No fue hasta los últimos años, con el auge del mundo digital, que los internautas empezaron a tomarse en serio la seguridad de las contraseñas. Los expertos llevan más de una década intentando convencer a la gente de lo importante que es, y las filtraciones de big data probablemente también hayan contribuido a sensibilizar a los usuarios.
Índice
Desafortunadamente, la mayoría de las personas creen que una cadena de 6-8 caracteres alfanuméricos es suficiente para una contraseña, pero la realidad es que crear una contraseña segura es mucho más complejo. Tampoco ayuda que los requisitos que los sitios web imponen para crear contraseñas den una falsa sensación de seguridad.
La longitud importa
Aunque mucha gente piensa que la complejidad importa a la hora de crear contraseñas, lo cierto es que, en realidad, no es tan importante como la longitud en sí (ergo la pregunta de esta entrada del blog).
Una de las formas más habituales de hackear una contraseña es a través de la técnica conocida como «fuerza bruta». La mejor forma de describirlo es pensar en abrir una típica cerradura de tambor con 3 dígitos sin tener el código. Probablemente acabarías probando todas las combinaciones posibles: 001, 002, 003, etc. Bueno, la fuerza bruta funciona exactamente de la misma forma, excepto que los delincuentes pueden aprovechar el potencial de procesamiento de los ordenadores para que haga el trabajo por ellos.
Por ese motivo, la complejidad no es tan importante como la longitud, ya que esta última añade otra capa de magnitud al intentar forzar contraseñas.
En una contraseña promedio de 8 caracteres, hay aproximadamente 221 billones de combinaciones posibles, que pueden parecer muchas a primera vista, pero hay que entender que algunos ordenadores pueden «adivinar» 10 000 millones de combinaciones por segundo con determinadas botnets sofisticadas. Así que, en realidad, apenas se necesitan unas pocas horas de fuerza bruta para averiguar una típica contraseña.
Entonces, ¿cómo de larga debe ser tu contraseña? Bueno, lo ideal es que tuviera un mínimo de 12 caracteres. Con 12 caracteres, habría un poco más de tres sextillones de combinaciones posibles (un tres seguido de 21 ceros).
Una contraseña así se tardaría varios cientos de años en descifrar con la tecnología actual, aunque la técnica está mejorando a una velocidad vertiginosa y cada día se tarda menos en descifrar una contraseña de 12 caracteres.
Si quieres realmente prepararte para el futuro, 16 caracteres es la longitud más idónea y realista en la que probablemente puedas confiar, pero si te animas con más, mucho mejor. Con 16 caracteres, se tardarían miles de cientos de miles de años para descifrar esa contraseña.
Frases de contraseña
Pero, seamos honestos, la mayoría de las personas no es que tengan la capacidad de memorizar contraseñas de 16 caracteres, especialmente contraseñas únicas para cada sitio que utilizan. Pero hay una alternativa.
Es posible que hayas oído hablar de las frases de contraseña antes, pero básicamente es un conjunto de palabras al azar que son más fáciles de recordar. Por ejemplo, «Las setas amarillas se llenan de polvo», «Perico de los palotes se fue a comer» o cualquier otra combinación. En el primer ejemplo, tendrías una contraseña de 32 caracteres y, en el segundo, una de 29 caracteres, igual de buena.
Optar por estas frases de contraseña te pone las cosas fácil. Pero ahora la pregunta sería: «¿Cómo de larga debe ser mi frase de contraseña?». Te alegrará saber que, por lo general, se recomienda un mínimo de 4 palabras. Cuantas más, mejor. Por lo general, intenta escoger algo que puedas recordar bien.
Dicho esto, hay un problema con las frases de la contraseña, ya que la mayoría de los sitios no permiten contraseñas tan largas. Por suerte, algunos sitios están empezando a relajar sus políticas y esperamos que en los próximos 5 años o así las contraseñas más largas serán más habituales.
Símbolos y caracteres poco comunes
Además de la longitud de una contraseña, su complejidad también desempeña un papel importante, con el uso de símbolos y otros caracteres poco comunes.
Aunque hemos mencionado que la longitud es más importante, eso no significa que la complejidad no importe. Dicho esto, algunas personas cometen ciertos errores que ponen en riesgo la seguridad de sus contraseñas:
Usar el mismo carácter dos veces o seguido. Esto puede ser problemático porque es una práctica común y, por lo tanto, se han diseñado programas de fuerza bruta en torno a este comportamiento. Destacan principalmente combinaciones como «!!!!!!» o «1223334444».
Utilizar dichos caracteres siguiendo un patrón específico (como cada dos letras), ya que es algo que estos programas están programados para buscar.
Reemplazar letras con símbolos (como «3» por «e» o «1» por «l») o cosas similares. Esta práctica también es bastante común y los programas para descifrar contraseñas la tienen en cuenta.
No proteger las cuentas de redes sociales como si fueran una cuenta bancaria. En serio. Solo necesitan extraer un poco de información de tus redes sociales para la ingeniería social y se acabó.
Además, procura no utilizar una de las contraseñas más populares.
En términos generales, debes evitar que la ubicación de los caracteres sea obvia. Precisamente por eso, la mayoría de las contraseñas creadas por los generadores tienden a ser una cadena de caracteres sin sentido ni patrones. Este tipo de contraseña es el más seguro que puedes utilizar, pero evidentemente supondría un lío para ti gestionarlas todas.
No utilices las mismas contraseñas para todo
Ahora llegamos al intríngulis de la cuestión: no importa lo compleja o larga que sea tu contraseña, si la utilizas para distintos servicios, ¡es como si no estuvieras usando nada! (Bueno, hemos exagerado un poco, pero espero que entiendas a lo que nos referimos).
Entonces, ¿qué deberías hacer? Por ahora, lo mejor que puedes hacer es conseguir un buen gestor de contraseñas. No solo podrás almacenar contraseñas largas, sino que también podrás crear una contraseña única para cada sitio y no tendrás que hacer ningún tipo de seguimiento. Solo tienes que crear una contraseña extrasegura para tu gestor de contraseñas y podrás disfrutar de dos capas de protección, algo extraordinario. Si necesitas un poco de ayudar para escoger el mejor gestor de contraseñas para ti, aquí tienes reseñas de los principales gestores de contraseñas.
¡Que no cunda el pánico!
Lo más importante en este punto es que no te asustes ni te preocupes más de la cuenta. Los sitios web y servicios no van a permitir que alguien acceda a tu cuenta mediante un ataque de fuerza bruta, y la única forma en que alguien podría intentar ese tipo de ataque es si se produce una filtración de datos masiva, algo poco habitual.
Incluso si se produce dicha filtración de datos, se tardaría mucho tiempo en descifrar tu contraseña. Para ese momento, la filtración ya se habría hecho pública y habrías tenido tiempo para cambiar tu contraseña.
De todos modos, crear contraseñas seguras es algo importante que debes tener en cuenta, pero no te comas la cabeza si tu contraseña tiene 11 caracteres en lugar de 12.