Si tu contraseña es "123456" o "pass", el tiempo necesario para calcularla y dar con ella durante un 'ataque de fuerza bruta' es tan pequeño que se puede definir como instantáneo. Por el contrario, contando a modo de contraseña con una cadena de texto como '¡3lP4ter_Br4un!', podríamos obligar al sistema del atacante a calcular alternativas durante 2.000 millones de años.
Esto podemos saberlo gracias a una tabla que circula desde hace años por Internet (con algunas pequeñas variaciones) y que muestra aproximaciones al tiempo que podría suponer calcular contraseñas dependiendo del número de caracteres usados (entre 3 y 18), y a si éstos contienen sólo números, letras sólo en mayúscula o minúscula, ambas combinadas, o todo lo anterior combinado con símbolos. La primera versión difundida de dicha tabla es la siguiente:
Un antecesor de este gráfico (aún sin código de colores) se publicó en primer lugar en "Troubleshooting Windows 7 Inside Out", un libro de 2010 escrito por Mike Halsey (MVP de Microsoft) y, según su mismo autor reconoció dos años más tarde, los datos provienen de la web HowSecureIsMyPassword.net, un sitio que ahora se ha trasladado a Security.org, y que nos permite ir introduciendo contraseñas para que nos muestre un cálculo del tiempo que llevaría romperlas.
Cada vez se tarda menos en romper las contraseñas
Tanto las casillas de la tabla como los resultados de la citada web asignan un código de color a cada tipo de contraseña que indica en qué medida resulta óptima en relación con el tiempo… aunque conviene hacer una aclaración: si ves espacios de tiempo en amarillo mayores que otros marcados en verde es porque se tiene en cuenta la posible evolución futura del hardware, que teóricamente podría acortar dentro de unos años el cálculo de cierto tiempo de contraseñas hasta convertirlas en inadecuadas para nuestra seguridad a largo plazo.
¿Recuerdas la contraseña de los 2.000 millones de años que propusimos en el primer párrafo? En la versión de 2012 de la tabla, se calculaba una duración de 97.000 millones de años. El propio Halsey —que señala a la Ley de Moore y a la generalización de las GPU como responsable del cambio— cuenta que, entre la publicación del libro y la versión coloreada de la tabla, una contraseña que tardaba 2,25 años en descifrarse había pasado a hacerlo en tan sólo 57 días.
Obviamente, ninguna cifra que se mida en "millones de años" representa un problema de seguridad, pero lo relevante es que indican una constante aceleración de las tecnologías que permiten reventar contraseñas. A ese ritmo, ¿conseguiremos que todas nuestras contraseñas sigan siendo seguras cuando lo que guardan haya perdido su valor?
Ver 8 comentarios