#MundoHacker: ¿Qué hace que una contraseña sea segura?

secure passwords

Creo que a estas alturas ya todo el mundo tiene en mente que «123456» es una mala contraseña.

Lo que la mayoría de las personas desconoce es por qué ocurre esto. Y voy más allá: por qué las recetas tradicionales de creación de contraseñas (entre 6 y 8 caracteres, números y letras, mayúsculas y minúsculas) tampoco aseguran que una contraseña sea más o menos segura.

Estos días Javier Muñoz, jefe de área en ciberseguridad de la revista HackerCar, me pedía si podía prepararles una pieza (ES) sobre cómo crear contraseñas seguras.

El caso es que ya hace un añito hice lo propio para Xataka, y recientemente publicaba uno bastante parecido para RevistaByte, así que en este caso, y por cambiar, me he centrado más en el paradigma que hay tras el por qué recomiendo utilizar gestores de contraseñas. Y en todo caso, cómo podemos generar contraseñas sencillas de recordar que además sean muy seguras.

Pero antes, un poco de teoría.

contrasenas seguras

Una contraseña fácil de recordar puede ser también segura

Habitualmente la gente presupone que una contraseña, por el mero hecho de que sea difícil de recordar, la hace más segura.

Y lo cierto es que esto no tiene por qué cumplirse.

El razonamiento detrás de ello es que estamos asumiendo que los ordenadores operan algorítmicamente igual que opera biológicamente nuestro cerebro. Cosa que, al menos hasta el momento, es totalmente falso.

En la imagen superior tenemos dos ejemplos de contraseñas: «Tr0ub4dor&3» y «correcthorsebatterystaple».

  • La primera cumple los mandamientos tradicionales de creación de contraseñas que antes decíamos, y además (a no ser que por detrás tenga alguna técnica nemotécnica que desconocemos) es dificilísima de recordar.
  • La segunda, sin embargo, es una mera enumeración de cuatro palabras en inglés: «correcto más caballo más batería más grapa». Terriblemente sencilla de recordar, y que encima se salta a la ligera la mayoría de elementos de la receta de creación de contraseñas que ya conocemos.

Y sin embargo…

La segunda es muchísimo más segura.

  • Para la primera un ordenador podría tardar (según los datos de la imagen, que ya se han quedado anticuados) alrededor de 3 días en descubrirla por fuerza bruta.
  • Para la segunda, sin embargo, necesitaría 550 años.

La diferencia es sustancial, ¿verdad?

La entropía entra en juego

Detrás de esto hay, por supuesto, un razonamiento matemático.

Para obtener una contraseña, el ordenador debe generar lo que se denomina ataques de fuerza bruta, que no son más que una sucesión infinita de prueba/error con contraseñas que va generando aleatoriamente hasta que da con la contraseña objetivo.

Y bajo este prisma, si la contraseña tiene más caracteres, parece que a priori será más complicada de descubrir.

Por supuesto los sistemas de fuerza bruta han ido evolucionando con el paso del tiempo (por aquí tienes un white paper en PDF), y según el caso, se aplican una serie de reglas que los hace más eficientes.

Puede ser, por ejemplo, que un cracker haya diseñado su herramienta de descubrimiento de contraseñas para que pruebe primero combinaciones de palabras más habituales. O que pruebe listados de contraseñas más utilizadas. O que pondere el carácter en base al uso que se le da en una zona geográfica específica.

Es decir, que la entropía informática (la cantidad de información promedio que contienen los símbolos usados, en este caso caracteres en una contraseña) define la robustez de la contraseña, y a la vez, es la herramienta que utilizarán los malos para descubrirla.

¿Cómo creo contraseñas seguras entonces?

Pues hay dos caminos principales.

El primero, sin lugar a duda, es que te olvides de generar tú la contraseña, delegando en un tercero que está específicamente diseñado para realizar correctamente esta labor.

Es decir, apostar por un gestor de contraseñas, que transforma el sistema de identificación basado en el conocimiento (yo demuestro que soy yo en este servicio porque sé esta contraseña que solo debería saber yo) por otro basado en la posesión (yo demuestro que soy yo en este servicio porque tengo acceso a esta herramienta que es quien certifica que soy yo).

En el mercado tienes muchos, y prácticamente casi todos ofrecen lo mismo.

En mi caso estoy utilizando CiberProtector (ES), más que nada porque es una empresa española y porque además de gestor de contraseñas, me incluye otras herramientas de seguridad y privacidad que también utilizo, como es un doble factor de autenticación, una VPN, y un sistema de recomendaciones de seguridad.

Y el segundo sería generarla tú teniendo en cuenta los siguientes puntos:

  • Que sea fácil de recordar: Fíjate que esto, que a priori considerábamos negativo hace unos años, ha demostrado ser más adecuado a la larga. Tanto como para que recientemente Windows eliminara de su sistema la recomendación de cambiar de contraseña cada X periodos de tiempo. Una contraseña es un sistema de identificación basado en el conocimiento, y por tanto, tiene que ser fácilmente recordable por nosotros.
  • Que sea larga: Mientras más larga, mejor, ya que más entropía incluyes en la ecuación. Por ejemplo, «mypassword» es una contraseña que llevaría 59 minutos a un sistema de fuerza bruta tradicional descubrirla. Sin embargo «mypasswordisgood» es igual de sencilla y llevaría a la máquina 35.000 años.
  • Mezcla de caracteres: A igual número de caracteres, una contraseña con solo minúsculas, y otra que incluya mayúsculas y números ha demostrado ser muchísimo más segura. En el caso anterior con «mypassword» teníamos una contraseña débil, que en una hora se podía descubrir con pura fuerza bruta. Si en vez de esa contraseña ponemos «MyP4ssword», aún siendo todavía bastante débil, forzaríamos a esa máquina a trabajar durante 8 meses para obtenerla.
  • Nada personal: Un error muy habitual es utilizar para las contraseñas fechas, nombres o datos personales nuestros y/o de nuestros familiares. Recuerda que aunque aquí estamos hablando de la robustez de una contraseña basándonos en su propia estructura y caracteres, si incluimos datos personales facilitamos que terceros que nos conozcan lo tengan infinitamente más fácil robárnoslas.
  • El truco español: En nuestro idioma tenemos una particularidad extra que por sencilla que parezca nos permite crear una contraseña mucho más segura. Nuestra querida «Ñ». Simplemente por incluir este carácter en nuestra contraseña, y puesto que la mayoría de estas herramientas de fuerza bruta genéricas están creadas para un mercado global, pasamos por ejemplo de esos 59 minutos que tiene «contrasena» a los 500 años que me nos daría un «contraseña».
password reuse

Cómo comprobar la seguridad de nuestras contraseñas

Para ello tenemos HowSecureIsMyPassword (EN), un servicio gratuito que nos permite, más o menos, calcular cómo de seguro es nuestro password.

Y vuelvo a repetir que todo esto se basa en el conocimiento cero del atacante, y en su intento de atacarnos mediante pura fuerza bruta.

Lo cierto es que por muy segura que hayamos creado nuestra contraseña, el mayor riesgo al que nos enfrentamos no es el que alguien quiera atacarnos justo a nosotros para robarnos la cuenta mediante fuerza bruta, sino que simplemente uno de los servicios masivos que utilizamos haya sido atacado con éxito, exponiendo toda su base de datos de usuarios, entre los que por supuesto estamos.

Y como nosotros hemos estado utilizando la misma contraseña para distintos servicios, al comprometerse ese servicio estamos comprometidos en todos los demás.

En este caso lo más recomendable es que eches un ojo a ver si tu correo ya aparece en algún filtrado masivo anterior, utilizando para ello otro servicio gratuito: HaveIBeenPwned (EN).

Y si es así, activa ya de una vez el segundo factor de autenticación, que ha demostrado ser sin lugar a duda la medida de seguridad más cómoda de aplicar y que más riesgo nos quita.

Te explico todo esto y mucho más en mi Curso sobre Fundamentos de la Seguridad y Privacidad Digital.

¿Te preocupa tu presencia digital?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la presencia digital sana, ayudándote paso por paso a parametrizar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.


Si te interesa, ya sabes.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.