lunes, 6 de junio de 2016

Contraseñas, esa falsa seguridad

En mis ratos libres, suelo hacer alguna cosilla de web para otros. Amigos, colegas... Les echo una mano en sus proyectos web y, a cambio, implemento lo último que he aprendido y practico. Así que trasteo en sus sitios y, a menudo, me sorprendo de la carencia de seguridad en las webs y, al poder ver las contraseñas en la base de datos, ahí, abiertas, como si tal cosa (lo que no debería poderse hacer), me maravillo de la facilidad que tiene la gente para poner contraseñas tontas.

Hoy he leído que la contraseña más insegura de 2015 fue "123456". Me lo creo. Sí, sí: me lo creo. Por suerte, ya hay sitios que no permiten ese tipo de contraseñas. Pero los hay que sí y, entonces, la gente va y te planta un "123456". Alucinante.

Pero el problema que hay no es sólo la debilidad de las contraseñas, sino que se usa siempre la misma para todos los servicios habidos y por haber. Es alucinante. La mayor parte de la gente se aprende una contraseña y la usa para todo. Y, además, usa para todo la misma contraseña durante años. Y claro, como esa gente suele ser la misma que no tiene ni papa de cómo funciona Internet, de los que reenvían correos en cadena, los abren vengan de quien vengan, miran los adjuntos aunque el mail no tenga asunto, se instalan cualquier cosa, navegan por cualquier sitio y meten su tarjeta en cualquier lugar, pues pasa lo que pasa: que su contraseña para todo acaba en tropecientos sitios inseguros que guardan las contraseñas en texto plano. Ahí, con dos narices. Entonces alguien roba la contraseña y no tiene acceso a la cuenta de esa persona en ese sitio web, no: la tiene en todos los sitios web, incluso seguros, porque la personita usa la misma contraseña en todas partes. Ole que ole. Y luego Internet no es seguro.

El problema que tiene la gente es memorizar, así que vamos a dar algunas ideas para generar contraseñas más seguras. No infalibles, pero sí bastante más seguras de lo que la gente suele usar.

Un método pasable, aunque mejorable: El sistema del número de teléfono

El truco consiste en poner como contraseña un número de teléfono, cambiando algunos números por la inicial de la cifra, ya sea en mayúscula o minúscula. Por ejemplo: Si sabemos de un número que es 616 785 644, podríamos poner los tres primeros números, los tres siguientes mayúsculas y los tres últimos minúscula. Así: "616SOCscc". "SOC" proviene de las iniciales de "Siete Ocho Cinco", y el "scc" final, procede de las iniciales de "seis cuatro cuatro".

Esta contraseña tiene varias debilidades. La primera es que no se debería usar el propio número, porque entonces si lo consiguen por ahí probarán con este método. Use otro que conozca y no sea suyo. La segunda es que un patrón por tríos (tres números, luego tres iniciales mayúsculas, luego tres minúsculas), ya sea en el orden del ejemplo o en otro, es muy sencillo. Cámbielo e, incluso, hágalo más complejo.

Otra mejora es quitar un número, haciendo la contraseña de 8 caracteres, o añadiendo alguno. Se puede, incluso, quitar el primero (que suele ser siempre 6) y cambiarlo por un carácter especial, como admiración, interrogante o almohadilla. Ejemplo: #1S7OcSCc

En cualquier caso, es considerablemente mejor que "123456".

Un método mejor, si sabe buscar: El sistema de las frases

Coja una frase o fragmento de texto que pueda memorizar bien. Puede ser famosa o no. De hecho, mejor que no. Y haga lo siguiente:

  1. Vaya tomando las iniciales de las palabras y escribiéndolas.
  2. De alguna manera fácil de memorizar, ponga algunas en mayúscula, ya sea por inicio de frase o por otra cosa.
  3. Si hay algún número, póngalo como número.
  4. Si no hay número alguno, añada uno al principio o al final, a ser posible de un mínimo de dos cifras.
  5. Añada un signo de admiración o interrogación en algún lugar, si el sistema le permite ese tipo de caracteres.
Con eso, la contraseña será considerablemente segura. Veamos un par de ejemplos:

Cojamos los dos últimos versos del poema "Invictus", en español: "Soy el amo de mi destino: Soy el capitán de mi alma".

  1. Iniciales: "seadmdsecdma"
  2. Inicios de frase en mayúsculas: "SeadmdSecdma".
  3. No hay números, así que ponemos uno que podamos recordar, como el año de nacimiento de su autor (nos acabaremos acordando y, si no, sabemos cómo encontrarlo): "SeadmdSecdma49"
  4. Como carácter especial, voy a elegir una admiración en vez de los dos puntos: "Seadmd!Secdma49"
No hay narices de adivinar esa contraseña de buenas a primeras. Que sí: si se ponen la pillarán, pero les costará. Mucho. Y en un par de veces la hemos memorizado. Se pueden usar frases que tengan cifras, como el inicio de la "Canción del Pirata" de Espronceda ("Con diez cañones por banda...") o el inicio de los "Diez Negritos" de Agatha Christie ("Diez negritos se fueron a cenar...").

¿Pero todo esto es realmente seguro?

Pues hombre... Depende de cómo guarde su contraseña (su cabecita es su mejor aliada). Pero, para hacernos una idea, he cogido un par de sitios web que se supone que te dicen lo fuerte que es tu contraseña calculando, grosso modo, el tiempo que tardaría un ordenador en averiguarla por fuerza bruta. Veamos los resultados:

  • 123456: Instantáneo. Menos de un segundo.
  • 616SOCscc: Fuerte. Entre 2 y 4 días.
  • #1S7OcSCc: Muy fuerte. Entre 1 y 3 meses.
  • Seadmd!Secdma49: Entre 150 y 16 mil millones de años.

Pero, aún con todo, recuerden que la contraseña será tanto más segura cuanto más cuidado tengan con ella. Prueben, de momento, alguna frase fácil o lo del número de teléfono. Y, año tras año, según les dé, vayan mejorándola e implementando la última versión siempre en los sitios más seguros. Nunca usen en sitios de dudosa seguridad contraseñas que utilizan en lugares con datos personales, como Google o Facebook. Por último, un buen antivirus que impida ataques a su PC o Mac y un conocimiento mínimo de qué adjuntos no hay que abrir NUNCA.

Igual que en el mundo real dónde está su cartera depende sobre todo de usted, en Internet también depende de usted dónde acaba su contraseña.

2 comentarios:

  1. También se puede utilizar algún tipo de gestor de contraseña como 1Password, que generará un chorizo larguísimo e hiper-seguro

    ResponderEliminar
    Respuestas
    1. Ese sistema es el mejor claro. Pero hay que recordar la contraseña. Una opción es tener una libreta, papel o lo que sea, pero resulta farragoso en cosas del día a día, como puede ser el mail.
      Yo las passwords de ese tipo las dejo para servidores, bases de datos y demás.

      Eliminar