El nivel de seguridad de una contraseña no sólo se mide por su dificultad, sino también por qué tan obvia o desconocida es.

En la actualidad casi todos los sitios en internet (e incluso intranet) nos solicitan autenticarnos por medio de un PIN, códigos de acceso o contraseñas.

Desde banca electrónica hasta el correo electrónico utilizan esos métodos y son pocos aún los que implementan autenticación física por medio de tokens (por ejemplo el Laboratorio Nacional del Pacífico Noroeste, del depto de energía de US), que son los más fiables a la fecha.

Mientras esas tecnologías no estén disponibles, la contraseña es la única defensa entre: sus datos, dinero, privacidad y terceros.

Lo que no se debe hacer

Contraseñas simples numéricas o solo texto

Al momento de elegir una contraseña no utilice su nombre o de allegados, fechas importantes, nombres de mascotas ni afines en la contraseña, ya que esas son de las primeras variantes que un potencial intruso probaría para acceder a su información.

Tomemos con ejemplo “Napoleón Bonaparte” (15 – 8 – 1769) :

Contraseñas tales como napoleon69, nbonaparte15 o 1581769 resultan evidentes ante posibles atacantes.

Igual caso si se usan nombres de mascotas pues un intruso puede llegar a identificar esos datos muy facilmente. (próximante escribiré sobre eso).

Escribir la contraseña en papel

Dirán <<No, es que solo yo tengo acceso al papel>>, o <<lo tengo bien guardado>>, en ciertos casos eso es verdad, sin embargo el simple hecho de tener la contraseña escrita puede ser una gran debilidad, incluso me atrevería decir que quien escribe una contraseña en papel da indicio de una mala contraseña.

El punto radica en que la seguridad de la contraseña no solo está en su complejidad sino en qué tan desconocida es.

Tal como lo menciona Kevin Mitnick en su Libro “The art of Deception“, es cuestión de Ingeniería Social el obtener una contraseña (independiente de si es segura, está escrita o no), y aún más simple si está escrita.

Es por ello que a continuación escribiré un par de ejemplos de cómo crear una contraseña segura y fácilmente recordable (para el dueño :P ).

Pasos para crear una contraseña

0. Conociendo los peligros

Antes de ver en sí una sencilla guía de cómo crear su propia contraseña segura, analicemos los hechos “técnicos” que antentan contra la seguridad de una contraseña.

Lo ideal es que exista una contraseña por aplicación, es decir, una para el email, otra para la banca electrónica.

Por ejemplo, ¿sabía usted que con el actual poder computacional que ofrecen las últimas tecnologías, es posible descifrar una contraseña de 6 letras (por ejemplo: “segura” o “abcdef”) en tan sólo 5 minutos?.

Bueno no es para alarmarse, sino más bien para tener cuidado, pues este dato varía dependiendo de la complejidad de la contraseña. Por ejemplo, una que contenga mayúsculas, minúsculas, numeros y símbolos con una longitud de 8 caracteres (por ejemplo: w4&RhG21) tomaría unos 210 años en descifrarse.

Es por ello que una contraseña compleja es más segura, pero el lector probablemente vaya a pensar erradamente que entre más compleja resulte más difícil de memorizar, sin embargo esto no necesariamente es así, mas adelante en este artículo veremos porqué y cómo.

Otro punto importante es el mantenimiento de la contraseña, aunque halla elaborado una contraseña segura y no esté escrita en ningún papel, en internet, los posibles atacantes tienen algo que es envidiable. la paciencia.

En este instante se preguntará: ¿paciencia para probar contraseñas durante 210 años?, no exactamente, si no más bien para encontrar una forma de obtener su contraseña, ya sea de diferentes formas tecnológicas o sociales.

Tecnológicas: las tablas Rainbow por ejemplo, que consisten en listas gigantescas de contraseñas (de hecho, todas las posibles variantes de hasta 14 letras ). Con tales tablas se puede crear y ejecutar un programa que intenta “iniciar sesión” en algún sitio (como por ejemplo en la página de un banco) hasta que acierte, sin embargo está limitada por qué tan seguro sea el sitio o aplicación que se busca accesar, ya que ciertos sitios imponen un máximo de intentos, al transcurrir ese máximo la cuenta se bloquea de alguna forma, pero como digo, son ciertos sitios los que aplican estos mecanismos automatizados.

De hecho, el sitio de redes sociales HI5, no impone bloqueo tras intentos, por lo que podría ser sujeto de este tipo de ataques llamados fuerza bruta.

Sociales: y humanas, que es en esencia el eslabón más débil de la seguridad, pues de diversas formas de convencimiento y persuación la persona más talentosa (e inescrupulosa) puede obtener datos privados de formas muy simples, por lo que resulta de especial consideración guardar la contraseña de forma recelosa.

Ya conociendo los riesgos que corren las claves de seguridad, procedamos a ver las técnicas adecuadas para crear una contraseña segura y memorable.

1. Seleccionando una frase

Para crear una contraseña facilmente recordable hay que darle sentido, es decir, la combinación de números, letras y símbolos tienen que cobrar algún significado ante el dueño de la misma.

La frase tiene que cobrar sentido para el dueño de la contraseña, esto ayuda a recordarla.

La frase tiene que cobrar sentido para el dueño de la contraseña, esto ayuda a recordarla.

Por ejemplo, supongamos que el usuario le gusta la música de los Rolling Stones, y se basa en una de sus piezas(Paint it black) para crear la contraseña, tomemos como referencia:

I see a red door and I want it painted black

2. Ofuscando  el texto

Como la frase es algo larga, resultaría tedioso tener que escribir tantos caracteres, es por ello que para el ejemplo seleccionamos las iniciales para empezar a formar la contraseña:

I see a red door and I want it painted black

Con lo que tendríamos de base Isardaiwipb (10 caracteres)

3. Reemplazando por otros signos

No es conveniente dejar Isardaiwipb como contraseña, por lo riesgos antes mencionados, así que démosle un poco más de seguridad.

Para ello se realiza una sustitución de caracteres por otros que sean parecidos, por ejemplo:

$ => S  4 => A  1=>I  8 => B

Resultando en:

1$4rd41w1p8

Memorizarla no debe resultar tan difícil, pues si se toma en cuenta cada caracter tiene significado.

1 $ee 4 red door 4nd 1 want 1t painted 8lack

4. Consideraciones finales y mantenimiento de la contraseña

Como regla general, ningún sistema es inviolable, ya sea por las razones tecnológicas o humanas anteriormente mencionadas, es por ello que conviene actualizarla cada cierto tiempo prudencial, no existe una regla que diga: “Las contraseñas con n-tiempo de edad son inseguras”, pues eso depende del sistema que se utilice, el contexto  y por supuesto, de la relevancia de los datos que se protejan.

Sin embargo es una buena práctica cambiar de contraseña regularmente.