Contraseñas seguras y fáciles de recordar

Este artítulo tiene dos partes. Primero analizo los principales vectores de ataques a los protocolos de identificación y autenticación para después proponer una solución que evita en gran medida esos riesgos.



Los principales ataques que reciben nuestras contraseñas son:

Ataques de fuerza bruta

Consisten en intentos de descubrir nuestra contraseña a lo bestia, como su nombre indica, probando infinidad de combinaciones de caracteres hasta descubrirla. Cuanto más cortas sean las contraseñas menos combinaciones serán necesarias y por lo tanto más fácil de descubrir. Por eso la solución obvia a este problema será tener claves de acceso lo más largas posibles. Yo recomiendo una longitud mínima de 8 dígitos y mezclar la mayor variedad de caracteres como letras, números y símbolos.

Ataques de diccionario

Este tipo de ataque es similar al anterior pero usando archivos de diccionarios de palabras. Este ataque tendrá éxito con aquellas contraseñas que contengan palabras de uso comun, nombres propios, etc. Para evitarlo recomiendo descartar palabras como nombres de personas, animales, lugares, etc, usando en su lugar claves aleatorias sin significado alguno.

Robo de archivos de credenciales

Las contraseñas que usamos en los servicios web se almacenan, generalmente, en archivos del servidor. Pero los sistemas informáticos son falibles y contienen vulnerabilidades que son aprovechadas por los delincuentes para acceder y robar dichas credenciales. Lo normal es que esas claves estén cifradas para evitar que cualquier persona sin permiso pueda acceder a ellas, pero en algunas ocasiones se han olvidado de ese detalle y las almacenan en texto plano o son fáciles de descifrar. Cada cierto tiempo salta a la palestra algún robo masivo de credenciales como ha ocurrido con Sony, Facebook, Yahoo y muchos más.

Para minimizar este riesgo recomiendo a) no usar la misma contraseña en todos los servicios sino tener contraseñas diferentes y b) cambiar nuestras contraseñas frecuentemente. De esta forma si, por ejemplo, roban nuestra contraseña de facebook no podrán entrar en nuestro correo de gmail ya que utilizamos claves diferentes.

Sniffers en la red

Sniffers son programas que tienen la capacidad de captar todo el tráfico de datos que circula por una red, como puede ser Internet, consiguiendo de esa forma leer mensajes, páginas que visitamos, e incluso nombres de usuario y contraseñas.
Para evitarlo debemos siempre asegurarnos de que navegamos por una red cifrada, y más especialmente cuando accedemos a sistemas sensibles como correo electrónico, cuentas bancarias, etc. Para eso fíjate que en tu navegador web aparece el famoso candado al lado de la dirección que visitas y, que además, lo haces usando el protoco https. De esa forma todo el tráfico entre tu navegador y el resto de Internet viajará cifrado y dificultara a los delincuentes la tarea de espiarte.

Uniendo todo lo anterior siempre recomiendo que las contraseñas sean:
  • De al menos 8 digitos de logitud.
  • Contenga una mezcla aleatoria de letras, números y símbolos.
  • Cambies las contraseñas lo más frecuentemente posible.
  • Utilices una contraseña diferente para cada servicio.
  • Y que además sea fácil de recordar.
Parece imposible ¿verdad?, pues te cuento algunos trucos

1º Toma una frase que te resulte fácil de recordar, por ejemplo, "Me gusta tomar café en el bar de Pepe". Ahora toma solo el primer caracter de cada palabra y conseguimos "MgtceebdP". Bien, ya tenemos una clave sin significado, con caracteres aleatorios y más de 8 digitos de longitud.

2º Nos falta añadir algunos números y símbolos que dificulten los ataques de diccionario y fuerza bruta. Podemos, por ejemplo, añadir que el café nos cuesta 1,20€ consiguiendo "MgtceebdP1,20€". Así ya tenemos números y los símbolos , y €.

3º Esta sería nuestra contraseña base. Ahora podemos personalizarla para cada servicio que utilicemos añadiendole alguna parte de su nombre. Por ejemplo, podemos utilizar las consonantes de la palabra Facebook consiguiendo "MgtceebdP1,20€Fcbk". Lo mismo haríamos con Hotmail, Gmail, Dropbox, y cualquier otro.

4º Recuerda que igual o más importante es cambiarla a menudo. Para eso simplemente podemos escoger otra frase diferente para componer nuevas contraseñas.

Y sobre todo no te confíes. Si sufres un ciber ataque lo más seguro es que no te des cuenta. Debes saber que existen dos tipos de personas y organizaciones. Por un lado aquellas que han dicho hackeadas, y por otro lado aquellas que no se han enterado todavía.

Si quieres asesoramiento en seguridad informática puedes contactar


Comentarios

Entradas populares de este blog

Manual de Benbox y pruebas de grabado

Windows XP se resiste a morir