La mayoría de la gente entiende que la «fortaleza» de la contraseña está determinada por la variedad de tipos de caracteres en una contraseña. Pero mientras que los formularios de registro pueden pensar que la complejidad es seguridad, los atacantes no están de acuerdo. La complejidad ya no defiende contra un modelo de amenaza moderno. ¿Qué hace que las contraseñas sean seguras? Primero debemos examinar el modelo de amenaza real que enfrenta la mayoría de la gente.
La complejidad de la contraseña pierde el punto
La «fortaleza» de la contraseña a menudo es solo una función de la complejidad, o la cantidad de aleatoriedad en una contraseña, medida por el uso de símbolos, números y mayúsculas y minúsculas. Pero agregar algunos caracteres diferentes a su contraseña no aumenta significativamente su «fortaleza», a pesar de lo que sugiere la engañosa barra verde de «fortaleza» junto a su contraseña. La complejidad aumenta la dificultad de un ataque de fuerza bruta, pero ese tipo de ataque es poco común.
En cambio, el robo de credenciales ocurre en robos masivos de datos o filtraciones de grandes organizaciones. La seguridad de la contraseña no le ayudará si los atacantes tienen su contraseña en texto sin formato.
Utilice contraseñas únicas
La mayoría de las personas son enormemente vulnerables a algo llamado «relleno de credenciales»: las credenciales comprometidas se prueban en plataformas populares para explotar la tendencia humana a reutilizar contraseñas. Ese es un peligro mucho mayor que una contraseña «débil». Después de todo, una contraseña «superfuerte» completamente aleatoria reutilizada en cada plataforma se volvería desastrosa después de una filtración.
En lugar de pensar en la seguridad de la contraseña como una propiedad singular, debemos pensar en la seguridad de su sistema de autenticación. Las contraseñas modernas crean ese sistema y deben ser consideradas como tales. Usar contraseñas únicas es mucho más fácil con un administrador de contraseñas, así que comience con uno hoy si aún no lo ha hecho.
La longitud es más importante que la complejidad
Durante años hemos sido entrenados para pensar en la complejidad como el factor más importante de una contraseña. Y aunque sabemos que los ataques de fuerza bruta son raros, la complejidad ni siquiera es la mejor defensa contra el cracking de fuerza bruta: la longitud es en realidad mucho más importante.
XKCD muestra que la longitud de la contraseña es lo que importa.
La longitud de la contraseña tiene una relación exponencial con el tiempo de descifrado, por lo que aumentos moderados en la longitud pueden generar aumentos masivos en el tiempo de descifrado. La complejidad, por otro lado, tiene una relación más lineal con el tiempo de craqueo.
Tome este ejemplo: una máquina de craqueo de alto rendimiento puede descifrar una contraseña de aspecto complejo como *nRyU86) en tan poco como ochenta minutos. Aumentar la longitud en una sola letra mayúscula alarga ese tiempo a casi trece-seis horas, mientras que cambiar una letra por un símbolo no proporciona un cambio significativo en el tiempo de craqueo.
Aprovechemos al máximo los poderes exponenciales de la longitud. ¿Qué pasa con una frase de contraseña de cuatro palabras, usando palabras conocidas del diccionario y con un total de dieciséis caracteres de longitud? Incluso teniendo en cuenta los ataques de diccionario (ataques que usan una base de datos de palabras conocidas para adivinar contraseñas en lugar de generar conjeturas aleatorias), aún tomaría noventa mil millones de años descifrar la contraseña.
Olvídese de la complejidad. Las mejores contraseñas son en realidad frases de paso. Nunca podría recordar una contraseña compleja similarmente fuerte. Pero a los cerebros les encantan las historias divertidas y las imágenes sorprendentes. Si genera una historia absurdamente memorable para una frase generada aleatoriamente, le será difícil olvidarla.
La generación de frases de contraseña verdaderamente aleatorias es fundamental. Elegir palabras relacionadas contigo mismo, como tu mes de nacimiento, hará que la frase de contraseña sea más fácil de adivinar. Usar Dados de contraseña de EFF para generar frases de contraseña aleatorias de forma segura.
Activar todos los sistemas de autenticación de dos factores
Todos los sistemas tienen fugas. La fortaleza de la contraseña no lo salvará. Entonces, ¿cómo puedes defenderte? Los sistemas de autenticación de dos factores (2FA) brindan una capa adicional de seguridad. 2FA solicita dos tipos de credenciales: algo que sepa (es decir, su contraseña) y algo que tenga (es decir, su teléfono). En la mayoría de los sistemas 2FA, estos códigos son generados por un servidor remoto. El servidor envía el código activo al usuario en el momento del inicio de sesión.
Desafortunadamente, los atacantes pueden interceptar códigos SMS con relativa facilidad mediante la clonación de tarjetas SIM. Para evitar este espionaje, genere códigos en su dispositivo móvil con una aplicación 2FA como autista, Autenticador de Googleo un administrador de contraseñas con soporte 2FA como 1 Contraseña.
Conclusión
La «fuerza» de una sola contraseña es una pista falsa. Un sistema fuerte de autenticación es más importante. Las fugas y el robo de datos ocurren inevitablemente. Las contraseñas únicas mantienen el daño contenido. La autenticación de dos factores puede reducir a cero el daño de las credenciales robadas.