¿Qué tipo de password es más seguro? Colaboración en Forbes México

forbes password

Los chicos de Forbes México volvieron a hacerse eco de otra de mis respuestas a la pregunta que un usuario de Quora me lanzaba hace ya un par de meses: ¿Qué son más seguras, las contraseñas con múltiples palabras o las que están hechas usando una combinación de letras, números y símbolos? (ES).

La tesis que defendí fue básicamente que la seguridad ya no depende tanto de la propia estructura de la contraseña como de las medidas de seguridad que se han tomado a la hora de almacenarla. Básicamente porque mes tras mes podemos observar cómo se comprometen millones de cuentas simplemente por fallos de seguridad que afectan a los sistemas de bases de datos de X gran servicio o compañía. Se filtran los credenciales, y como la mayoría utilizan el mismo usuario contraseña para cada servicio, y como la mayoría de esas potenciales víctimas no se van a enterar del hackeo, ocurre lo que ocurre.

Contra eso, ya podríamos haber creado la contraseña más difícil y compleja que existe, que si ésta ha sido almacenada en texto plano o bajo un cifrado débil, y este servicio ha visto comprometida su seguridad, va a dar lo mismo.

Siendo conscientes de esto, por supuesto, tenemos estrategias para mejorar la robustez de una contraseña, y que se basan, como cabría esperar, en incluir caracteres y elementos que no están contemplados habitualmente en bibliotecas de contraseñas (evitando así ataques de fuerza bruta), así como el uso de mnemotécnica para encontrar un justo equilibrio entre una contraseña fácil de recordar y una contraseña que no contenga, per sé, datos habitualmente utilizados en este tipo de elementos (nombre+NIF, o nombre+fecha de nacimiento…, evitando así, en pequeña medida, ataques dirigidos).

Sin obviar, por cierto, que la seguridad de cualquier sistema único de identificación empieza ya a ser considerado insuficiente, cobrando mayor protagonismo y siendo por ello altamente recomendable recurrir a dobles factores de autenticación.

La respuesta ha sido portada de Forbes México (ES) recientemente, y me ha parecido oportuno dejarla también por aquí como archivo permanente por si a alguien más le puede interesar:

¿Qué tipo de password es el más seguro?

La seguridad de una contraseña no depende de la propia contraseña, sino de las medidas que se hayan tenido a la hora de almacenarla. De nada nos sirve tener una contraseña larguísima y complicada si luego el servicio la guarda en texto plano y sufre una fuga de información.

Entiendo por tanto que te refieres a robustez, y en ese caso, una contraseña es más robusta conforme más elementos tiene, alejados de lo que podríamos encontrar en una biblioteca de contraseñas (series de contraseñas habituales) y/o accesibles mediante un conocimiento de la víctima (utilización de nombres, fechas o demás eventos que competen a la persona, y que podrían ser utilizados en campañas de spear phishing).

Es decir: Una contraseña del tipo “pepitonosabíaloquehacía” es menos robusta que otra del tipo “p.1~n9€lh”, por el simple hecho de que aunque sea más corta, hace uso de caracteres que no suelen estar incluidos en una biblioteca de contraseñas, cosa que sí podría ocurrir con la anterior.

De ahí que lo mejor sea crearse un modelo que transforme quizás una frase (múltiples palabras) a un conjunto de caracteres alfanuméricos que no tengan a priori sentido. Así es más sencillo de recordar, y mantenemos una robustez adecuada.

También decir que existen métodos de seguridad más eficientes que el de las contraseñas y que afortunadamente cada vez están democratizándose más. Sistemas de seguridad basados en la huella dactilar o los patrones de imágenes equilibran de una forma bastante más adecuada la seguridad, integridad y usabilidad que como lo hace el mundo de las contraseñas.