Recomendaciones para contraseñas seguras
A finales del 2013, Adobe fue comprometida y los atacantes obtuvieron millones de usuarios y contraseñas de los usuarios registrados. Los atacantes advirtieron que el password más usado, con casi 2 millones de usuarios usándolo era: 123456 Se pueden leer los detalles de la noticia aquí: SecurityByDefault
A raíz de esta noticia, y de muchas otras, creo que es muy importante dar una serie de pautas que permitan a los usuarios tener contraseñas robustas, frente a ataque de diccionario y fuerza bruta. Estas son algunas de las recomendaciones para contraseñas seguras:
- Longitud mínima de 8 carácteres, aunque siempre es mejor un tamaño de contraseña mayor. Cuanto mayor sea la longitud, mayor complejidad para descifrarla por fuerza bruta.
- Usar el siguiente conjunto de carácteres:
- Letras minúsculas
- Letras mayúsculas
- Números
- Carácteres especiales: #, @, !, ? …
- No usar para la contraseña el nombre de usuario o el nombre del sitio.
- No usar la misma contraseña para todos los sitios
- No dejes apuntadas tus contraseñas en blocs, postits, notepads, etc. que alguien fácilmente pueda acceder. Porque entonces no sirve de nada todas las reglas anteriores 😀
Con estas normas se consigue una contraseña robusta a los principales ataques: ataques de diccionario, ingeniería social, y otros derivados.
Existen webs donde te generan contraseñas aleatorias, con las características anteriores, aunque son muy difíciles de recordar. Para estos casos, se puede utilizar un llavero de contraseñas (como KeePass) donde se guardan todas las contraseñas de los sitios cifradas y donde sólo se tiene que memorizar la contraseña maestra, para después acceder al resto de nuestras contraseñas. Huelga decir, que la contraseña maestra debe ser muy robusta.
Otra opción que funciona muy bien es tener unas reglas para formar contraseñas, de forma que si conoces las reglas, puede sacar la contraseña. Por ejemplo, una regla que se puede utilizar es:
- Usar una base común, algo que sea fácil de memorizar y signifique algo (nada personal), Una frase suele ser un buen comienzo. Además, si la frase es larga, usa sólo la primera letra de cada palabra. Por ejemplo: “Un poquito de por favor” -> updpf
- Modifica la base con algunas mayúsculas y minúsculas: alternando, la primera mitad de una forma y la otra de otra, etc: UpDpF
- Alarga la contraseña con otro patrón. Una buena idea sería usar la finalidad de la contraseña. Así por ejemplo si el password es para Facebook: UpDpFFaceBook
- Separa los dos patrones con un símbolo que te guste: @,-.!&$. Por ejemplo: UpDpF$FaceBook
- Del segundo patrón, cambia las letras por números: UpDpF$F4c3B00k
Así nos queda la contraseña UpDpF$F4c3B00k que si no conoces las reglas, sería difícil de recordar.
Y por último, cambia la contraseña como mínimo cada 6 meses !
Truco: Añade unos dígitos de periodicidad a las reglas anteriores: 01UpDpF$F4c3B00k
Reconozco que uso KeePass 🙂
Si bien con este sistema consigues contraseñas seguras y fáciles de recordar , estas reglas de nemotecnias tienen el peligro de que si te comprometen una única contraseña, pueden extrapolarse los accesos a otros servicios.
En principio nunca pongo en la password para qué es. O si queremos que sean los caracteres 1,2 y 5 los identificativos del servicio.
Gracias por tu comentario Andrés, y por pasarte por la página 😀
Piensa que las reglas son simplemente la guía para generar tus passwords de forma fácilmente recordables. La robustez de las contraseñas, viene a partir de la frase inicial elegida, que obviamente debe ser secreta. Añadir más elementos a esa base, lo haría más fuerte.
Estoy de acuerdo contigo en que si te descubren un password, te comprometen todos los demás. Pero para que te descubran este tipo de passwords, tiene que haber habido algún fallo por tu parte: lo has dejado escrito en algún sitio, lo han obtenido engañándote (phishing) o lo han obtenido por fuerza bruta (por lo que no era lo suficientemente robusto).
Me parece una buena idea el sustituir en el password el nombre del sitio que es por otro identificador simbólico.