contraseñas-seguras

Como hacer contraseñas seguras

Hoy en día vivimos en un mundo hiperconectado en el cual nos registramos en montones de páginas web. Lo único que protege éstas páginas web suele ser una contraseña que nosotros mismos elegimos, por lo que es importante aprender cómo aumentar la seguridad de ésta.

Cuando nos registramos dejamos ahí trozos de nuestra vida, información personal la cual protegemos con una contraseña y quedamos tranquilos. Sin embargo, las contraseñas no son seguras, como se ha podido ver en numerosos ataques y vulnerabilidades, como por ejemplo la vulnerabilidad heartbleed. La seguridad 100% es un mito, tanto en el mundo de internet, como en la vida física; ya se sabe aquello de: “hecha la ley, hecha la trampa”. Sin embargo podemos tratar de aumentar el nivel de ésta hasta una cota aceptable.

Para comenzar, es del todo inadmisible que nos echemos las manos a la cabeza cuando nos roban las cuentas si usamos como contraseña nuestra fecha de nacimiento, mes de la boda, nombre de padre, madre, pareja… La mayoría de las técnicas de robo de contraseñas se realizan mediante técnicas de Ingeniería Social. Esto consiste en averiguar información personal de un usuario para tratar de utilizar como su contraseña. ¿Cómo nos protegemos de la ingeniería social? Solo hay un modo: ser precavidos. Configura las opciones de privacidad de tus redes sociales de un modo adecuado para que solo lo vean la información tus contactos; no aceptes a cualquiera como contacto de las redes sociales, sé selectivo igual que en la vida real; cuidado con los correos electrónicos de phishing, tratarán de hacernos creer que son los administradores del sitio, pero éstos nunca nos pedirían cierto tipo de información como la contraseña; pero lo más importante, aplica el sentido común en todo momento, desconfía como lo harías de un desconocido que te pida que le enseñes el DNI en plena calle y pide pruebas irrefutables de la identidad del remitente. De la ingeniería social, por desgracia, no hay antivirus que nos proteja.

pizarra-contraseñas

Otra técnica usada por los atacantes (que no hackers) puede ser intentar obtener la contraseña mediante ataques directos a la cuenta. Para esto existen 2 técnicas principalmente: los ataques de diccionario y los ataques de fuerza bruta. Para protegernos de esto, algunos servicios web utilizan técnicas que limitan en número de intentos seguidos que podemos hacer para introducir la contraseña, pidiéndonos después otro paso adicional, como puede ser descifrar un capcha, demostrando que no somos programas automáticos, o mediante un código que es enviado por correo electrónico. Esto nos protege en cierto modo, pero no está para nada sobrado el utilizar una contraseña segura siguiendo los siguientes tips:

  • La longitud mínima de la contraseña debe ser de 8 dígitos. A mayor longitud, mayor seguridad (en principio). En muchos sitios web esto es un requisito a la hora de registrarnos.
  • Las contraseñas no deben ser palabras del diccionario de un lenguaje, provenir de modificaciones del nombre de usuario o ser el propio nombre de usuario, o ser algo significativo para nosotros (una fecha, nombre, etc.), pues serán fáciles de descubrir mediante la ingeniería social (créeme, la gente cae) y los ataques de diccionario.
  • La contraseña ideal debería estar compuesta por letras mayúsculas y minúsculas, números y caracteres especiales (¿ . , ; * …). Al menos un carácter de cada uno de los grupos dichos. Esto prácticamente nos inmunizará contra los ataques de diccionario, y dificultará muchísimo la labor de los ataques de fuerza bruta. Si le damos suficiente longitud y complejidad, descubrir la contraseña por estos medios podría llevar meses o años de pruebas continuas con programas específicos, haciéndolo inviable para cualquier atacante, que se irá a por otro usuario más descuidado.
tabla-contraseñas

Comparativa del tiempo que se tarda en hackear las contraseñas

  • Usar una contraseña diferente en cada sitio y cuenta. Aquí viene donde la cosa se complica. Muchos usuarios fallan en éste punto, ya que resulta imposible memorizar todas las contraseñas (para una mente normal). Y, por si fuera poco, no basta con memorizarlas, hay que asignar cada una a la cuenta apropiada. Sin embargo la seguridad que esto nos confiere no deja lugar a dudas de su utilidad: Imagine que, a pesar de usar todas las medidas anteriores, un atacante descubre su contraseña de Facebook. Esto es perfectamente posible. Lógicamente usted pierde mucha información y contactos, lo cual es grave, pero, ¿le gustaría que además tenga el trabajo allanado para acceder a su Twitter? ¿Y al correo electrónico? ¿Y a YouTube? ¿Y a la cuenta de Google (incluyendo los contactos del Smartphone)? Use contraseñas diferentes, para ayudar a recordarlas hay muchas herramientas gratuitas que mencionaré más abajo.
  • Cambiar la contraseña periódicamente. En esto falla todo el mundo, y me auto incluyo. Es lógico, pues esto complica aún más las cosas, por no hablar de la pesadez de tener que cambiarlas todas y pensar nuevas contraseñas diferentes. Sin embargo, un ataque por fuerza bruta en el que se prueban todas las combinaciones de contraseñas, estará perdido si realizamos esta práctica cada, mínimo 4 meses.

Ya os hacéis una idea de cómo ha de ser una contraseña. Sin duda, muchos estarán mareados al llegar a éste punto. Muchos estarán tentados de crear un fichero de texto en el que escribir todas las contraseñas y de donde son, pero jamás debéis hacer esto, pues nos lo podrían robar colando virus en el equipo. Escribirlas en un cuaderno o folio depende de la confianza que tengamos en nuestros familiares. En todo caso, existen herramientas que hacen la tarea de recordar las contraseñas fácil y segura. Los gestores de contraseñas son programas que almacenan todas nuestras contraseñas de forma segura en un archivo cifrado. Para acceder a éste archivo de forma legible, es necesario introducir una contraseña, que es la única que tendremos que recordar y que deberá ser la más segura de todas, pues de ella dependerá el acceso ilimitado a todo lo demás. Algunos ejemplos de programas de éste tipo:

  • KeePass: Programa gratuito y de código libre para gestionar las contraseñas. Disponible para Windows, Mac OS X, Linux, Android, iOS, Blackberry…
  • BioWallet Signature: Gestor de contraseñas gratuito para Android que incluye un generador de contraseñas al que podemos personalizar los parámetros para la seguridad. Permite acceder mediante clave o mediante firma manual.
  • Firefox Sync: El navegador Mozilla Firefox dispone de éste útil y estupendo servicio de sincronización de la configuración, incluidas las contraseñas. En el futuro escribiré acerca de él con más detalle.

Existen muchas alternativas más que podéis encontrar haciendo una búsqueda por google. Además de gestionar las contraseñas tenemos otras herramientas que nos permiten generar contraseñas y saber cómo de seguras son. Yo suelo utilizar https://password.es/, ya que, además de generar contraseñas con los parámetros personalizados, dispone de un analizador que nos dice cuanto de segura es la contraseña según un porcentaje, y hace un amplio análisis indicándonos como mejorarlas. Sin embargo, si queremos generar muchas contraseñas puede resultar tedioso darle muchas veces al botón ‘generar’. Por eso recomiendo también probar el generador de Symantec en Norton.com.

ataque-pc

Como se puede comprobar, el que no tiene a buen recaudo su información personal es porque no quiere o por falta de información, ya que facilidades hay de sobra. Sin embargo, todas las precauciones son pocas si utilizamos un ordenador infectado con algún virus, ya que podría tener un keylogger que le indique al programador todo lo que tecleamos en el equipo. Para esto solo queda ser prudentes, tratar de utilizar ordenadores de confianza, no públicos, y tener siempre actualizado un antivirus, ya sea de pago o gratuito.

Para que podáis comprobar la importancia que tiene este tema de las contraseñas, os dejo un link con un artículo similar a éste escrito por la OSI (Oficina de Seguridad del Internauta), un organismo gubernamental español para proteger a los internautas. En su blog le dedican numerosas entradas a este tema. Aunque la fuente de éste artículo es mi propia experiencia, podéis ver que so que se dice es muy similar a lo que recomienda la OSI:

https://www.osi.es/es/actualidad/blog/2014/07/28/la-misma-contrasena-para-todono-lo-pongas-tan-facil

Dejar un comentario

Uso de cookies

Este sitio web utiliza cookies para que usted tenga una mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información sobre las cookies utilizadas.plugin cookies

ACEPTAR
Aviso de cookies