Una limosna para un ex-leproso: Las contraseñas

Las contraseñas es un mundo complicado. Hace algunos años, cuando empezamos a tener la necesidad de tener alguna contraseña, no imaginábamos que íbamos a tener acceso a cientos de sitios distintos.

Para las contraseñas utilizo tres distintas: una, la más básica de seis caracteres (elegí esa cantidad porque es pequeña y es la mínima en la mayoría de los sitios) que utilizo para cualquier registro convencional. Una segunda, un poquito más compleja, que reservo para las cosas privadas críticas, como son el correo, blog o cosas por el estilo, cuyo descubrimiento sí podría importarme. Por último, una contraseña larga y compleja, de 14 caracteres, para el acceso a servidores críticos y cosas del trabajo importantes.

No está de más recordar que las contraseñas deben ser largas, combinando mayúsculas y minúsculas, números y, si es posible, símbolos extraños, pero de eso hay mucha información por la red. Lo que no se pueden emplear jamás son palabras normales, ya que el primer ataque se utiliza cotejando grandes listados de palabras y ligeras modificaciones de éstas. Por muy larga que esa la palabra "cantamañanas", es palabra existe y será objeto de ataque, mucho antes que "fdarereafsdf" aunque tengan los mismos caracteres.

Como ejemplo el top ten de las contraseñas más utilizadas del mundo (algunas se desvirtuan por estar en inglés):

1. password
2. 123456
3. qwerty
4. abc123
5. letmein
6. monkey
7. myspace1
8. password1
9. blink182
10. (tu nombre)

Yo utilizo a veces "asdfasdf" porque me parece la más cómoda, mucho más que qwerty, ya que no hay que desplazar la mano.

Cuando se trata de reventar claves por fuerza bruta, es decir, probando todas las combinaciones posibles, el tiempo necesario crece exponencialmente cuando crece el número de caracteres. Una contraseña de 12 caracteres necesitaría años para ser sacada por fuerza bruta (siempre que no sea una palabra real de las comentadas antes), y eso teniendo en cuenta que puedan ser probadas miles de combinaciones por segundo, cosa que no suele ser posible.

Se ha demostrado que la mejor fórmula para obtener una contraseña es por "ingeniería social", es decir, engañando. Cuidado con las contraseñas, que más vale prevenir.

Etiquetas: Informática