en Tecnología

La contraseña segura y la fuerza de la entropía

¿Qué define una contraseña segura? A menudo la inconsciencia o la pasividad nos llevan a descuidar este simple mecanismo de seguridad online. Nadie nos ha enseñado a usar buenas contraseñas y hemos tenido que aprender sobre la marcha. Pero a menudo se nos escapan las claves que se esconden tras una contraseña segura.

contraseña segura

Tenemos tanta información online, hay tanto de nosotros en la nube, que ni somos conscientes de lo importantes que son los mecanismos para protegernos. La base de la privacidad en Internet es la contraseña y la solemos descuidar. Existen datos alarmantes, como que la contraseña más utilizada del mundo sea «123456» o que quizá 5 segundos basten para crackear una de tus contraseñas. Por ello, tenemos que tomarnos en serio nuestro sistema. ¿Son tus contraseñas seguras?

Hay quien opta por buscarse contraseñas concienzudas, difíciles de recordar para sí mismo. Otros, se complican menos y le ponen la misma contraseña, más simple que un botijo, a todas y cada una de sus cuentas online. Y la verdad es que es difícil buscar ese equilibrio, llegar a ese punto que combine seguridad con salud mental.

 

Evolución de la contraseña

La seguridad en la contraseña en Internet es un aspecto que ha ido aumentando más por obligación que por celo de los usuarios. La mayoría comenzó utilizando 4 cifras o letras, por paralelismo con contraseñas offline como las de cajeros o móviles. Poco a poco, los proveedores de servicios fueron obligando a aumentar los digitos, que si 6, que si 8, que si mezclar números con letras, que si mayúsculas con minúsculas, que si hace falta introducir algún carácter especial, etc.

Es decir, como usuarios somos más bien vagos, queremos contraseñas fáciles que nos hagan perder menos tiempo. Y esto nos lleva a una realidad cruda.

 

Las contraseñas más ridículas son las más usadas

Manejamos muchas contraseñas y es fácil dejarse llevar por el «bah, qué más da». Pero piensa en los datos que tenemos online y haz un simple paralelismo con el mundo físico. Poner una contraseña cuya dificultad atenta contra la inteligencia, sería como cambiar el pestillo de tu puerta por un cordel. Estas contraseñas, aunque parezca mentira, son las que más se usan.

  • 123456 y sucesivas. Este tipo de contraseña es el top 1 del mundo. No hay facepalms suficientes para expresar la reacción que esto suscita.
  • password: Sí, va en serio.
  • qwerty: En plan currado, a lo loco.
  • abc123: Ojo que ya combinamos números y letras. Chupáos esa, criptógrafos.
  • 111111: En versión satánica opcional, usando el 6.
  • iloveyou: Desprotegido y cursi, un partidazo.
  • 123123: La favorita de los aficionados al baile.
  • admin: La de los administradores más pros.
  • login/letmein: Ya puestos, mejor un ábretesésamo ¿no?.
  • reydefine: No, no es que se utilice el nombre de este santo blog como contraseña, es que mucha gente tiende a usar el nombre de una web o servicio como contraseña del mismo. Es decir que sus contraseñas son del tipo «gmail», «twitter», «facebook», etc. Nivel de seguridad: K.O. del hacker por derrame cerebral.

dilbert contraseña segura comic

La lista tiene un poco de truco, claro. Aunque alarmante, no significa que haya más gente usando 123456 que cualquier contraseña segura al azar. Porque claro, las contraseñas seguras no suelen coincidir entre sí. Y yo ya sé que tú no eres de estos, pero ahora que nos hemos reído un poco, sirve para introducir el siguiente interrogante.

 

¿Cómo de segura es mi contraseña actual?

En la cabeza del usuario medio, el peligro se idealiza como un tipo en un cuarto oscuro tratando de sacar tu contraseña a base de probar y probar. Nada más lejos de la realidad, existe software que genera automáticamente combinaciones hasta dar con tu contraseña. No es cuestión de imposibilidad, es cuestión de tiempo. Y nuestra tarea es ponerlo lo más difícil posible, o sea, hacer que nuestra contraseña tarde una eternidad en ser descifrada, para que sea imposible en la práctica. Pero a menudo es muy muy posible.

¿Demasiado tremendista? Compruébalo con este simulador de crackeo de contraseñas. Si pones una contraseña (por precaución no pongas la tuya tal cual), te estima el tiempo que tardaría en averiguarla un software destinado a ello. Fijo que tienes alguna contraseña de 6 caracteres combinando letras y números. Pues que sepas que eso son 54 milisegundos. Da miedo, sí.

Te voy a poner un ejemplo, una de las mías combina letras, números y mayúsculas y tardaría 41 años. No es tanto, teniendo en cuenta que según avancen los procesadores, ese tiempo fácilmente se reducirá. La más potente que tengo tardaría 10 millones de años. Y aún podría ser mejor.

 

La contraseña segura ideal

Antes que nada, existen ciertos mitos respecto a las contraseñas porque nadie nos ha enseñado a usarlas. Nos guiamos a menudo por propio instinto. ¿Que una palabra nos parece fácil de adivinar? Pues cambiamos las O’s por ceros y las A’s por cuatros y ya nos creemos que tenemos una contraseña nivel M4tr1x. Soluciones más o menos peregrinas como ésta nos ayudan a sentir que, ahora sí, tenemos una contraseña segura.

La siguiente tira de cómic, que explica de forma genial la matemática detrás de la llamada entropía de contraseña, me dio bastante que pensar. En ella se revela que hacer estos ligeros cambios artificiales a palabras reconocidas nos complica mucho más la vida a nosotros, de lo que se la complica a un ordenador. La conclusión es: «Al cabo de 20 años de esfuerzos, hemos entrenado con éxito a todo el mundo para escribir contraseñas difíciles para un humano de recordar, pero fáciles para un ordenador de adivinar». Curioso.

contraseña segura comic entropia

Por ello, a la hora de establecer las pautas para una contraseña segura, hemos de hallar ese punto medio que complique el asunto a otros humanos y máquinas, pero no a nosotros. Aquí algunas claves.

  • Es fácil de recordar (para ti). No te engañes, ante todo una buena contraseña ha de serte fácil de recordar. Si tienes que apuntarla, mal. Si tienes que dedicar gran esfuerzo a memorizarla, mal. Fácil de memorizar no significa evidente. Que esta máxima rija todo tu proceso en la elección.
  • Es larga. 8 caracteres o más es lo aceptable. Cada carácter es un extra de dificultad a la hora de que un programa averigüe tu contraseña. Pero claro, esto sólo sirve si es difícil de averiguar. Es decir, va a ser más complicado de averiguar estaesmipassword que mipassword, pero no será un gran cambio y sin embargo quizá %x8T2 sea de igual complejidad pese a tener sólo 5 caracteres. ¿Lo pillas? La extensión sólo aporta si la contraseña es complicada para empezar.
  • Mezcla mayúsculas y minúsculas. Hazlo de una forma no justificada, quiero decir, no uses mayúsculas porque escribes un nombre propio o un comienzo de palabra real. ContraseñaRaúl   ñeCsaRrúlTraNO
  • Mezcla números, letras y símbolos Hemos de aprovechar los 3 tipos básicos de caracteres de nuestro teclado para crear una contraseña que sea difícil de averiguar. Una contraseña con números, letras y símbolos en ella, supone mucha mayor complejidad y disminuye drásticamente las posibilidades de ser adivinada.
  • Contiene mezclas reales. Con esto me refiero a que, si optas por mezclar conceptos con fundamento real, por ejemplo «perro, 1984 y %:&» no lo dejes así, sino que mezcles para asegurarte que los componentes por separado no sean reconocibles pe19%rr:8o&4
  • Sin lógica aparente para alguien que no seas tú. Un error frecuente es incluir cosas que recordamos, pero que no son seguras. Nombres de seres queridos y mascotas, fechas de nacimiento… destierra esos conceptos. Debes poner una contraseña que para ti tenga sentido y para otros no. Tu imaginación en este proceso es fundamental, crea un puzzle cuya lógica entiendas, de forma que puedas recordarlo.
  • La ñ, una gran aliada. Un bonito tip para nosotros, la gente de habla hispana, es que la ñ no aparece en la gran mayoría de teclados del mundo. Esto significa que su inclusión en una contraseña aumenta drásticamente la dificultad de ser averiguada. Nos puede ayudar en nuestra contraseña segura. Con ejemplos, mientras que «mypassword» tardaría una hora en ser descifrada y «micontrasena» tardaría 4 semanas, «micontraseña» tardaría 6 millones de años. Pero no uses algo así, pues para un humano es muy evidente.

contraseña segura infografía

Tips para mantener tus contraseñas en forma

Una cosa es elegir una contraseña segura en concreto y otra mantener todo el entramado de contraseñas en buena salud. No hay que dejar que se degraden ni que por culpa de un fallo de seguridad de un servicio, todas se te caigan abajo.

Una contraseña segura para cada servicio

Ya, es una lata cambiar las contraseñas, pero es lo que toca para que no te hackeen la vida entera. ¿O quieres correr el riesgo de que alguien te hackee la cuenta de email sólo porque algún servicio menor que utilizas o has utilizado alguna vez sufra un ataque?

Un momento. Sé lo que estás pensando, detente, no lo hagas. No caigas en la tentación de personalizar una misma clave con cosas tipo «facebook+contraseña», «outlook+contraseña»… Párate a pensarlo, ¿si alguien consigue averiguar el corazón de tu contraseña, ¿crees que un prefijo o sufijo, relativo al nombre del servicio concreto para colmo, va a detenerle? Si quieres utilizar parte de un patrón adelante, pero cúrratelo más, no seas tan explícito.

repetir contraseñas comic

Cambia tus contraseñas cada cierto tiempo

De vez en cuando hay fallos de seguridad. Y de los fallos de seguridad hay servicios que no informan hasta que ya es tarde. Hay más filtraciones de las que opinas y por ejemplo en esta página puedes comprobar si alguna vez tu email ha sido hackeado. Por ello, es mejor que seas tú quien mueva ficha y te protejas.

Además, hoy en día la conexión entre diferentes servicios y dispositivos expone más nuestra seguridad y a menudo nos olvidamos qué permisos hemos dado a quién. Cambiar la contraseña supone empezar de cero, con total seguridad. Como ya sé que da pereza, ponte plazos concretos, con avisos o alarmas. Una vez al año por ejemplo, día oficial de cambiar contraseñas.

¿Y sabes cuál es la mejor razón para cambiar? Que todos hemos reutilizado una contraseña o parte de ella alguna vez. Seguro. 100%. Y todos hemos dejado algún servicio en desuso, abandonando nuestra cuenta, sin borrarla, con esa contraseña que puede ser la misma o muy parecida a la que usemos en otra parte. Cambiar las contraseñas significa dejar atrás riesgos por errores del pasado.

Gestores de contraseña

En los últimos tiempos se han popularizado los gestores de contraseñas. ¿Son de fiar? ¿Deberíamos usarlos? Esto es algo muy opinable y en el futuro espero tratar el tema. Actualmente estoy probando LastPass con algunas de mis cuentas, no con todas pues no quiero poner todos los huevos en la misma cesta. La comodidad y el ahorro de tiempo es abrumador. Aunque no debe ser lo que rija nuestro comportamiento, también es cómodo dejar todas tus sesiones abiertas en todos los servicios y permitir a los navegadores recordar tus contraseñas y eso no lo hace recomendable. Si tu volumen de contraseñas es muy elevado, considéralo. En principio hacen gala de un sistema de seguridad impecable, pues en ello se juegan todo.

 

El camino hacia tener una contraseña segura en cada uno de tus servicios no es sencillo, requiere de una organización y un esfuerzo, pero en un entorno en el que nuestra privacidad ya tiene límites poco claros, debemos hacer todo lo que podamos para protegernos. Escoge el sistema que mejor te funcione y a navegar con tranquilidad.

Deja tu comentario

Comentario

  1. Mirando la caricatura entiendo que una secuencia de cuatro palabras comunes, fáciles de recordar para un humano, forma una constraseña mucho más difícil de descifrar para una computadora que una combinación de letras mayúsculas y minúsculas, números y signos.
    https://howsecureismypassword.net/
    Así niña-ventana-corazón-lluvia, es más difícil de descifrar que (3+aH-w*x0)2 ésta una computadora la descifraría en 34 mil años, la primera dos duodecillones de años, (un duodecillón según investigué 10 a la 39). ¿Cuál es tu opinión al respecto?
    Muchas gracias por el artículo, he de replantearme el asunto de mis simples contraseñas que uso.
    Amablemente
    Eduardo.
    Puebla, México.

    • Hola Eduardo,

      muy acertada observación. Sin embargo tal vez la comparación más apropiada sería otra. Si cambiamos las 6 letras de «lluvia» por una cadena más compleja, pasaría esto:

      niña-ventana-corazón-lluvia > 2 DUODECILLION YEARS
      niña-ventana-corazón-0%^u9_ > 15 DUODECILLION YEARS

      Es decir a igual número de caracteres, la complejidad aumenta la seguridad. La cuestión es, ¿nos merece la pena la dificultad de recordar ese «0%^u9_»? Seguramente no.

      También merece la pena tener en cuenta que tu contraseña imaginaria incluye una «ñ» y una «ó» que son caracteres que mejoran mucho la seguridad pero que muchos servicios no nos dejarán utilizar.

      Me alegro de que el artículo te haya servido para repensar tus contraseñas.
      Un saludo