Si hay algo que la gente asocia con la tecnología moderna son las contraseñas. Están en todas partes y la mayoría de nosotros los usamos para decenas de cosas todos los días. Sin embargo, la mayoría de las personas se muestran sorprendentemente indiferentes a la seguridad de sus contraseñas. La mayoría de nosotros probablemente conocemos a alguien que usa la misma contraseña para todo, desde su computadora y correo electrónico hasta Facebook y cuentas bancarias, y esa contraseña podría ser algo tan obvio como su cumpleaños o el nombre de la calle donde crecieron. Y probablemente también conozcamos a alguien que tiene una nota adhesiva en el costado de su monitor con la etiqueta "Contraseñas" (en rojo, doble subrayado) con una lista de todo, desde Twitter hasta Netflix, a la vista de cualquiera. leer.
Estas prácticas pueden parecer algo propio de la generación de nuestros abuelos, pero eso no es estrictamente cierto: la semana pasada vi un miembro de pleno derecho de la Generación D que intenta pasar de un Samsung Galaxy S (es decir, Fascinate) a un HTC Rezound a través de su computadora portátil computadora. ¿Cómo estaba moviendo todas sus contraseñas? Tenía un trozo de papel en su billetera con "todas sus contraseñas", y por
todo el quiso decir tres. Uno para el correo electrónico y las redes sociales, otro para el correo electrónico de su tía abuela (“Lo reviso por ella”) y otro para todo lo demás. Mirando por encima del hombro, las tres eran palabras cotidianas: mophandle,balbuceador, y lilian. ¿Adivina cuál era el de su tía?Vídeos recomendados
Afortunadamente, existen formas sencillas de hacer que las contraseñas sean difíciles de adivinar y fáciles de recordar. Desafortunadamente, la industria tecnológica a veces se interpone en su uso. Aquí hay un resumen de las debilidades comunes de las contraseñas y algunas formas en que puede mejorar sus contraseñas y su seguridad en línea.
Oscuridad versus complejidad
Una perogrullada común sobre las contraseñas es que deberían nunca ser fácil de adivinar. La mayoría de las personas conocedoras de la tecnología están de acuerdo en que nadie debería utilizar detalles sobre sí mismo como contraseña: eso incluye cumpleaños, direcciones y nombres de amigos y familiares (incluidos padres, hermanos, cónyuges, hijos y incluso mascotas). Similarmente, contraseña es una contraseña singularmente pobre, al igual que todas las demás contraseñas desechables de uso común.
Este consejo imperecedero a menudo se interpreta en el sentido de que las contraseñas deben ser oscuro, o un término que nadie pensaría que elegirías si tuvieran un millón de años. Sí, lo oscuro puede funcionar, y es muchísimo mejor que elegir una contraseña obvia. Sin embargo, una contraseña oscura sólo te protege de personas que saben algo sobre ti. Lo más probable es que la mayoría de las personas intenten descifrar sus contraseñas. no te conozco.
La mayor parte del descifrado de contraseñas no ocurre como se muestra en las películas, donde Nuestro Héroe (o El Villano) se sienta frente a un teclado, prueba una o dos frases, se frota la barbilla y luego espía una foto de su infancia. el escritorio. ¡Ajá! Escribe la palabra mágica y presto, seguridad eludida. En el mundo real, la gran mayoría del descifrado de contraseñas se realiza de forma automatizada, y los ordenadores literalmente arrojar cada palabra del diccionario (y más) a un sistema con la esperanza de tropezar con el término correcto. Este enfoque puede funcionar porque las computadoras pueden probar contraseñas mucho más rápido de lo que los humanos pueden escribirlas, y pueden funcionar las 24 horas del día, los siete días de la semana, sin ir al baño. Los descifradores de contraseñas automatizados no saben nada sobre los usuarios que intentan comprometer: es un enfoque de fuerza bruta.
Entonces, resulta que la clave para una contraseña segura no es su oscuridad pero es complejidad – cosas que hacen que sea menos probable que un descifrador de contraseñas automatizado la adivine. Sin embargo, crear una buena contraseña compleja significa saber un poco sobre cómo se descifran las contraseñas.
Rompiendo contraseñas
En términos muy generales, los descifradores de contraseñas suelen tener dos enfoques. Una es probar literalmente una lista precompilada de posibles contraseñas. Generalmente parten de contraseñas muy comunes (como contraseña o QWERTY) y avance hasta llegar a términos menos comunes y, finalmente, utilice una lista de palabras compiladas de un diccionario en línea y otras fuentes. Es más probable que este enfoque encuentre contraseñas que sean palabras válidas o variantes de ellas, incluso si son oscuras.
Otro método para descifrar contraseñas es probar secuencias válidas de letras, números y símbolos, independientemente de su significado. Un descifrador de contraseñas que utilice este enfoque podría comenzar con aaaaaaaa para obtener una contraseña de ocho caracteres, luego intente aaaaaaab entonces aaaaaaac y así sucesivamente a lo largo del alfabeto, mediante combinaciones de mayúsculas y minúsculas, y añadiendo números y símbolos. Es más probable que este enfoque encuentre contraseñas "apto para máquinas" o generadas aleatoriamente. Un código de acceso como 4De78Hf1 No es más difícil encontrar este camino que adolescente sería.
Entonces, ¿cuáles son las probabilidades de que se adivine una contraseña? Hoy en día, la mayoría de los sistemas permiten a los usuarios crear contraseñas utilizando letras (mayúsculas y minúsculas), números y una selección de símbolos. Los símbolos permitidos a menudo varían entre sistemas (algunos permiten casi cualquier cosa, otros sólo permiten un puñado), pero para nuestros propósitos, Supongamos que eso significa que cada carácter de una contraseña puede tener uno de aproximadamente 80 valores: dos alfabetos de 26 letras cada uno, diez números y 18 símbolos. (En teoría, al menos 127 valores deberían estar disponibles para cada carácter, pero en la práctica es un número menor).
Usando un enfoque puramente de fuerza bruta, eso significa que se necesitarían un máximo de 80 intentos para descubrir aleatoriamente una contraseña de un carácter. Una contraseña de cuatro caracteres podría requerir más de 40 millones de intentos (80 × 80 × 80 × 80 = 40.960.000) y una contraseña de ocho caracteres podría soportar más de 1,6 billones de intentos (1.677.721.600.000.000).
Si un descifrador de contraseñas pudiera adivinar 1.000 veces por segundo, necesitaría alrededor de un mes para ejecutar todas las combinaciones de una contraseña de cuatro caracteres, y más de 53.000 años para ejecutar todas las combinaciones de una contraseña de 8 caracteres. Eso parece bastante seguro, ¿verdad?
Bueno en realidad no. En términos puramente estadísticos, un cracker tiene una probabilidad del 50/50 de encontrar la contraseña en medio ese momento. Lo que es más preocupante es que las personas que crean descifradores de contraseñas tienen otras formas de mejorar sus probabilidades. recuerda como contraseña ¿Fue una de las peores contraseñas para usar? ¿Adivina cuál es también una contraseña muy mala? Contraseña, sustituyendo un número cero por una letra O. Mientras los descifradores de contraseñas obtienen sus palabras comunes de un diccionario, también prueban variantes comunes de esas palabras. palabras, sustituyendo ceros por O, signos @ y 4 por A, 3 por E, 1 y! por I, 7 por T, 5 por S, y pronto. Similarmente, 0qww294e es una contraseña terrible, eso es solo contraseña subió una fila en un teclado inglés estándar. Estas técnicas se aprovechan de la preferencia de los usuarios por contraseñas fáciles de recordar. Desafortunadamente, al sustituir (o poner en mayúscula) uno o dos caracteres en un término fácil de recordar, la gente hace que sus contraseñas sean más oscuras, pero no mucho más seguras. De hecho, las contraseñas típicas de ocho caracteres seleccionadas por el usuario con una mezcla de mayúsculas y minúsculas, números y símbolos normalmente sólo tienen unos 30 bits de entropía, o un poco más de mil millones de combinaciones posibles. ¿Por qué? Porque la lista de términos en los que la gente basa sus contraseñas es mucho menor que el total de combinaciones posibles de letras, números y símbolos.
¿Qué tan rápido se pueden descifrar las contraseñas? Probar 1000 contraseñas por segundo puede parecer imposible; después de todo, la mayoría de los servicios tienden a bloquearnos el acceso a nuestras propias cuentas si las utilizamos. Escribe mal una contraseña tres o cuatro veces, lo que a menudo restablece la contraseña y nos obliga a responder preguntas de seguridad para crear una nueva. uno. Estas técnicas de “puerta de entrada” hacer mejorar la seguridad de la cuenta y, dicho sea de paso, también son una excelente manera increíblemente fácil de molestar a la gente. (No puedo decirle cuántas veces me han bloqueado el acceso a mi cuenta de iTunes debido a ataques de contraseña, pero probablemente sean más de cien).
Sin embargo, los atacantes que intentan descifrar contraseñas no están llamando a la puerta de entrada de un servicio e intentando (literalmente) millones de veces iniciar sesión en la misma cuenta. O bien utilizan métodos de autenticación menos públicos que no están sujetos a bloqueos (como una API privada para socios o aplicaciones), difundiendo su ataques en una amplia gama de cuentas para evitar períodos de bloqueo o (en el mejor de los casos) aplicar técnicas de descifrado de contraseñas a contraseñas robadas datos. La mayoría de los sistemas cifran los datos de contraseñas que almacenan, pero esos archivos cifrados son tan seguros como el propio sistema. Si los atacantes pueden obtener el archivo de contraseña cifrado (a través de un agujero de seguridad, comprometido máquina, o ingeniería social, para empezar) pueden atacarlo muy rápidamente una vez que esté solo sistemas. Es por eso que las historias sobre atacantes que obtienen información de cuentas (como estratfor, Épsilon, sony, y zapos) son preocupantes. Una vez que los datos cifrados se han liberado, los atacantes pueden aplicar herramientas mucho más poderosas para abrirlos.
En el mundo real, eso significa que la cifra de 1.000 contraseñas por segundo es extremadamente conservadora. El hardware informático de escritorio típico de hoy en día puede probar millones de contraseñas por segundo frente a las tecnologías de cifrado comunes. De manera similar, ahora existen herramientas para descifrar contraseñas que aprovechan los procesadores gráficos, y los operadores criminales de botnets también están en el negocio de descifrar contraseñas. Pueden distribuir la carga de trabajo entre miles de computadoras. Combine este poder puro con heurísticas sofisticadas (como probar variantes de números y letras en palabras comunes) y no es inusual descifrar una contraseña de usuario típica de ocho caracteres en menos de media hora. hora.
Disparándonos en el pie
Hemos observado anteriormente cómo una contraseña de ocho caracteres, con mayúsculas, minúsculas, números y símbolos, puede tener más de una billones de combinaciones posibles, pero la mayoría de las contraseñas de ocho caracteres que se utilizan hoy en día se encuentran dentro de un grupo de sólo alrededor de mil millones. combinaciones. Eso es porque los humanos no son máquinas. Cuando una computadora se contenta con usar tortuga o Y&4nS0\2 como contraseña, ¿adivinen cuál es más fácil de recordar para un humano? Ahora, adivina cuál es más seguro.
Algunos sistemas implementan requisitos de contraseña destinados a garantizar que los usuarios no utilicen contraseñas fáciles de descifrar. Un enfoque común es exigir que las contraseñas de usuario tengan al menos una letra mayúscula, un número, un símbolo y una longitud mínima de ocho caracteres. (Algunos sistemas no imponen requisitos, pero ofrecen un indicador de la "seguridad de la contraseña" como medida de cuán efectiva cree que podría ser una contraseña. ser.) Algunos sistemas también requieren que los usuarios cambien sus contraseñas de vez en cuando (digamos, cada 30 o 45 días) y les impiden reutilizarlas. contraseñas.
Este tipo de requisitos hacer aumentan la seguridad de las contraseñas, pero también hacen que las contraseñas sean mucho más difíciles de recordar para las personas. Eso significa que una parte importante de los usuarios encontrarán inmediatamente formas de subvertir la seguridad del sistema para su propia conveniencia. Claro, algunas personas pueden manejar contraseñas como 9.3nDs(# pero muchas otras personas responderán con notas adhesivas cargadas de contraseñas a los lados de los monitores, notas en sus billeteras o un documento de Microsoft Word en su escritorio con la útil etiqueta "Contraseñas" para que puedan copiar y pegar cuando necesario. Los requisitos de construcción de contraseñas también tienden a perjudicar la productividad y aumentar los costos de soporte (tanto para los empleados como para los empleados). clientes), ya que más personas olvidarán sus contraseñas o quedarán bloqueadas de sus cuentas, lo que requerirá intervención.
Crear contraseñas complejas
El Santo Grial de las contraseñas parecería entonces ser una contraseña que es complejo Lo suficiente como para que no sea práctico descifrar usando técnicas automatizadas, pero lo suficientemente fácil como para recordar que los usuarios no comprometen la seguridad almacenándolos o administrándolos de manera insegura.
A continuación se ofrecen algunos consejos para crear contraseñas complejas y fáciles de recordar:
- Utilice contraseñas largas. Si una contraseña de ocho caracteres puede tener 1,6 mil billones de combinaciones posibles, ¿imagina cuántas puede tener una contraseña de 16 caracteres? (Alrededor de 2,8 millones de millones, o 2,830.) Sin embargo, quizás lo más importante es que el conjunto de valores para una contraseña de 16 caracteres que utiliza términos comunes y variaciones es poco menos de 1,2 quintillones, mientras que era poco más de mil millones con un número de ocho caracteres. contraseña. Usar contraseñas más largas es la forma más sencilla de hacer que las contraseñas sean más complejas y seguras.
- Utilice palabras combinadas. ¿Cómo hacer contraseñas largas y fáciles de recordar? Una técnica común es utilizar una serie de tres a cinco simples, no relacionado términos. Generalmente son tan fáciles de recordar como los números PIN; Cognitivamente, las personas tienden a recordar palabras completas como unidades individuales. Sin embargo, estas contraseñas pueden ser muy complejas, al menos desde el punto de vista del descifrado de contraseñas. Y estas contraseñas son fáciles de crear simplemente mirando a su alrededor o pasando un libro a una página aleatoria. Mirando hacia la izquierda por la ventana, veo una rana de juguete, un automóvil y la ventana de la cocina de alguien. Nueva contraseña: Rana TapacubosAlacena – son 18 caracteres, pero solo tres palabras para recordar. Mirando hacia la derecha: corredorcámarapegamentocuerda — cuatro palabras cortas, 22 caracteres. Solo he usado mayúsculas para ayudar a dividir las palabras. Agregar más caracteres o sustituciones puede aumentar la complejidad; pero no sea tan complejo como para caer presa de las debilidades de las contraseñas difíciles.
- Utilice frases o letras. Otra forma de crear contraseñas largas es utilizar partes de frases o letras. Para las letras, las canciones relativamente comunes quizás sean mejores que aquellas particularmente importantes para usted: nuevamente, no querrá personas que te conocen bien puedan adivinar tus contraseñas sólo porque eres un gran admirador de Michael Bolton (o no). Ejemplos de contraseñas creadas a partir de fases o letras pueden ser No eres Jack Kennedy (19 caracteres), iShotaManinReno (15 caracteres), impeepinandimcreepin (20 caracteres).
- Utilice mnemónicos. La desventaja de las contraseñas largas es que pueden resultar difíciles de escribir, especialmente en un dispositivo móvil. Otro truco que algunas personas encuentran útil para generar contraseñas complejas y más cortas es utilizar el primer carácter de cada palabra de una frase o letra. “¿Cuántos caminos debe recorrer un hombre?” podría convertirse en HmrmamwD—sólo ocho caracteres, pero relativamente complejo desde el punto de vista de un programa para descifrar contraseñas. De manera similar, “Agítelo, agítelo como una fotografía polaroid” podría convertirse en SiSiLapp — tal vez no sea genial, pero mejor que tortuga. Este truco también puede ayudar a generar buenas contraseñas para sistemas que todavía tienen un límite en cuanto a la longitud de las contraseñas.
Estas pautas generalmente lo ayudarán a crear contraseñas complejas y fáciles de recordar. Por supuesto, cuando se trata de sistemas de contraseñas con requisitos de composición (es decir, esperan mayúsculas y minúsculas mixtas, números o símbolos), aún tendrás que inventar cambios extravagantes en las contraseñas para cumplir esos requisitos. Sólo recuerde que con contraseñas más largas, puede realizar sustituciones y cambios en lugares obvios: Por lo general, estas contraseñas largas son más fáciles de recordar, incluso con requisitos, que las cortas y sin sentido. contraseñas.
Algunas otras sugerencias
Otras cosas en las que pensar al elegir sus contraseñas:
- Utilice contraseñas separadas para servicios separados. No utilice la contraseña de su red social para realizar operaciones bancarias en línea. Si una contraseña de un servicio se ve comprometida, los demás deberían estar seguros.
- Elija las contraseñas importantes con cuidado. Los sistemas de inicio de sesión único pueden ser tremendamente convenientes, pero también crean un único punto de falla para múltiples servicios. Algunos ejemplos serían las contraseñas de cuentas de los servicios de Google, Yahoo y Microsoft, donde una sola contraseña descifrada podría dar alguien accede a correo electrónico, documentos, imágenes, redes sociales, blogs, bibliotecas de fotografías, listas de contactos, libretas de direcciones y más. De manera similar, con tantos sitios (incluso Tendencias digitales) aceptar inicios de sesión en Facebook y Twitter, una contraseña de red social comprometida puede tener repercusiones de gran alcance.
- Cambia tus contraseñas. Es tentador pensar que si se rompe una de tus contraseñas, lo sabrás de inmediato: tu correo electrónico desaparecerá, tu blog desaparecerá. convertirse en un conjunto de gráficos lulz, su lista de regalos de Amazon podría estar llena de opciones embarazosas, su cuenta de PayPal podría borrarse afuera. Sin embargo, ese no es siempre el caso: si alguien descifra tu contraseña, es posible que no haya ninguna señal manifiesta, al menos no de inmediato. Al cambiar su contraseña con regularidad, se asegura de que incluso si alguien irrumpe, su ventana de oportunidad para explotarlo sea limitada. La frecuencia con la que debe cambiar las contraseñas varía según la forma en que utiliza los servicios en línea. Para cualquier cosa que involucre dinero real, generalmente recomiendo a los usuarios que cambien sus contraseñas cada 30 a 90 días; cuanto más dinero, más a menudo.
Ninguna contraseña es segura
Quizás lo más importante que debemos recordar acerca de las contraseñas es que cualquier La contraseña se puede descifrar: es sólo una cuestión de cuánto tiempo y esfuerzo alguien está dispuesto a dedicarle. Los consejos aquí le ayudarán a reducir las probabilidades de que atacantes aleatorios e incluso amigos y familiares eliminen sus contraseñas, pero ninguna contraseña es completamente segura. Si el acceso seguro a un servicio es muy importante para usted, considere buscar varias formas de autenticación de múltiples factores para reducir aún más las posibilidades de acceso no autorizado.
Credito de imagen: Shutterstock / diseño de mermelada / Tatiana Popova / Pedro Miguel Sousa
Recomendaciones de los editores
- Estas contraseñas vergonzosas hicieron que las celebridades piratearan
- No, 1Password no fue pirateado: esto es lo que realmente sucedió
- Cómo proteger con contraseña una carpeta en Windows y macOS
- LastPass revela cómo fue pirateado, y no son buenas noticias
- Reddit fue pirateado: aquí se explica cómo configurar 2FA para proteger su cuenta
