Parece que todos los días, alguien llega a un foro escribiendo sobre cómo sus cuentas fueron pirateadas de alguna manera y no entiende por qué. Una de las razones por las que las cuentas de las personas se ven comprometidas con tanta frecuencia es porque no entienden exactamente cómo sucede. Una vez que el proceso de obtener la contraseña de alguien se vuelve claro (por cierto, es simple), entonces podemos entender cómo podemos modificar nuestras contraseñas para evitar que los piratas informáticos ingresen a nuestras cuentas de manera efectiva. Una propuesta que los expertos en seguridad han hecho recientemente fue usar oraciones cortas como contraseñas, en lugar de usar una cadena continua de caracteres (como «blablabla»). Echaremos un vistazo a esto y por qué puede o no ser más seguro.
Comprender el robo de contraseñas
Aquí en MTE, ya he cubierto las formas en que los piratas informáticos pueden obtener sus contraseñas. Sin embargo, esa lista se compone principalmente de métodos utilizados para olfatear y obtener fácilmente sus credenciales. En este momento, quiero cubrir con usted los métodos que usan los piratas informáticos para abrir su cuenta desde el exterior en lugar de infiltrarse en el tráfico de paquetes. Estos métodos son un poco más simples pero consumen más tiempo. Echemos un vistazo:
- Ataques de fuerza bruta: El método para esta locura implica simplemente pasar por una tonelada de permutaciones de cadenas de caracteres múltiples. Entonces, un hacker con una herramienta de fuerza bruta simplemente probará miles de permutaciones, con la esperanza de dar con la correcta después de un tiempo. La herramienta adivinará aleatoriamente combinaciones de caracteres (como «jif2$F»). Dado que las contraseñas suelen tener más de seis letras, ¡este método llevará un tiempo! Sin embargo, un pirata informático determinado se sentará durante todo un día adivinando la contraseña solo para ingresar a su cuenta.
- Ataques de palabras comunes: El hacker usará palabras comunes de todos los días (como «fresa» o «whisky») de una lista, las cargará en una herramienta especial y probará cada una. Solo lleva unos minutos (muchas veces, incluso unos segundos) descifrar una cuenta usando una palabra común como contraseña.
- Ataques de diccionario: Como sugiere el nombre, el hacker saca una copia del Oxford Dictionary y prueba cada palabra. Usando una herramienta automatizada, esto lleva un poco más de tiempo que un ataque de palabra común, pero hará que una gran cantidad de cuentas se rompan.
Hace tiempo que los expertos en seguridad llegaron a la conclusión de que la contraseña más segura es aquella que tiene una combinación de caracteres alfanuméricos (incluidas las letras mayúsculas) y caracteres especiales (como “$@(%#”). Esto no está lejos de la verdad hoy en día. Una contraseña como «ff9jF#D» es mucho más seguro que «caramelo”. La desventaja es que es realmente difícil recordar caracteres aleatorios. Nuestros cerebros simplemente no están conectados de esa manera.
Y, mientras todavía estamos en este tema, déjame contarte un secreto: si un experto te dice que una contraseña de cadena de caracteres tardará varios años en descifrarse, probablemente esté hablando de fuerza bruta con una CPU. Los hackers ya no hacen eso. En cambio, usan cosas como la tecnología CUDA de nVidia, que les permite aprovechar la GPU inmensamente más rápida de una tarjeta gráfica, lo que les permite hacer lo que hace una computadora en una semana en un lapso de horas al encadenar un montón de hardware ( a través de un puente SLI).
¿Las oraciones son mejores?
El espacio (» «) es un carácter legal en la mayoría de los formularios de contraseña. Esto significa que puede separar palabras unas de otras. El simple hecho de tener una oración como contraseña puede crear una pesadilla para los piratas informáticos, según varios expertos en seguridad, uno de ellos es Thomas Baekdal. La ventaja de usar una oración es que es mucho más fácil de recordar que 8fa@!*FaicC y también es más segura cuando se usa de la manera adecuada.
En 2007, Baekdal escribió que «esto es divertido» es 10 veces más seguro que «J4fS<2". No estoy seguro de cuál es su opinión sobre esto en este momento, pero no creo que usar algo simple como "esto es divertido" sea tan seguro que una computadora, según su artículo escrito, tardaría 2537 años en descifrarlo. .
Por un lado, digamos que un pirata informático usa una lista de las mil palabras más comunes en el idioma inglés para descifrar «esto es divertido». Dado que la contraseña utiliza tres palabras distintas, tendríamos que lidiar con 1000*1000*1000 permutaciones posibles. Eso nos da mil millones de permutaciones al ciclo. Parece mucho, pero para una computadora, esto es muy simple.
No estoy diciendo que Thomas Baekdal esté equivocado. Simplemente digo que debe seguir algunas pautas al hacer su elección. Déjame mostrarte algunas ideas que he preparado mientras pensaba en este problema durante varios días:
- Utilice separadores que no sean espacios, como el guión («-«). Si eres un poco más atrevido, prueba con algo realmente difícil de descifrar, como el símbolo de la marca (“™”, Alt+0153).
- Use palabras poco comunes que no sean conversacionales, como «la teoría cuántica es un desarrollo primordial». También puede crear una oración en otro idioma, como el latín («repetitio est mater studiorum»). Esto es especialmente útil cuando el inglés no es su primer idioma. La mayoría de los piratas buscarán contraseñas con palabras en inglés, pero muy pocos pensarán, por ejemplo, en rumano o checo.
- Forma oraciones con palabras aleatorias. Un ejemplo sería “cefalópodo fotónico parafernalia”.
Seguir estas reglas puede resultar en una contraseña que, al principio, sea difícil de recordar. Pero debería considerar el proverbio latino que usé como ejemplo de una contraseña que no está en inglés. Su traducción: La repetición es la madre del estudio. Si sigue usando su contraseña, la recordará en un santiamén. Recordar “faji2o#($FCCineF)9f(#“, creo, es mucho más difícil que recordar “parafernalia fotón cefalópodo” o cualquiera que sean estas palabras en su idioma nativo.
Recuerde, cuanto más larga sea la oración, ¡más segura será! El uso de una oración más corta aún puede brindarle un alto nivel de seguridad siempre que no use algo que pueda quedar atrapado en una lista de palabras comunes. Los ataques de diccionario a su contraseña aún son posibles, pero no es probable que arrojen resultados debido a la enorme cantidad de tiempo que le tomaría a la herramienta del hacker descifrar su contraseña.
Limitación
La única limitación del método anterior es que algunos sitios no permiten contraseñas de más de 20 caracteres. Algunos tampoco permiten espacios u otros caracteres especiales en las contraseñas, aunque esto es cada vez más raro. Incluso me encontré con una plataforma de banca en línea que solo permitía hasta 14 caracteres alfanuméricos. En estos sitios, las contraseñas de oraciones no funcionarán en absoluto.
¡Es hora de que hables!
Hablé mucho en este momento. Parte de esto es un poco conflictivo con el conocimiento convencional sobre las contraseñas, por lo que es normal que tenga opiniones, preguntas y pensamientos al respecto. Es hora de que te abras. ¡Únase a mí y a otros lectores en una conversación que podría ayudar a aclarar todo dejando un comentario a continuación!