Elegir una contraseña segura que pueda recordar de manera confiable puede resultar abrumador. Hay muchos campos de creación de contraseñas que tienen sus propios requisitos: deben contener siete letras, deben contener un número, etc. Seguir estas instrucciones no garantiza una contraseña segura, en absoluto. Sin embargo, hay algunas reglas a seguir y algunos consejos para asegurarse de tener la mejor contraseña posible … sin dejar de recordarlas.
La primera regla general para probar la seguridad de las contraseñas es tener mucho cuidado al usar herramientas en línea para probar sus contraseñas. Los sitios web o el software descargable pueden tomar la contraseña que está intentando probar y agregarla a una lista de palabras. Una lista de palabras es una lista de contraseñas conocidas y generalmente comunes. Las listas de palabras pueden contener millones de entradas y los piratas informáticos las utilizan para hacer conjeturas sobre las contraseñas en lugar del método más lento de probar todas las combinaciones posibles de «aaaaaa».
En otras palabras, una lista de palabras almacena contraseñas como «Susie1202» y «Password12». Los piratas informáticos ejecutarán la lista de contraseñas en los sitios con la esperanza de obtener una coincidencia. Es crucial tener una contraseña que no esté en esa lista. Estas listas de palabras son sorprendentemente efectivas, ya que muchas personas usan contraseñas genéricas o comunes. Afortunadamente, no está solo; hay herramientas para ayudarlo: Comprobadores de seguridad de contraseñas.
Estos verificadores suelen estar gestionados por empresas de ciberseguridad de confianza. Sin embargo, siempre tenga cuidado al utilizar este tipo de herramienta, siempre existe un riesgo. No solo debe confiar en un sitio web o programa que ofrece medir la fuerza de sus contraseñas sin estar absolutamente seguro de que son seguras; de hecho, incluso algunas empresas de ciberseguridad que ofrecen estas herramientas por sí mismas. Recomiendan no usar sus contraseñas reales y solo probarlas. posibles contraseñas similares con sus herramientas, por si acaso.
Entonces, ¿cómo se supone que debe saber qué tan segura es su contraseña sin usar un sitio web o una aplicación para verificarla?
La respuesta es sorprendentemente simple: aprender más sobre lo que hace que una contraseña sea segura y diseñar una en consecuencia.
Tipos de ataque
Cuando intenta diseñar una contraseña segura, es útil comprender cómo los piratas informáticos intentan atacar. Hay dos tipos principales de ataques; fuerza bruta y diccionario.
Los ataques de fuerza bruta intentan todas las combinaciones posibles de personajes. Con el tiempo suficiente, este método acabaría rompiendo todas las contraseñas posibles. La principal desventaja de este tipo de ataque es que lleva tiempo, y cuantas más combinaciones se intenten, más tiempo lleva. El tiempo requerido puede ser astronómico; aunque un programa puede realizar decenas de miles de posibilidades por minuto, son posibles millones de combinaciones, lo que hace que estos ataques sean ineficaces. Es muy poco probable que las contraseñas largas se descifren con este método, ya que podría llevar décadas ejecutar todas las posibilidades y así encontrarlas.
Los ataques de diccionario utilizan las listas de palabras mencionadas anteriormente para hacer conjeturas fundamentadas sobre las contraseñas. Esta técnica reduce drásticamente la cantidad de conjeturas sobre los ataques de fuerza bruta, acelerando el proceso por un gran margen. Las listas de palabras generalmente se basan en contraseñas conocidas que se han filtrado. El software diseñado para realizar este tipo de ataque también puede incluir reglas de «modificación de palabras» que pueden modificar palabras para probar variaciones comunes también. Por ejemplo, una regla de salto de palabras podría intentar reemplazar una «o» con un «0» o agregar un «!» al final de una palabra. Estas reglas generalmente se basan en sustituciones o adiciones comunes que hacen las personas; no hace falta decir que esto no es muy seguro. La principal desventaja de este tipo de ataque es que el atacante ya debe tener la contraseña en su lista de palabras, y el ataque es tan bueno como la lista de palabras.
Como crear una contraseña segura
Hay tres factores importantes en la seguridad de la contraseña: longitud, singularidad y complejidad.
Sugerencia: NO use ninguna de las contraseñas o fragmentos de contraseña mencionados en este artículo porque no son seguros.
La forma en que la longitud afecta la seguridad de una contraseña es bastante sencilla de entender. Cuantos más caracteres tenga una contraseña, más combinaciones de letras tendrá que probar antes de que un hacker pueda adivinar estadísticamente correctamente. Por ejemplo, hay muchas más palabras de seis letras que de cuatro. De hecho, por cada carácter agregado, el número total de combinaciones posibles aumenta exponencialmente.
La longitud es la mejor protección contra los ataques de fuerza bruta, pero recordar, por ejemplo, una contraseña de 64 caracteres no es exactamente fácil. Tampoco es necesario. La situación ideal es crear una contraseña que sea tan larga que simplemente no sea posible dedicar tiempo y energía a descifrarla. Lo ideal son 10 caracteres o más; en casi todos los casos, esto será suficiente.
Algunas personas pueden idear un plan para usar una contraseña increíblemente larga, tan larga que sería imposible forzarla. Por ejemplo, un poema, la letra de una canción o la obra completa de Shakespeare. Suponiendo que el sitio web lo permita, funcionaría de alguna manera, pero en algún momento un hacker puede agregar estos ejemplos conocidos a su lista de palabras «por si acaso» y luego la idea colapsa. Aquí es donde entra la singularidad.
La singularidad es difícil de juzgar. De los más de siete mil millones de personas en la Tierra, puede ser difícil encontrar algo completamente único, pero siempre vale la pena intentarlo. Algunas de las contraseñas más comunes que todavía se utilizan en la actualidad son: «admin», «contraseña», «123qwe» y «qwerty». Estas son contraseñas terribles no solo porque son cortas sino porque son bien conocidas, por lo que estarán en cualquier lista de palabras, probablemente como una de las primeras conjeturas. Algunas personas intentan hacer estas contraseñas un poco más complicadas usando «Password1!» pero esto es demasiado predecible y también aparece en la mayoría de las listas de palabras.
Para derrotar un ataque basado en listas de palabras, debe diseñar una contraseña que no se conozca ni se piense en ella. Es mejor usar una selección de caracteres completamente aleatoria, pero probablemente sea demasiado difícil de recordar.
“UdGlw3sLDAu8KLYu% duTmi1 $$ @ WijMw6ln # *% cyu4n9% DTrXO” sería una contraseña SEGURA, pero no será práctica.
Una solución decente es usar una selección de palabras, no significan nada juntas. Un ejemplo, popularizado por el webcomic XKCD, es «CorrectHorseBatteryStaple». Este concepto es lo suficientemente fuerte, fomenta la longitud y la aleatoriedad, y el resultado debería ser más fácil de recordar que una cadena aleatoria de caracteres y símbolos. Puedes elegir cualquier palabra que te guste: animales que te gusten, flores, el nombre de un actor favorito, incluso, siempre que recuerdes varias cosas. ¡Incluso cinco cosas que tienes en tu escritorio en este momento funcionarían!
En cuanto a la complejidad: esto es imprescindible, definitivamente es uno de los aspectos más importantes de la creación de una contraseña. Cambiar letras a números y agregar símbolos puede aumentar la complejidad de sus contraseñas. Una cadena de diez caracteres de letras, números y símbolos aleatorios es una contraseña mejor, y es menos probable que se adivine, que la letra «a» cien veces seguidas, que, a su vez, siempre es una contraseña. Mejor contraseña que «Password12!».
La complejidad es una buena forma de hacer que las contraseñas sean más difíciles de adivinar, pero también las hace más difíciles de recordar. Se trata de encontrar un equilibrio saludable. En general, agregar una pequeña cantidad de complejidad al incluir un número y un símbolo en algún lugar es una mejora suficiente para marcar una diferencia en la seguridad de su contraseña. Realmente no tiene que cambiar tantos caracteres como sea posible a números o símbolos, solo hace que sea más difícil de recordar.
Conclusiones
Para resumir los tres requisitos, algunas buenas reglas para recordar para las contraseñas son:
- Las contraseñas deben tener 10 caracteres como una longitud mínima razonable, pero cuanto más, mejor.
- Las contraseñas no deben ser combinaciones de palabras únicas o comunes; deben ser únicos.
- Las contraseñas deben contener una variedad de tipos de caracteres, incluidos números y símbolos
Sugerencia: Si tiene curiosidad y desea una demostración visual en vivo de cómo la longitud y la complejidad afectan la seguridad general de la contraseña, utilizar un comprobador de seguridad de contraseña en línea no es una mala idea. Los siguientes son ejemplos de sitios confiables. Siempre tenga cuidado donde ingresa sus contraseñas e información; algunos sitios pueden intentar robar sus contraseñas. Se sabe que los sitios a continuación son confiables: