Por qué elegimos malas contraseñas, y cómo solucionarlo

El primer jueves de mayo es el Día Mundial de la Contraseña, pero no le compres una torta ni le envíes una tarjeta. Intel creó el evento como un recordatorio anual de que, para la mayoría de nosotros, nuestros hábitos de contraseñas no son nada para celebrar. En cambio, ellos esperan que utilicemos este día para decirle adiós a “qwerty” y “123456”, que todavía son las contraseñas más populares.

El problema con las contraseñas cortas y predecibles

El propósito de una contraseña es limitar el acceso a la información. Tener una muy común o sencilla como “abcdef” o “acceder” o incluso palabras normales como “contraseña” o “dragon”, es tener apenas la seguridad mínima, como cerrar una puerta, pero sin ponerle llave.

Las herramientas de los hackers para averiguar contraseñas se aprovechan de esta falta de creatividad. Cuando los hackers encuentran (o compran) tarjetas robadas, es común encontrar que las contraseñas no se han almacenado como el texto de las mismas contraseñas, sino como huellas digitales únicas, llamadas “hashes” (archivo de identificadores) de las contraseñas reales. Una función hash transforma matemáticamente cada contraseña en una versión codificada, de tamaño fijo de sí misma. Codificar la contraseña original dará el mismo resultado cada vez, pero es computacionalmente casi imposible revertir el proceso, para obtener una contraseña en texto plano de un hash específico.

En cambio, el software de craqueo calcula los valores hash para un gran número de posibles contraseñas, y compara los resultados de las contraseñas hash en el archivo robado. Si hay alguna coincidencia, el hacker ingresa. El primer lugar donde estos programas se inician es con valores hash conocidos para contraseñas populares.

Los usuarios más experimentados que eligen una contraseña menos común, todavía podrían caer en lo que se llama un “dictionary attack.” El software de craqueo prueba con cada uno de las 171.000 palabras del diccionario inglés. A continuación, el programa intenta palabras combinadas (como “qwertypassword”), secuencias dobles (“qwertyqwerty”), y las palabras seguidas por números (“qwerty123”).

 

Adivinando a ciegas

Si el ataque de diccionario falla, el atacante se moverá a lo que se llama un “ataque de fuerza bruta”, adivinando secuencias arbitrarias de números, letras y caracteres una y otra vez, hasta que una coincide.

Las matemáticas nos dicen que una contraseña más larga es menos fácil de adivinar que una más corta. Eso es cierto incluso si la contraseña más corta está hecha de un conjunto más amplio de posibles caracteres.

Por ejemplo, una contraseña de seis caracteres compuesta de los 95 símbolos diferentes en un teclado estándar americano produce 95 6, o 735 000 000 000, combinaciones posibles. Eso suena como mucho, pero una contraseña de 10 caracteres a partir de sólo caracteres ingleses minúsculas produce 26 10, 141 billones de opciones. Por supuesto, una contraseña de 10 caracteres a partir de los 95 símbolos da 95 10, o 59 trillones de posibilidades.

Es por eso que algunos sitios web requieren contraseñas de ciertas longitudes y con cierto número de dígitos y caracteres especiales, que están diseñados para frustrar los ataques de diccionario y fuerza bruta más comunes. Sin embargo, con suficiente tiempo y potencia de cálculo, ninguna contraseña es inviolable.

Y en cualquier caso, los seres humanos son terribles en la memorización de secuencias largas e impredecibles. A veces utilizamos trucos mnemotécnicos que ayudan. También pueden ayudarnos a recordar una contraseña como “Frec! 9TY! JunC”, que a simple vista parece muy complicada.

Dividir la contraseña en tres fragmentos, “freQ!,” “9tY!” y “juNC,” revela lo que puede ser recordado como tres palabras cortas pronunciables: “freak,” “ninety” y “junk.” Para la gran mayoría de la gente es más sencillo memorizar contraseñas que pueden ser fragmentadas, ya sea porque encuentran sentido a los fragmentos, o porque pueden añadir más fácilmente su propio significado a través de la mnemotécnica.

 

No utilices contraseñas ya utilizadas

Supongamos que tomamos todos estos consejos y resolvemos que todas nuestras contraseñas tendrán al menos 15 caracteres incluyendo números y letras al azar. Inventamos dispositivos mnemotécnicos inteligentes, memorizamos algunos de nuestros favoritos, y comenzamos a usar esas mismas contraseñas una y otra vez en cada sitio web y la aplicación.

Al principio, esto puede parecer bastante inofensivo. Pero los ladrones de contraseñas están en todas partes. Recientemente, grandes empresas como Yahoo, Adobe y LinkedIn han sido atacadas. Cada una de estas infracciones de seguridad reveló los nombres de usuario y contraseñas de cientos de millones de cuentas. Los hackers saben que la gente comúnmente reutiliza las contraseñas, por lo que una contraseña crackeada en un sitio, podría hacer vulnerable a la misma persona en un sitio diferente.

 

Más allá de la contraseña

No sólo necesitamos contraseñas más largas e impredecibles, necesitamos diferentes contraseñas para cada sitio y programa que utilizamos. El usuario medio de internet tiene 19 contraseñas diferentes. Es fácil ver por qué la gente las anota en notas adhesivas, o simplemente hace clic en el enlace “Olvidé mi contraseña”.

¡Pero el software puede ayudar! El trabajo del software de gestión de contraseñas es cuidar de generar y recordar contraseñas únicas y difíciles de roer para cada sitio web y aplicaciones.

A veces, estos mismos programas tienen vulnerabilidades que pueden ser explotadas por los atacantes. Y algunos sitios web bloquean la funcionalidad de los gestores de contraseñas. Y, desde ya, un atacante podría echar un vistazo al teclado cuando escribimos en nuestras contraseñas.

La autenticación de múltiples factores se inventó para resolver estos problemas. Esto implica un código enviado a un teléfono, un escaneo de huellas digitales, o un autentificador especial USB. Sin embargo, a pesar de que los usuarios saben que la autenticación de múltiples factores es más segura, creen que podría ser más incómoda o difícil. Para hacerlo más fácil, los sitios como Authy.com proporcionan guías sencillas para habilitar la autenticación de múltiples factores en los sitios web populares.

Así que no más excusas. Comencemos a cambiar esas contraseñas, hoy puede ser un gran día para deshacerse de “qwerty” para siempre, o probar un administrador de contraseñas y activar la autenticación de múltiples factores. Una vez que hayas terminado, ahora sí comprá la torta y la tarjeta, porque te lo merecés.

Vía

Dejar una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *