). No es lo mismo un ataque on-line (el atacante tiene generalmente 3 intentos) que off-line (puede intentarlo infinitas veces). Es importante que entiendas que el riesgo es que te roben tu identidad (usuario/contraseña) pero hay que vivir con ese riesgo

Si eres el objetivo [3] y alguien quiere de verdad verdad conseguir tu usuario y contraseña lo mejor es que te asesores bien. La buena noticia es que es difícil que seas un objetivo, la mala es que todos lo somos para algo. Pero entiende que todas las contraseñas son vulnerables.

Si quieres probar cuanto de fuerte es una contraseña puedes probar (Password Meter) cual es su fortaleza (Brute Force Attack y eso va a depender del número y tipo de caracteres.

Contraseñas Previsibles

Por ejemplo, con los datos de algunos ataques se ha podido hacer un perfil de las contraseñas que las personas utilizan. Veámos algunos ejemplos.

Robo en MySpace en 2006 sobre 34.000 registros, aunque se robaron más (Statistics). Se podría decir que una contraseña media tiene 6 caracteres, números y letras y suele ser clave, clave1, myspace1, myspace o abc123

Robo en Gawker en 2010 sobre el 20% del millón de registros robados (Statistics). Y dice más o menos lo mismo, las contraseñas más habituales son 123456, clave, 12345678, lifehack, qwerty y abc1234.

Robo en Hotmail en 2009 sobre 10 mil registros (Statistics). Sobre datos en español pero la conclusión es la misma. Las más habituales son 123456, 123456789, alejandra, 111111, alejandro

En definitiva, que somos bastante previsibles[4] y buscamos comodidad (usabilidad) frente a seguridad (que para eso somos personas humanas)

Recomendaciones

Vale, vale, vamos a lo práctico. Para escoger una buena constraseña se me ocurren dos recomendaciones (Choose and Remember Great Passwords): escoger una regla de construcción y no utilizar siempre la misma

Una regla típica de construcción es usar frases para construir la contraseña. Lo más fácil es utilizar la primera letra, pero hay múltiples variaciones. Por ejemplo de la frase Lo leí en un artículo de cesáreo tendrías la contraseña lleuadc, y si lo complicas un poquito, intercambias minúsculas y mayúsculas y escoges LlEuAdC, y así sucesivamente.

Y para utilizar diferentes passwords[5] según el servicio, construyes la constraseña base[6] y añades las palabras que te interesen. En realidad es incluir en la regla de construcción el servicio que utilizas. Un ejemplo (muy simple) sería que la frase base sea Esta es La contraseña, es decir y añadirle la primera letra[7] del servicio a utilizar, así para gmail sería EeLcDg o para yahoo EeLcDy). Es decir EeLcDy sería Esta es La contraseña De yahoo. ¿Fácil no?

Pues nada más, espero que tus contraseñas sean fáciles de recordar y difíciles de adivinar, el resto no depende de tí.

Notas

[1]. En español contraseña viene de los centinelas, que pedían algo que identificara a la persona. Era aquello de "santo y seña". En inglés se habla de pass-word (palabra de paso) o pass-code (código de paso) o pass-phrase (frase de paso). También se habla de PIN (Personal Identification Number) cuando la constraseña son números (por ejemplo con las tarjetas). En realidad la idea es la misma.

[2]. Lo mejor es utilizar caracteres ASCII, es decir, los habituales del inglés. Nada de eñes o caracteres acentuados o caracteres raros porque a lo mejor el software no lo reconoce bien (¿no te ha pasado alguna vez en el correo electrónico?) o el teclado no responde bien (no está bien configurado bien el idioma).

[3]. De hecho una forma fácil de robar la contraseña es hacer pasar por el usuario y decirle que nos la recuerde (función recuperar contraseña). Y también la más grave y que funciona son los ataques de phising

[4]. Aunque es cierto que somos muy previsibles, hay que tener en cuenta que estas contraseñas son las que se han conseguido descifrar. Es decir, el análisis es sobre las constraseñas descifradas, no sobre todas las robadas.

[5]. Una opción útil para guardar todas estas constraseñas es utilizar el software Password Safe (en inglés) o también confiar en los gestores de contraseñas de los navegadores (pero que tienen sus riesgos)

[6]. A esta técnica se le suele llama poner sal (salt en inglés) porque permite complicar el descifrado de forma exponencial

[7]. En realidad le añadí la palabra De, porque me es más fácil recordar Esta es la clave DE Yahoo o Esta es la Clave DEL trabajo

Escrito por Cesáreo hace 1 año y 291 días | Archivado en Usar Internet

Escoger una Contraseña fue publicado por primera vez aquí en Opiniones Interesantes (1 de 1.000) y archivado en la sección Usar Internet

¿Te gustó el artículo?

Compártelo

O, casi mejor, invítame a un café
y sigo escribiendo artículos gratuitos

Suscríbete

Enviar al Email
Cada artículo llegará a tu email
Boletines Mensuales
Te llegará un boletín mensual resumen
Canal RSS
Para suscribirte al Canal RSS