Descubre cómo se puede comprometer tu seguridad por contraseña y cómo crear y administrar contraseñas seguras.
Para recibir el año nuevo, Snapchat sufrió una violación de datos bastante grande. Se publicó un archivo que contiene 4,6 millones de nombres de usuario y números de teléfono, para que todos lo viesen.
Ante un ataque a un servicio al que estás suscrito poco se puede hacer después de que se han filtrado los datos, pero por supuesto es una buena idea cambiar nuestra contraseña y estar atento a cualquier actividad extraña en la cuenta. Aunque no se incluyesen las contraseñas en la fuga de datos, aumentar la seguridad de nuestras contraseñas siempre es una buena idea.
En un mundo ideal las cuentas más vulnerables, como los bancos, registros médicos, e-mail y unidades de almacenamiento en la nube estarían protegidas con sistemas biométricos. Un deslizamiento de un dedo o un escáner de la retina podrían permitir el acceso a nuestros datos más importantes.
Por desgracia, las contraseñas de ocho o más caracteres siguen dominando servicios Web de inicio de sesión (login). Cualquier cosa, desde tu cartera de inversiones a tu cuenta de Facebook, no necesita más para acceder que una dirección de correo electrónico (o nombre de usuario) y algunos caracteres.
Sin embargo, muchos usuarios de Internet siguen utilizando contraseñas fáciles de adivinar, como "123456", "qwerty" (la secuencia de la primera fila del teclado), o sus nombres de pila. Peor aún peor, los usuarios repiten la misma contraseña (o una variación de una) a través de muchas cuentas, poniéndose en mayor riesgo de ser hackeado.
Desde la creación de contraseñas a su administración, sigue esta guía para asegurarte de que tus datos están a salvo, seguros y preparados para resistir un fallo de seguridad.
¿Cómo se exponen las contraseñas?
Antes de profundizar en los formatos de creación de contraseñas seguras, para empezar es importante entender por qué se necesita una contraseña súper segura. Después de todo puedes estar pensando, "¿Quién querría hackearme con lo poco que valgo?"
Hay algunas formas en que pueden verse comprometidas tus contraseñas de cuentas:
1. Alguien está tratando de hacerte daño. Enemigos que te has creado, ex novios de tu pasado, una madre entrometida, un cónyuge intrusivo - hay muchas personas que quieran echar un vistazo a tu vida personal. Si estas personas te conocen bien, podrían ser capaces de adivinar tu contraseña de correo electrónico y usar opciones de recuperación de contraseña para acceder a tus otras cuentas. (¿Puedes decir que estoy hablando de tu experiencia?).
2. Tu te conviertes en la víctima de un ataque de fuerza bruta. Si un hacker intenta acceder a un grupo de cuentas de usuario o sólo la tuya, los ataques de fuerza bruta son la estrategia de entrada para el craqueo de contraseñas. Estos ataques funcionan comprobando sistemáticamente todas las contraseñas posibles hasta encontrar la correcta. Si el hacker ya tiene una idea de los criterios que utilizas para crear la contraseña, este proceso se vuelve más fácil de ejecutar.
3. Hay una fuga de datos. Sony, que no tuvo cuidado en la encriptación de sus datos de usuario, fue blanco de una serie de ataques en que los piratas informáticos (Lulzsec) expusieron más de 1 millón de direcciones de correo electrónico, contraseñas y datos adjuntos como direcciones postales y números de teléfono. Más recientemente, se encontró un agujero de seguridad en Max OS X's FileVault, donde se disponía de las contraseñas de registro en los usuarios en texto plano (o como decimos al inicio el ataque a Snapchat).
¿Qué hace una buena contraseña?
Aunque las violaciones de datos están fuera de nuestro control, sigue siendo imprescindible crear contraseñas que puedan resistir ataques de fuerza bruta e implacables frenemies (amigos-enemigos). Evitar estos tipos de ataques depende de la complejidad de la contraseña.
Lo ideal sería que cada una de tus contraseñas tenga por lo menos 16 caracteres, y contener una combinación de números, símbolos, letras mayúsculas, minúsculas y espacios. La contraseña estaría libre de la repetición, palabras del diccionario, nombres de usuario, pronombres, los IDs y cualquier otro número o letra con secuencias predefinidas.
La comunidad geek y la seguridad-comprensión evalúa la contraseña en términos de "bits", cuanto el bit es más alto, mejor será la contraseña. Una contraseña de 80 bits es más segura que una contraseña de 30 bits, y tiene una combinación compleja de los caracteres antes mencionados. Como resultado, una contraseña de 80 bits llevaría más años para encontrarla que una contraseña de 30 bits.
Sin embargo, las contraseñas ideales son un gran inconveniente. ¿Cómo podemos esperar recordar contraseñas de 80 bits (12 caracteres) para cada una de nuestras diferentes cuentas Web?.
Crear contraseñas seguras
En su guía para dominar el arte de las contraseñas (en inglés) de Dennis O'Reilly sugiere la creación de un sistema que nos permita crear tanto contraseñas complejas y que las recordemos.
Por ejemplo, crea una frase como "Espero que el Real Madrid ganará la liga de fútbol 2014!". Luego, tomar las iniciales de cada palabra y todos los números y símbolos para crear tu contraseña. Por lo tanto, esa frase se traduciría en esto: EqeRMglldf2014!
La siguiente opción es el uso de un generador de contraseñas, que vienen en la forma de programas fuera de línea y en sitios web. La mejor opción en este caso sería el uso de un generador en línea, como el apropiado nombre de Random Password Generator, para que tus contraseñas creadas no pueden ser interceptadas.
Mientras experimentas con diferentes contraseñas, utiliza una herramienta como How Secure is my Password? (¿Qué tan segura es mi contraseña?) para averiguar si puede resistir cualquier intento de craqueo. Este sitio web en particular califica la fortaleza de la contraseña según el tiempo que se tardaría en resquebrajarla. Si es demasiado fácil, el medidor te permitirá saber qué elementos se pueden añadir (o quitar) para fortalecerla.
Por ejemplo las que yo utilizo (de veinte caracteres o más) daría este resultado:
Microsoft ofrece su propio corrector de fuerza en línea, y promete que la forma es completamente segura. Los usuarios de Mac pueden utilizar el Asistente de Contraseñas incorporado para comprobar la seguridad de sus contraseñas.
Hacer un seguimiento de las contraseñas seguras
Si sigues uno de los mandamientos más importantes de contraseñas, sabrás que debes tener absolutamente una contraseña única para todos los servicios que utilices. La lógica es simple: si reciclas la misma contraseña (o una variación de ella), y un hacker craquea una cuenta, él o ella será capaz de acceder al resto de tus cuentas.
Obviamente, no se puede esperar memorizar decenas de locas contraseñas de 16 caracteres de largo.
Esta guía (en inglés) explora a fondo las diferentes opciones para la gestión de tus contraseñas, incluyendo cosas como su almacenamiento en una unidad USB, e incluso escribirlas. A pesar de que en última instancia depende de ti, presenta un fuerte argumento contra el método de la nota adhesiva.
Usar un gestor de contraseñas
Los gestores de contraseñas generan contraseñas para ti y llenan tus formularios de registro - por lo que no tienes que hacer ninguna memorización. Uno de los gestores de contraseña más seguros e intuitivos es LastPass.
LastPass es único, ya que se compone de dos partes, juntando un programa en línea con un navegador y un plug-in. Todo el cifrado y descifrado sucede en tu equipo por lo que tus datos no viajan a través de Internet y no se almacenan en los servidores.
Al crear nuevas cuentas o cambiar tus contraseñas, LastPass te preguntará si deseas crearlas utilizando su generador de contraseñas, que está diseñado para generar contraseñas difíciles de descifrar.
Si decides este camino, todavía tienes que recordar al menos una cosa: tu contraseña maestra de LastPass. Debes asegurarte de hacerla extraordinariamente segura, y compuesta por al menos 12 caracteres para asegurarte de que no es vulnerable a los ataques de fuerza bruta.
Vale la pena señalar, sin embargo, que al igual que cualquier software, LastPass es vulnerable a las violaciones de seguridad. En 2011, LastPass experimentó un fallo de seguridad, pero los usuarios con contraseñas maestras no se vieron afectados.