Hace unos meses, Adobe tuvo un problema de seguridad en el que se filtraron las contraseñas cifradas de gran parte de sus usuarios. Como algunos utilizaron el apartado "pista", que en teoría está para dar un indicio de la clave que se ha utilizado, para escribir la propia contraseña, al final fue fácil dar con ellas. ¿El resultado? Entre las cinco claves más populares se encontraban 123456, 123456789, password, adobe123 y qwerty. Algo parecido ocurre con Yahoo: 123456, password, welcome, ninja, abc123.
Conscientes de que las contraseñas típicas y fáciles de adivinar suponen un peligro real para las cuentas de sus alumnos, en la Universidad de Stanford han publicado unas pautas interesantes a tener en cuenta a la hora de escoger una clave. En primer lugar, destaca que las reglas que imponen dependen de la longitud de la contraseña elegida. Las claves, según lo estipulado, deben incluir lo siguiente:
- Si son de 8 a 11 caracteres: letras mayúsculas y minúsculas, números y símbolos.
- Si son de 12 a 15 caracteres: letras mayúsculas y minúsculas y números.
- Si son de 16 a 19 caracteres: letras mayúsculas y minúsculas.
- Si son de más de 20: sin restricciones.
Obviamente, incluyen otras restricciones básicas que ya hemos visto en otros servicios: no se pueden utilizar contraseñas anteriores, no puede ser una única palabra que aparece en el diccionario y sólo se pueden utilizar símbolos que aparecen en el teclado estadounidense.
Uso de una "pass phrase" (frase de contraseña)
A mayor número de caracteres, más permutaciones de letras y números son posibles y, por tanto, más difícil es una contraseña de crackear. Por eso en Stanford recomiendan el uso de una "pass phrase" o frase de contraseña que se trata simplemente de eso: utilizar una oración, con varias palabras y espacios, a modo de clave. Al leer esta parte, no pude evitar acordarme de una viñeta muy conocida de XKCD:
"Tras 20 años de esfuerzo, hemos conseguido enseñar con éxito a todos a utilizar contraseñas que son difíciles de recordar para humanos, pero fácil de adivinar para los ordenadores."
Como bien explican en el cómic, si utilizamos como contraseña Tr0ub4dor&3, y suponiendo que se consiguiera una efectividad de 1000 intentos de adivinar la clave por segundo, se podría descifrar en 3 días. ¿Otro problema? Que la contraseña es muy difícil de recordar. En su lugar, si utilizamos cuatro palabras aleatorias y al formar una palabra más grande (con más combinaciones posibles), estaríamos hablando de más de 550 años utilizando las mismas condiciones de antes. Si lo hacemos bien, además, estas frases son más sencillas de recordar. Para ello ponen el ejemplo de correct horse battery staple (caballo correcto grapa batería). Dificultad de memorización: ninguna, ya que posiblemente ya la hayas memorizado.
Volviendo al caso de Stanford, por eso resulta muy interesante que no te obliguen a utilizar mayúsculas, números y símbolos en todos los casos, sino sólo en las contraseñas cortas. A pesar de ello, desde esta Universidad aconsejan también introducir variaciones de este tipo a las pass phrases para que sean todavía más difíciles de adivinar.
En teoría, el uso de frases como contraseñas parece una buena opción. En la práctica, hoy en día hay todavía muchos servicios que, incomprensiblemente, te obligan a utilizar una clave con un número pequeño de caracteres. Ayer mismo, cuando intenté registrarme en la sede electrónica de mi compañía eléctrica, me pidieron amablemente que mi contraseña no superara los 8 caracteres. Aun así, y para sitios donde no haya límite de longitud, las pass phrases son hoy en día la mejor opción.
Viñeta | XKCD
Imagen | EP Technology (CC)
Enlace | Contraseñas en Stanford
En Genbeta | Especial Contraseñas seguras
Ver 32 comentarios