Índice:
No fue hasta los últimos años, con el auge del mundo digital, que los internautas empezaron a tomarse en serio la seguridad de las contraseñas. Los expertos llevan más de una década intentando convencer a la gente de lo importante que es, y las filtraciones de big data probablemente también hayan contribuido a sensibilizar a los usuarios.
Por desgracia, la mayoría de la gente piensa que una cadena de 6 a 8 caracteres alfanuméricos es suficiente para una contraseña, pero la realidad es que crear una contraseña segura es mucho más complicado. Tampoco ayuda que los requisitos que los sitios web imponen para crear contraseñas den una falsa sensación de seguridad.
La longitud importa
Aunque mucha gente piensa que la complejidad importa a la hora de crear contraseñas, lo cierto es que, en realidad, no es tan importante como la longitud en sí (ergo la pregunta de esta entrada del blog).
Una de las formas más habituales de hackear una contraseña es a través de la técnica conocida como «fuerza bruta». La mejor forma de describirlo es pensar en abrir una típica cerradura de tambor con tres dígitos sin tener el código. Probablemente acabarías probando todas las combinaciones posibles: 001, 002, 003, etc. Bueno, la fuerza bruta funciona exactamente de la misma forma, excepto que los delincuentes pueden aprovechar el potencial de procesamiento de los ordenadores para que haga el trabajo por ellos.
Por ese motivo, la complejidad no es tan importante como la longitud, ya que esta última añade otra capa de magnitud al intentar forzar contraseñas.
Para una contraseña media de ocho caracteres, hay aproximadamente 221 000 millones de combinaciones posibles, lo que puede parecer mucho a primera vista, pero hay que darse cuenta de que algunos ordenadores pueden «adivinar» diez mil millones de combinaciones por segundo con ciertas redes de bots sofisticadas. Así que, en realidad, apenas se necesitan unas pocas horas de fuerza bruta para averiguar una contraseña típica.
Entonces, ¿cómo de larga debe ser tu contraseña? Dicho esto, lo ideal es que tenga como mínimo 12 caracteres. Con 12 caracteres, habría un poco más de tres sextillones de combinaciones posibles (un tres seguido de 21 ceros).
Una contraseña así se tardaría varios cientos de años en descifrar con la tecnología actual, aunque la técnica está mejorando a una velocidad vertiginosa y cada día se tarda menos en descifrar una contraseña de 12 caracteres.
Si realmente quieres prepararte para el futuro, opta por 16 caracteres: es la mejor longitud, además de la más realista, pero cuantos más caracteres, mejor. Con 16 caracteres, se tardarían cientos de años, incluso miles, en descifrar esa contraseña.
Frases de contraseña
Bueno, seamos sinceros: la mayoría de nosotros no tenemos realmente la capacidad de memorizar contraseñas de 16 caracteres, especialmente contraseñas únicas de 16 caracteres para cada sitio web que utilizamos, pero existe una alternativa.
Es posible que ya hayas oído hablar de las frases de contraseña, que son básicamente un conjunto de palabras al azar más fáciles de recordar. Por ejemplo, «Las setas amarillas se llenan de polvo», «Perico el de los palotes se fue a comer» o cualquier otra combinación. En el primer ejemplo, tendrías una contraseña de 32 caracteres y, en el segundo, una de 31 caracteres, igual de buena.
Optar por estas frases de contraseña te pone las cosas fácil. Por supuesto, ahora la pregunta que nos hacemos es «¿cómo de larga debe ser mi frase de contraseña?»y te encantará saber que se suele recomendar un mínimo de cuatro palabras. Cuantas más, mejor. Por lo general, intenta escoger algo que puedas recordar bien.
Dicho esto, hay un problema con las frases de contraseña, ya que la mayoría de los sitios no permiten contraseñas tan largas. Afortunadamente, algunos sitios web están empezando a ser más tolerantes, y es de esperar que en los próximos cinco años las contraseñas más largas se conviertan en algo habitual.
Símbolos y caracteres poco comunes
Además de la longitud de una contraseña, su complejidad también desempeña un papel importante, con el uso de símbolos y otros caracteres poco comunes.
Aunque hemos mencionado que la longitud es más importante, eso no significa que la complejidad no importe. Dicho esto, algunas personas cometen ciertos errores que ponen en riesgo la seguridad de sus contraseñas:
Usar el mismo carácter dos veces o seguido. Esto puede ser problemático porque es una práctica común y, por lo tanto, se han diseñado programas de fuerza bruta en torno a este comportamiento. Destacan principalmente combinaciones como «!!!!!!»o «1223334444».
Utilizar dichos caracteres siguiendo un patrón específico (como cada dos letras), ya que estos programas están programados para esto.
Reemplazar letras con símbolos (como «3» por «e» o «1» por «l») o cosas similares. Esta práctica también es bastante común y los programas para descifrar contraseñas la tienen en cuenta.
Tienes que proteger tus cuentas de las redes sociales como si fueran tu cuenta bancaria. En serio. Solo necesitan extraer un poco de información de tus redes sociales para la ingeniería social y se acabó.
Además, comprueba bien que no utilizas las contraseñas más populares.
En términos generales, debes evitar que la ubicación de los caracteres sea obvia. Precisamente por eso, la mayoría de las contraseñas creadas por los generadores tienden a ser una cadena de caracteres sin sentido ni patrones. Este tipo de contraseña es el más seguro que puedes utilizar, pero evidentemente supondría un lío para ti gestionarlas todas.
No utilices las mismas contraseñas para todo
Ahora llegamos al intríngulis de la cuestión: no importa lo compleja o larga que sea tu contraseña, si la utilizas para distintos servicios, ¡es como si no estuvieras usando nada! (Bueno, hemos exagerado un poco, pero espero que entiendas a lo que nos referimos).
Entonces, ¿qué deberías hacer? Si has llegado a este punto, lo mejor es que obtengas un gestor de contraseñas de calidad. No solo podrás almacenar contraseñas largas, sino que también podrás crear una contraseña única para cada sitio y no tendrás que hacer ningún tipo de seguimiento. Solo tienes que crear una contraseña extrasegura para tu gestor de contraseñas y podrás disfrutar de dos capas de protección, algo extraordinario. Si necesitas un poco de ayuda para elegir el gestor de contraseñas adecuado para ti, aquí tienes reseñas de los principales gestores de contraseñas disponibles.
¡Que no cunda el pánico!
Lo más importante en este punto es que no te asustes ni te preocupes más de la cuenta. Los sitios web y servicios no van a permitir que alguien acceda a tu cuenta mediante un ataque de fuerza bruta, y la única forma en que alguien podría intentar ese tipo de ataque es si se produce una filtración de datos masiva, algo poco habitual.
Incluso cuando se produzca esa filtración de datos, descifrar tu contraseña llevaría mucho tiempo: la filtración ya se habría hecho pública y habrías tenido tiempo para cambiar tu contraseña.
De todos modos, crear contraseñas seguras es algo importante que debes tener en cuenta, pero no te comas la cabeza si tu contraseña tiene 11 caracteres en lugar de 12.