Si hay algo que la gente asocia con la tecnología moderna, son las contraseñas. Están en todas partes y la mayoría de nosotros los usamos para docenas de cosas todos los días. Sin embargo, la mayoría de las personas son sorprendentemente indiferentes acerca de la seguridad de sus contraseñas. La mayoría de nosotros probablemente conocemos a alguien que usa la misma contraseña para todo, desde su computadora y correo electrónico a sus cuentas bancarias y de Facebook, y esa contraseña puede ser algo tan obvio como su cumpleaños o el nombre de la calle donde crecieron. Y probablemente también conozcamos a alguien que tiene una nota adhesiva en el costado de su monitor con la etiqueta "Contraseñas" (en rojo, doblemente subrayado) con una lista de todo, desde Twitter hasta Netflix, simplemente sentado al aire libre para que cualquiera pueda leer.
Estas prácticas pueden sonar como algo de la generación de nuestros abuelos, pero eso no es estrictamente cierto: la semana pasada vi un miembro completo de la Generación D que intenta cambiar de un Samsung Galaxy S (er, Fascinate) a un HTC Rezound a través de su computadora portátil computadora. ¿Cómo estaba moviendo todas sus contraseñas? Tenía un trozo de papel en su billetera con "todas sus contraseñas", y por
todo el quiso decir tres. Uno para el correo electrónico y las redes sociales, uno para el correo electrónico de su tía abuela ("Lo reviso por ella") y otro para todo lo demás. Mirando por encima del hombro, las tres eran palabras cotidianas: mophandle,balbuceador, y lillian ¿Adivina cuál era el de su tía?Vídeos recomendados
Afortunadamente, existen formas sencillas de hacer que las contraseñas sean difíciles de adivinar y fáciles de recordar. Desafortunadamente, la industria de la tecnología a veces se interpone en su uso. Aquí hay un resumen de las debilidades comunes de las contraseñas y algunas formas en que puede mejorar sus contraseñas y su seguridad en línea.
Oscuridad versus complejidad
Una perogrullada común acerca de las contraseñas es que deben nunca ser fácil de adivinar. La mayoría de los expertos en tecnología están de acuerdo en que nadie debe usar detalles sobre sí mismos como contraseña: eso incluye cumpleaños, direcciones y nombres de amigos y familiares (incluidos padres, hermanos, cónyuges, hijos y incluso mascotas). Similarmente, contraseña hace una contraseña singularmente pobre, al igual que todos los demás contraseñas desechables de uso común.
Este consejo perenne a menudo se interpreta en el sentido de que las contraseñas deben ser oscuro, o un término que nadie pensaría que elegirías si tuvieran un millón de años. Sí, la oscuridad puede funcionar, y es mucho mejor que elegir una contraseña obvia. Sin embargo, una contraseña oscura solo lo protege de las personas que saben algo sobre usted. Lo más probable es que la mayoría de las personas intenten descifrar sus contraseñas no conocerte
La mayor parte del descifrado de contraseñas no ocurre de la forma en que se presenta en las películas, donde Our Hero (o The villano) se sienta frente a un teclado, intenta una frase o dos, se frota la barbilla y luego ve una foto de su infancia en el escritorio. ¡Ajá! Escribe la palabra mágica y presto, seguridad burlada. En el mundo real, la gran mayoría del descifrado de contraseñas está automatizado, con computadoras literalmente lanzando cada palabra en el diccionario (y algo más) en un sistema con la esperanza de tropezar con el término correcto. Este enfoque puede funcionar porque las computadoras pueden probar las contraseñas mucho más rápido de lo que los humanos pueden escribirlas, y pueden funcionar las 24 horas del día, los siete días de la semana, sin descansos para ir al baño. Los crackers de contraseñas automatizados no saben nada sobre los usuarios que intentan comprometer: es un enfoque de fuerza bruta.
Entonces, resulta que la clave para una contraseña segura no es su oscuridad pero es complejidad — cosas que hacen que sea menos probable que un descifrador automático de contraseñas lo adivine. Sin embargo, hacer una buena contraseña compleja significa saber un poco sobre cómo se descifran las contraseñas.
Rompiendo contraseñas
En términos muy generales, los crackers de contraseñas suelen tener dos enfoques. Una es probar literalmente una lista precompilada de posibles contraseñas. Por lo general, comienzan con contraseñas muy comunes (como contraseña o QWERTY) y trabajar hasta llegar a términos menos comunes y, eventualmente, usar una lista de palabras compiladas de un diccionario en línea y otras fuentes. Es más probable que este enfoque encuentre contraseñas que sean palabras válidas o variantes de ellas, incluso si son oscuras.
Otro enfoque para descifrar contraseñas es probar secuencias válidas de letras, números y símbolos, independientemente de su significado. Un descifrador de contraseñas que utiliza este enfoque podría comenzar con aaaaaaaa para obtener una contraseña de ocho caracteres, intente aaaaaab entonces aaaaaaaac y así sucesivamente en el alfabeto, mezclando mayúsculas y minúsculas, y agregando números y símbolos. Es más probable que este enfoque encuentre contraseñas que sean "aptas para máquinas" o generadas aleatoriamente. Un código de acceso como 4De78Hf1 no es más difícil de encontrar de esta manera que adolescente sería.
Entonces, ¿cuáles son las probabilidades de que se adivine una contraseña? La mayoría de los sistemas en estos días permiten a los usuarios crear contraseñas usando letras (mayúsculas y minúsculas), números y una selección de símbolos. Los símbolos permitidos a menudo varían entre sistemas (algunos permiten casi cualquier cosa, otros permiten solo unos pocos), pero para nuestros propósitos, vamos a suponga que eso significa que cada carácter en una contraseña puede ser uno de aproximadamente 80 valores: dos alfabetos de 26 letras cada uno, diez números y 18 simbolos (En teoría, deberían estar disponibles al menos 127 valores para cada carácter, pero en la práctica es un número menor).
Usando un enfoque puramente de fuerza bruta, eso significa que tomaría un máximo de 80 conjeturas para descifrar al azar una contraseña de un carácter. Una contraseña de cuatro caracteres podría requerir más de 40 millones de conjeturas (80 × 80 × 80 × 80 = 40 960 000) y una contraseña de ocho caracteres podría requerir más de 1,6 cuatrillones de conjeturas (1 677 721 600 000 000).
Si un descifrador de contraseñas pudiera adivinar 1000 veces por segundo, necesitaría alrededor de un mes para ejecutar todas las combinaciones de una contraseña de cuatro caracteres, y más de 53 000 años para ejecutar todas las combinaciones de una contraseña de 8 caracteres. Eso parece bastante seguro, ¿verdad?
Bueno en realidad no. En términos puramente estadísticos, un cracker tiene una probabilidad del 50/50 de encontrar la contraseña en medio ese momento. Lo que es más preocupante, las personas que hacen descifradores de contraseñas tienen otras formas de mejorar sus probabilidades. recuerda como contraseña fue una de las peores contraseñas para usar? ¿Adivina qué también es una contraseña muy mala? contraseña, sustituyendo un número cero por una letra O. Mientras que los crackers de contraseñas están ejecutando sus palabras comunes de un diccionario, también están probando variantes comunes en esos palabras, sustituyendo ceros por O, signos @ y 4 por A, 3 por E, 1 y! por I, 7 por T, 5 por S y pronto. Similarmente, 0qww294e es una contraseña terrible, eso es solo contraseña desplazado hacia arriba una fila en un teclado inglés estándar. Estas técnicas se aprovechan de la preferencia de los usuarios por contraseñas fáciles de recordar. Desafortunadamente, al sustituir (o poner en mayúscula) uno o dos caracteres en un término fácil de recordar, la mayoría de las personas hacen que sus contraseñas sean más oscuras, pero no mucho más seguras. De hecho, las contraseñas típicas de ocho caracteres seleccionadas por el usuario con mayúsculas y minúsculas, números y símbolos generalmente solo tienen alrededor de 30 bits de entropía, o un poco más de mil millones de combinaciones posibles. ¿Por qué? Porque la lista de términos en los que las personas basan sus contraseñas es mucho más pequeña que el total de combinaciones posibles de letras, números y símbolos.
¿Qué tan rápido se pueden descifrar las contraseñas? Probar 1000 contraseñas por segundo puede parecer imposible; después de todo, la mayoría de los servicios tienden a bloquearnos el acceso a nuestras propias cuentas si escribe mal una contraseña tres o cuatro veces, a menudo restableciendo la contraseña y requiriendo que respondamos preguntas de seguridad para hacer una nueva uno. Estas técnicas de "puerta de enlace" hacer mejoran la seguridad de la cuenta y, por cierto, también son una excelente forma increíblemente fácil de molestar a las personas. (No puedo decirte cuántas veces he sido bloqueado de mi cuenta de iTunes por ataques de contraseña, pero probablemente sean más de cien).
Sin embargo, los atacantes que intentan descifrar las contraseñas no tocan la puerta principal de un servicio e intentan (literalmente) millones de veces iniciar sesión en la misma cuenta. Están utilizando métodos de autenticación menos públicos que no están sujetos a bloqueos (como una API privada para socios o aplicaciones), difundiendo su ataques en una amplia gama de cuentas para evitar períodos de bloqueo o (en el mejor de los casos) aplicar técnicas de descifrado de contraseñas para contraseñas robadas datos. La mayoría de los sistemas cifran los datos de contraseña que almacenan, pero esos archivos cifrados son tan seguros como el propio sistema. Si los atacantes pueden hacerse con el archivo de contraseña cifrada (a través de un agujero de seguridad, máquina, o ingeniería social, para empezar) pueden atacarlo muy rápidamente una vez que está solo sistemas Es por eso que las historias sobre atacantes que obtienen información de la cuenta (como Stratfor, épsilon, sony, y Zappos) son preocupantes. Una vez que los datos cifrados se han liberado, los atacantes pueden aplicar herramientas mucho más poderosas para abrirlos.
En el mundo real, eso significa que la cifra de 1000 contraseñas por segundo es extremadamente conservadora. El hardware de computación de escritorio típico en estos días puede probar millones de contraseñas por segundo contra las tecnologías de encriptación comunes. Del mismo modo, ahora existen herramientas para descifrar contraseñas que aprovechan los procesadores gráficos, y los operadores de botnets criminales también están en el negocio de descifrar contraseñas. Pueden distribuir la carga de trabajo entre miles de computadoras. Combine este poder bruto con heurísticas sofisticadas (como probar variantes de números y letras en palabras comunes) y no es raro descifrar una contraseña de usuario típica de ocho caracteres en menos de medio minuto. hora.
Disparándonos en el pie
Anteriormente notamos cómo una contraseña de ocho caracteres, con mayúsculas, minúsculas, números y símbolos, puede tener más de un cuatrillones de combinaciones posibles, pero la mayoría de las contraseñas de ocho caracteres que se usan hoy en día caen dentro de un grupo de solo alrededor de mil millones combinaciones Eso es porque los humanos no son máquinas. Cuando una computadora se contenta con usar tortuga o Y&4nS0\2 como contraseña, adivina cuál es más fácil de recordar para un humano? Ahora, adivina cuál es más seguro.
Algunos sistemas implementan requisitos de contraseña destinados a garantizar que los usuarios no utilicen contraseñas fáciles de descifrar. Un enfoque común es exigir que las contraseñas de los usuarios tengan al menos una letra mayúscula, un número, un símbolo y una longitud mínima de ocho caracteres. (Algunos sistemas no imponen requisitos, pero ofrecen un indicador de la "fortaleza de la contraseña" como una medida de la eficacia que cree que podría tener una contraseña. ser.) Algunos sistemas también requieren que los usuarios cambien sus contraseñas cada cierto tiempo (digamos, cada 30 o 45 días) y evitan que se vuelvan a usar. contraseñas
Este tipo de requisitos hacer aumentan la seguridad de las contraseñas, pero también hacen que las contraseñas sean mucho más difíciles de recordar para las personas. Eso significa que una parte significativa de los usuarios encontrará de inmediato formas de socavar la seguridad del sistema para su propia conveniencia. Claro, algunas personas pueden manejar contraseñas como 9.3nDs(# pero muchas otras personas van a responder con notas adhesivas cargadas de contraseñas en los lados de los monitores, notas en sus billeteras, o un documento de Microsoft Word en su escritorio etiquetado de manera útil como "Contraseñas" para que puedan copiar y pegar cuando necesario. Los requisitos de construcción de contraseñas también tienden a perjudicar la productividad y aumentan los costos de soporte (tanto para los empleados como para los demás). clientes), ya que más personas olvidarán sus contraseñas o no podrán acceder a sus cuentas, lo que requerirá intervención.
Hacer contraseñas complejas
El Santo Grial de las contraseñas parecería ser una contraseña que es complejo lo suficiente como para que no sea práctico descifrar usando técnicas automatizadas, pero lo suficientemente fácil como para recordar que los usuarios no comprometen la seguridad almacenándolos o administrándolos de manera insegura.
Estos son algunos consejos para crear contraseñas complejas y fáciles de recordar:
- Utilice contraseñas largas. Si una contraseña de ocho caracteres puede tener 1,6 cuatrillones de combinaciones posibles, ¿imagina cuántas puede tener una contraseña de 16 caracteres? (Alrededor de 2.8 nonillion, o 2.830.) Sin embargo, quizás lo más importante, el conjunto de valores para una contraseña de 16 caracteres usando términos comunes y variaciones es un poco menos de 1,2 quintillones, donde era un poco más de mil millones con ocho caracteres contraseña. Usar contraseñas más largas es la forma más fácil de hacer que las contraseñas sean más complejas y seguras.
- Usa palabras combinadas. ¿Cómo hacer contraseñas largas fáciles de recordar? Una técnica común es usar una serie de tres a cinco simples, no relacionado términos. Por lo general, estos son tan fáciles de recordar como los números PIN; cognitivamente, las personas tienden a recordar palabras completas como unidades individuales. Sin embargo, estas contraseñas pueden ser muy complejas, al menos desde el punto de vista del descifrado de contraseñas. Y estas contraseñas son fáciles de hacer simplemente mirando alrededor o pasando un libro a una página al azar. Mirando a la izquierda de mi ventana, veo una rana de juguete, un automóvil y la ventana de la cocina de alguien. Nueva contraseña: RanaTapacubosArmario — son 18 caracteres, pero solo tres palabras para recordar. Mirando a la derecha: CorredorCámaraPegamentoCadena — cuatro palabras cortas, 22 caracteres. Solo he usado mayúsculas para ayudar a dividir las palabras. Agregar más caracteres o sustituciones puede aumentar la complejidad, pero no se vuelva tan complejo que sea víctima de las debilidades de las contraseñas difíciles.
- Usa frases o letras. Otra forma de hacer contraseñas largas es usar partes de frases o letras. Para las letras, las canciones relativamente comunes son quizás mejores que las que son particularmente importantes para ti: de nuevo, no quieres personas que te conocen bien pueden adivinar tus contraseñas solo porque eres un gran admirador de Michael Bolton (o no). Ejemplos de contraseñas hechas de fases o letras pueden ser Eres NoJackKennedy (19 caracteres), iShotaManinReno (15 caracteres), impepinandimcreepin (20 caracteres).
- Usa mnemotécnicos. La desventaja de las contraseñas largas es que pueden ser difíciles de escribir, especialmente en un dispositivo móvil. Otro truco que algunas personas encuentran útil para generar contraseñas más cortas y complejas es usar el primer carácter de cada palabra en una frase o letra. “¿Cuántos caminos debe recorrer un hombre?” podría convertirse en HmrmamwD—solo ocho caracteres, pero relativamente complejo desde el punto de vista de un programa para descifrar contraseñas. Del mismo modo, "Agítalo, agítalo como una foto polaroid" podría convertirse en SiSiLapp - tal vez no genial, pero mejor que tortuga. Este truco también puede ayudar a generar buenas contraseñas para los sistemas que todavía tienen un límite en cuanto a la longitud de las contraseñas.
Estas pautas generalmente lo ayudarán a crear contraseñas complejas y fáciles de recordar. Por supuesto, cuando se trata de sistemas de contraseñas con requisitos de composición (es decir, esperan una combinación de mayúsculas y minúsculas, números o símbolos), aún tendrá que idear giros originales en las contraseñas para cumplir con esos requisitos Solo recuerde que con contraseñas más largas, puede hacer sus sustituciones y cambios en lugares obvios: por lo general, estas contraseñas largas son más fáciles de recordar incluso con requisitos que las cortas y sin sentido contraseñas
Algunos otros consejos
Otras cosas en las que pensar al elegir sus contraseñas:
- Use contraseñas separadas para servicios separados. No utilice su contraseña de red social para la banca en línea. Si una contraseña se ve comprometida en un servicio, los demás deberían estar seguros.
- Elija las contraseñas importantes con cuidado. Los sistemas de inicio de sesión único pueden ser tremendamente convenientes, pero también crean un único punto de falla para múltiples servicios. Algunos ejemplos serían las contraseñas de cuentas en los servicios de Google, Yahoo y Microsoft, donde una sola contraseña descifrada podría dar alguien acceda a correo electrónico, documentos, imágenes, redes sociales, blogs, bibliotecas de fotos, listas de contactos, libretas de direcciones y más. Del mismo modo, con tantos sitios (incluso Tendencias digitales) aceptando inicios de sesión de Facebook y Twitter, una contraseña de red social comprometida puede tener repercusiones de gran alcance.
- Cambia tus contraseñas. Es tentador pensar que si una de sus contraseñas se rompe, lo sabrá de inmediato: su correo electrónico desaparecerá, su blog convertirse en un conjunto de gráficos lulz, su lista de regalos de Amazon podría estar llena de opciones vergonzosas, su cuenta de PayPal podría borrarse afuera. Sin embargo, ese no es siempre el caso: si alguien descifra su contraseña, es posible que no haya ninguna señal evidente, al menos no de inmediato. Al cambiar su contraseña con regularidad, se asegura de que incluso si alguien ingresa, su ventana de oportunidad para explotarlo es limitada. La frecuencia con la que debe cambiar las contraseñas varía según la forma en que utiliza los servicios en línea. Para cualquier cosa que involucre dinero real, generalmente recomiendo que los usuarios cambien sus contraseñas cada 30 a 90 días; cuanto más dinero, más a menudo.
Ninguna contraseña es segura
Quizás lo más importante que debe recordar acerca de las contraseñas es que cualquier la contraseña se puede descifrar: es solo una cuestión de cuánto tiempo y esfuerzo alguien está dispuesto a dedicarle. Los consejos aquí le ayudarán a reducir las probabilidades de que sus contraseñas sean descifradas por atacantes aleatorios e incluso por amigos y familiares, pero ninguna contraseña es completamente segura. Si el acceso seguro a un servicio es muy importante para usted, considere buscar varias formas de autenticación de múltiples factores para reducir aún más las posibilidades de acceso no autorizado.
Credito de imagen: Shutterstock / mermeladadiseño / Tatiana Popova / Pedro Miguel Sousa
Recomendaciones de los editores
- Estas vergonzosas contraseñas hicieron que las celebridades fueran pirateadas
- No, 1Password no fue pirateado: esto es lo que realmente sucedió
- Cómo proteger con contraseña una carpeta en Windows y macOS
- LastPass revela cómo fue pirateado, y no son buenas noticias
- Reddit fue pirateado: aquí se explica cómo configurar 2FA para proteger su cuenta
