Contraseñas seguras
Las contraseñas son una de las herramientas esenciales para proteger la información en el mundo digital.
Los sistemas de correo electrónico, banca en línea, redes sociales, entre otros, tienen en común el uso de contraseñas para proteger su acceso. Pero, ¿qué es una contraseña? Según la Wikipedia, una contraseña“es una forma de autenticación que utiliza información secreta para controlar el acceso hacia algún recurso”. Este es un concepto general, pero si queremos llevarlo al mundo digital, una contraseña se constituye en una cadena o combinación de caracteres que permite a los usuarios tener acceso a un archivo, equipo o programa.
En este artículo se describe la problemática entorno al uso de contraseñas y su seguridad en la actualidad, y el motivo por el cuál, un número importante de personas reutiliza sus claves. Luego se darán recomendaciones para aprender a crear contraseñas seguras y difierentes para cada cuenta.
En el año 2003, Bill Burr escribió en el documento NIST Special Publication 800-63. Appendix A para la National Institute of Standards and Technology, las recomendaciones para generar contraseñas seguras según la aleatoriedad y la dificultad, y se describió formas en que podría emplearse mayor número de combinaciones de caracteres en contraseñas de longitudes dadas. Este documento motivó al mundo digital a adoptar ciertas recomendaciones para el uso de contraseñas seguras en la Internet, como por ejemplo longitud de al menos 8 caracteres, combinar palabras mayúsculas y minúsculas, usar números y caracteres especiales.
La siguiente imagen muestra las expectativas de una contraseña segura según estas recomendaciones:
Luego de más de 15 años, Burr, en una entrevista para el Wall Street Journal, sostuvo que: “Mucho de lo que hice ahora me arrepiento”. Esto se debe a que en la práctica es común que las personas usen contraseñas como “Autonomi@2019” en los sistemas que validan la seguridad de las claves o contraseñas conforme a las sugerencias expuestas anteriormente, pero en sistemas que no la validan, se terminan utilizando contraseñas como las que puede ver en la siguiente imagen, según una filtración de datos sensibles de la empresa Adobe:
El problema es más grave si se considera que Adobe es una de las tantas compañías que han sufrido filtraciones masivas de datos de sus usarios. Si usted es de las personas que reutilizan sus contraseñas y fue una de las tantas víctimas de estas filtraciones, es probable que la contraseña pueda ser utilizada por criminales para acceder a otras de sus cuentas, como por ejemplo, redes sociales, correo electrónico o incluso banca en línea.
Para saber si ha sido víctima de alguna de estas fugas de información, puede visitar el sitio Have i been pwned.
Frases de contraseña
Actualmente, todos saben qué es una contraseña, pero muy pocos conocen las frases de contraseña. Estas son una secuencia de palabras, preferiblemente aleatorias, sin una secuencia gramatical correcta, que pueden estar unidas por espacios y otros caracteres. Esto hace que este tipo de contraseñas sean mas fáciles de recordar que una contraseña común para el usuario y difíciles de adivinar por un adversario.
Por ejemplo, suponga que su contraseña es “{FjVkm;@C39=$” y quiere cambiarla a una frase de contraseña “ocupacion elegible monstruoso copiado enojado callado”. En el primer caso, si una computadora conoce la longitud de la contraseña y que contiene caracteres especiales, letras y números, entonces dicha computadora es capáz de adivinar la contraseña en sólo 3 días, al realizar 1000 intentos por segundo . Este factor es diferente en el segundo caso, al tener una frase de contraseña con palabras aleatorias, tomaría 550 años a 1000 intentos por segundo apróximadamente, para adivinar dicha contraseña. Visite el siguiente enlace para saber más sobre ello.
Este factor de complejidad o dificultad de la contraseña se debe a la entropía, un concepto en teoría de la información que básicamente se refiere a la cantidad de aleatoriedad contenida en una contraseña. Es decir, mientras más aleatoria sea la contraseña, más difícil es descifrarla.
Gestores de contraseñas
Si bien las frases de contraseñas pueden ser seguras y relativamente fáciles de recordar, no resuelven la problemática de tener una contraseña diferente para cada sitio. En este caso, un gestor de contraseñas es una herramienta que permite generar contraseñas aleatorias y seguras. Las mismas son almacenarlas en una base de datos cifrada y protegida con una frase de contraseña generada según las recomendaciones del presente. De esta forma, es necesario recordar solamente una o pocas contraseñas, mientras que el resto estarán almacenadas en el gestor de contraseñas.
Existen dos tipos de gestores de contraseña: los que funcionan en línea y los que funcionan fuera de línea. Los primeros suelen ser más conveniente ya que las contraseñas se puede compartir fácilmente entre dispositivos (computadoras, teléfonos, etc.). Sin embargo, al ser un servicio en línea, los proveedores del servicio tienen un tipo de control sobre las contraseñas almacenadas en sus servidores. En cambio, los gestores que funcionan fuera de línea son más seguros, ya que la información se almacena localmente, pero se dificulta la sincronización de dicha información entre los dispositivos.
Recomendaciones y conclusiones
El uso de una única contraseña o de contraseñas inseguras aumenta el riesgo sobre la seguridad de la información de las personas en la Internet. Este riesgo es mayor cuando existen graves filtraciones de datos de los proveedores de servicios en línea, que en muchos casos, incluyen información sensible como pares de usuarios y contraseñas.
Las frases de contraseñas son la mejor opción y más seguras para usar en los sistemas que nos solicitan una clave, pero no todos los sistemas soportan este tipo de contraseñas por lo que es importante diferenciar cuando usar una contraseña común y cuando, una frase de contraseña.
Utilizar un administrador de contraseñas y protegerlo con una frase de contraseña generada aleatoriamente, incrementará notablemente la seguridad de las personas en la red ya que se puede tener una contraseña segura y diferente para cada cuenta.
El uso de un gestor de contraseñas genera otro tipo de riesgos que pueden ser mitigados con la combinación de otros métodos populares de seguridad. Por ejemplo,¿qué pasa si se pierde el acceso a la base de datos donde se encuentran las contraseñas? En ese caso, para mitigar este riesgo es importante realizar respaldos periódicos (link) del archivo de contraseñas, así, en caso de pérdida del archivo principal, nuestras contraseñas permanecerán seguras y accesibles a travéz de los respaldos.