Hoy en día es indispensable emplear contraseñas seguras. Aunque la seguridad absoluta no existe en Internet, debemos hacer todo lo posible por alcanzar un nivel razonable.
Resulta sorprendente que en el top 3 de contraseñas más usadas -según SplashData- figuren «123456», «password» y «123456789».
Evidentemente, cualquier malintencionado que quiera acceder a nuestros equipos o servicios probará alguna de ellas (o del resto de la lista).
También son frecuentes las contraseñas inspiradas en datos del usuario. Esto, aunque requiere tener algo del mismo, sigue siendo muy inseguro. Por tanto, no son contraseñas seguras el nombre (tampoco el de una persona cercana), la fecha de nacimiento, etc. La combinación de ambas también es algo frecuente. Por tanto, debe descartarse.
Con la intención de hacer más seguras las contraseñas, muchas personas sustituyen algunas letras por números de aspecto similar, lo que se denomina escritura Leet. Es cierto que añade número y, por tanto, aumente la seguridad. Sin embargo, es una técnica tan frecuente que aporta poca seguridad.
¿Qué características tienen las contraseñas seguras?
Las contraseñas seguras se caracterizan por:
- Ser largas (10 o más caracteres)
- Mayúsculas y minúsculas
- Números
- Otros caracteres
- No evidentes
Contraseñas largas
Entre las muchas formas que los crackers (hackers malintencionados) emplean para averiguar las contraseñas destaca la fuerza bruta. Esto es probar todas las combinaciones posibles. O la fuerza bruta dirigida (algo parecido a lo anterior, pero empezando por las más probables)
Veámoslo con un ejemplo simple. Si tenemos una clave numérica de un solo dígito, habrá diez posibles contraseñas. Por tanto, para encontrarla tendrá que hacer -como máximo- diez intentos. Con solo añadir un segundo dígito, ya habrá 100 posibilidades, pero si se añade un tercero, 1000.
Como ves, el aumento de la seguridad es exponencial. En el ejemplo visto, 10n, donde n es el número de caracteres.
Cada día los procesadores son más rápidos y tienen capacidad para probar un mayor número de contraseñas por segundo. Por ello es importante emplear claves largas. Así, los atacantes no tendrán tiempo para acertarla en esta vida.
Mayusculas y minúsculas en las contraseñas
Con ello duplicamos el juego de caracteres, es decir, en un ejemplo como el anterior con 10 caracteres, pasaríamos de 10n a 20n.
Contraseñas seguras con números
Combinar números con letras -mayúsculas y minúsculas- aumenta el juego de caracteres, aumentando las posibles contraseñas.
Contraseñas con «otros caracteres»
Este punto es algo más delicado. Añadir otros caracteres aumenta la seguridad por incrementar el número de posibles caracteres. Sin embargo, algunos pueden causar problemas al emplearlas en algunas plataformas. Además, puede darse el caso de que no se encuentren en todos los teclados.
Por ejemplo, si empleamos la apertura de interrogación «¿», tal vez tengamos dificultades si tenemos necesidad de teclear nuestra clave desde un equipo no español.
Esto último puede ser un punto a favor de la seguridad, ya que muchos crackers los excluyen, pero puede complicarnos la vida de una manera innecesaria.
Las contraseñas seguras no son evidentes
El eslogan de tu empresa puede cumplir todas los puntos anteriores. Por ejemplo: «J&L, la web de mi empresa en 72 horas» cumple perfectamente con todas ellas. Sin duda es mejor que «123», pero ¿no es demasiado evidente?
Existen generadores de contraseñas como LatPass o ClaveSegura. A pesar de cumplir las características anteriores, no son fáciles de recordar.
¿Como escojo contraseñas seguras fáciles de recordar?
La última parte de la pregunta es muy importante. La contraseña tiene que ser fácil de recordar. De lo contraria habrá que apuntarla y se corre el riesgo de que alguien tenga acceso a ella.
Escoger una frase fácil de recordar pero que no esté relacionada con la cuenta (por ejemplo esta última: ‘Escoger una frase fácil de recordar pero que no esté relacionada con la cuenta’). Tomar la primera letra de cada palabra (euffdrpqnerclc)
Definir un criterio para cambiar la letra por mayúscula. Ej: si la palabra termina en vocal, mayuscula (eUFfDrpQNercLC)
Definir un criterio similar para cambiar letra por número. Ej: Maúscula después de vocal igual a número de la vocal anterior (eU5fDrpQNercLC)
Definir criterio similar para cambiar letra por signo. Ej: Añadir «_» después del primer número (eU5_fDrpQNercLC)
El truco está en crear reglas intuitivas. Las primeras veces cuesta, pero si al escribir la clave se piensa en lo que significa, se interioriza muy fácilmente.
¿Es suficiente con elegir contraseñas seguras?
Lamentablemente no. Emplear contraseñas seguras es necesario, pero no suficiente para tener un sistema seguro.
Y no me refiero a la existencia de otros agujeros de seguridad. La contraseña, además, ha de custodiarse diligentemente.
Ello implica no apuntarla, o -al menos- no hacerlo en lugares poco seguros. Tampoco se debe compartir con otras personas. No debes usar la misma clave en diferentes sitios. Puedes añadir un prefijo que identifique el lugar, así crearas contraseñas únicas sin tener que memorizar todas ellas.
Además, hay que prestar atención al teclearla para que no pueda ser interceptada.
¿Cómo pueden interceptar mi contraseña?
Hay muchas posibilidades, unas sencillas como que nos vean teclearlas. Otras son algo más complejas, como que exista una cámara que capte lo que introducimos. Los despistes, como teclearlas en un lugar que no la oculte mientras tenemos el equipo conectado a un proyectos son otra vía frecuente de intercepción de contraseñas.
Otra posibilidad es que alguien emplee un keylogger (sistema que capturan lo que tecleamos o pulsamos) contra nosotros. Los hay de dos tipos: Físicos (un aparatito entre el cable de nuestro teclado/raton y el puerto USB, como si fuera un adaptador). También los hay virtuales (programas que capturan la información).
Es difícil luchar contra los keylogger. Aunque nos cercionemos de que no hay ninguno físico, si el equipo no es nuestro, resulta complicado garantizar que no lo haya virtual.
Una buena opción es no teclear la contraseña por orden. Aunque un buen keylogger es capaz de reordenar la escritura, esto no es frecuente.
También existe la posiblidad de que capturen tus credenciales si las introduces en una web falsa (se las estás dando tú mismo) o mediante analizadores de tráfico en webs no cifradas.
La mejor opción si tendremos que escribir nuestra contraseña desde equipos ajenos es usar la verificación en dos factores.
Las contraseñas no son para siempre
Por último quiero recordar que las contraseñas no son para siempre. Por muy segura que sea, alguien puede interceptarla o puede dar la casualidad de que, por fuerza bruta, la averigüen.
Sé que da pereza, pero una contraseña nunca debería usarse durante más de una año.