Es tan común ahora que todos lo hacemos sin siquiera pensarlo: cree una contraseña que tenga al menos x caracteres de longitud, con al menos un número y un símbolo y que no sea su nombre o apellido. Ya sea que esté en el trabajo o creando una ID de Apple, estos requisitos de contraseña para una contraseña «segura» están en todas partes.
Después de crear una nueva contraseña en un sitio un día, comencé a pensar en la diferencia entre todos los requisitos. Algunos sitios no quieren contraseñas de menos de 3 caracteres y algunos aplican un mínimo de 8. Algunos quieren símbolos, otros no. Algunos se preocupan por su nombre y contraseñas anteriores, otros no. Entonces, ¿qué contraseña es realmente segura?
Investigué un poco y encontré dos cosas cuando hablas de alguien que «descifra» tu contraseña: primero, está la fuerza de tu contraseña y segundo, está la fuerza de tu contraseña. Cifrado que convierte la contraseña en un galimatías cuando se almacena.
Rápidamente me di cuenta de que todo el concepto de una contraseña segura es muy matemático y se han realizado muchos estudios sobre este tema. El que me llamó la atención y que mencionaré en este artículo proviene de un Estudio Carnegie-Mellon 2011.
Primero prueba tu contraseña
Antes de entrar en lo que es una contraseña segura, veamos cuánto tiempo tomaría descifrar su contraseña supuestamente segura. Para verificar esto, usaremos una herramienta en el sitio de PassFault:
https://passfault.appspot.com/password_strength.html
Así es como funciona. Introduzca su contraseña y haga clic en Analizar. Tiene dos opciones que están ocultas por defecto, pero puede hacer clic en Mostrar opciones. Expliquemos lo que significan.
Cracking Hardware utiliza una contraseña de atacante de 900 dólares de forma predeterminada, lo que sería posible para un pirata informático legítimo. También tienen la opción de elegir un atacante de contraseña de 180.000 dólares, que los chinos podrían usar si cuesta tanto. La lista desplegable Protección con contraseña le ofrece algunas opciones para el tipo de cifrado utilizado para almacenar la contraseña. El sistema Microsoft Windows es el más débil, no es de extrañar. Luego tiene un punto de acceso inalámbrico WPA, UNIX SHA1, UNIX Blowfish y 100 rondas de SHA1.
Probé mi contraseña segura que utilizo en algunos sitios y me sorprendió que pudiera descifrarse en 1 día.
Vaya, eso es suficientemente malo. Así que elegí las opciones de cifrado más sólidas (Unix Blowfish y 100 rondas de SHA1) y me alegró ver que los resultados tardarían más de un día: 1 año y 7 meses para Unix Blowfish y 2 meses y 2 días con 100 rondas de SHA1 . Sin embargo, con el atacante de contraseñas de 180.000 dólares, se redujo a 11 días y 3 días, respectivamente. ¡No es aceptable, pensé! Quiero que mi contraseña tarde años en descifrarse, incluso con un cracker de contraseñas muy caro. Pero, ¿cuál es la mejor manera, ya que estoy usando una contraseña de 9 caracteres con números y un símbolo?
¿Qué hace que una contraseña sea segura?
Aquí es donde el estudio Carnegie-Mellon arrojó luz sobre esto. Básicamente, descubrieron que cuanto más larga es la contraseña que usa, más segura es. No significa necesariamente que la contraseña más larga deba tener muchos símbolos o números, solo tiene que ser larga. Con 16 caracteres, todo lo que necesita evitar es usar palabras de diccionario muy fáciles.
¿No estás convencido de que esto sea posible? En el sitio de PassFault, use la siguiente contraseña, que tiene solo 15 caracteres y es muy fácil de recordar:
ilovemywifealot
Luego, para opciones, elija el atacante de contraseña de $ 180,000 y elija el cifrado más débil (Microsoft Windows) y esto es lo que obtiene:
¡1 mes y 7 días! Es mucho mejor que descifrar mi contraseña en 1 día. Entonces, ¿qué pasa con mi contraseña? Bueno, aparentemente, si su contraseña es más corta, entonces necesita usar más símbolos, letras y números aleatorios para fortalecerla. Si es más largo, como más de 15-16 caracteres, no tiene que preocuparse por agregar todo tipo de números y símbolos. Con una contraseña más larga, incluso puede usar más palabras del diccionario y seguirá siendo muy seguro. Obviamente, una contraseña como hellohellohello seguiría siendo nula incluso si tiene 15 caracteres:
Apesta porque va a estar en el diccionario y es la misma palabra tres veces. En mi primera contraseña donde le declaro mi amor a mi esposa, la frase rápidamente comienza a sonar como un galimatías en una computadora y ningún diccionario de craqueo tiene esta frase de 15 caracteres como palabra. Los diccionarios tienen palabras de diccionario, por lo que siempre que evite las palabras simples del diccionario, estará listo para comenzar. Mi contraseña podría haber sido incluso mejor si hubiera usado el nombre de mi esposa o un apodo para ella en lugar de la palabra «esposa». ¿Entiendes la idea?
Obviamente, si también puede agregar varios símbolos en una contraseña larga, la contraseña se vuelve aún más ridículamente fuerte. Por ejemplo, digamos que coloco un signo de exclamación delante de la contraseña de mi esposa y agrego un número al final. Entonces, ¿cuánto tiempo tomaría crackear con las mismas opciones?
¡Santo cielo! ¡Así que pasó de 1 mes 7 días a 4 siglos y 1 década! ¡¡Sí, edades !! Ahora es una contraseña segura y no es muy difícil de recordar. Por lo tanto, verifique su contraseña con esta herramienta en línea gratuita y si su contraseña es pirateada en unos días, tal vez sea el momento de pensar en algo nuevo, especialmente para su información confidencial, como contraseñas bancarias, etc.
Recuerde que muchos de estos sitios en línea son pirateados todo el tiempo, por lo que su contraseña nunca es segura. Sin embargo, si usa una contraseña realmente segura, incluso si el cifrado es muy débil, una supercomputadora tardaría una eternidad en descifrarla. Si probó su contraseña en el sitio mientras leía este artículo, háganos saber en los comentarios cuánto tiempo tomaría descifrarla. ¡Disfrutar!