Contraseñas fuertes, pero fáciles de recordar

Como si fuera una segunda parte del post anterior, Ariel Torres en LA NACIÓN, en otro buen artículo nos da algunas opciones sobre la dificultad de recordar contraseñas seguras.

En general creemos que la única alternativa para claves como 123456 o qwerty (ambas son débiles y no hay que usarlas), pero algo más robusto pero imposible de memorizar, es Hk7%&nM0. Lo que nos conduce a menudo a la práctica –disparatada pero comprensible– de anotarlas para no estancarnos en las sinapsis neuronales tratando de recordarlas.

La verdad es que hay soluciones más humanas. Las contraseñas aceptables como la que se ve en el párrafo anterior funcionan porque combinan una gran variedad de elementos (mayúsculas, minúsculas, símbolos, dígitos). Por ejemplo, con dos caracteres (A y B) sólo se pueden crear dos combinaciones: AB y BA. Basta añadir un tercero (C) para elevar este número a seis (ABC, ACB, BAC, BCA, CAB, CBA). Como para las computadoras la «A» es diferente de la «a», al usar mayúsculas y minúsculas aumentamos el número de combinaciones posibles a una friolera de 71 ceros.

Sin embargo, la extensión de la contraseña es vital. Por ejemplo, ¿cuántas claves de cuatro caracteres se pueden armar con minúsculas y mayúsculas? Algo menos de medio millón. Por eso, un software para averiguar contraseñas la sacará en un pestañeo.

¿Por qué no aprovechar la extensión de la contraseña? Al aumentar la cantidad de elementos variables en una contraseña, aumentamos su entropía . Con cinco minúsculas, uno de los programas que probé descubrió la clave en un segundo. Con una clave de 10 minúsculas, el programa estimó que tardaría 28 años. En el primer caso, sólo tendría que calcular 11 millones de combinaciones; en el segundo, 141 billones.

Recordar una clave de 60 caracteres parece imposible. Sin embargo, lo hacemos constantemente. Observe: En un lugar de la Mancha, de cuyo nombre no quiero acordarme , tiene 61 caracteres (minúsculas, mayúsculas, espacios y comas), pero como es el principio de El Quijote resulta fácil de recordar. Es, a la vez, lo suficientemente robusta para resistir los ataques de fuerza bruta, es decir los que van probando todas las combinaciones hasta dar con la correcta.

Es verdad que una clave de 256 caracteres al azar sería mejor, pero las frases de libros (por favor, no use su frase de cabecera o la que tiene en el Messenger ) sirven mucho mejor que el 123456 que, dicho sea de paso, se puede quebrar en 2,1 segundos. Acá hay un buen sitio donde verificar la fortaleza de las contraseñas, aunque yo evitaría probar con las claves reales: http://rumkin.com/tools/password/passchk.php

Luego nos da a conocer un método «de la época de Julio César», pero muy interesante. Práctico, sobre todo.

«En lugar de usar frases, podéis tomar la primera letra de cada palabra de un párrafo en un libro. El libro, de hecho, puede estar sobre tu escritorio o lo podéis llevar encima. Como nadie sabe qué párrafo elegiste para crear tu contraseña, es como llevar la clave anotada en un papel y al mismo tiempo se encuentra totalmente a salvo,» dice Suárez.

Allí donde las passphrases no sean aceptadas, puede usarse la primera letra de cada palabra de una oración. La de Cervantes se convertiría en Euldlmdcnnqa . esto es mejor que 123456 o qwerty . «No son lo más seguro del mundo, pero son preferibles a las claves débiles. Eso sí, yo evitaría los símbolos. Puede haber problemas con algunos teclados.» Buen dato.

Contraseñas que complican la existencia

En este blog se ha insistido mucho con la seguridad de las contraseñas… y es que para todo hay una clave. En LA NACIÓN Evangelina Himitian, comenta el problema de las contraseñas en un buen artículo.

Cuando nos advierte un aviso en el ordenador que la clave para entrar en un determinado servicio ha caducado. Nos piden el cambiarla y nos demandan “originalidad”. Que incluyera mayúsculas, signos y números y que tuviera ocho caracteres. Que no respondiera a ninguna lógica deducible por un hacker y que, por supuesto, no la anotara junto al monitor.

Hoy, una persona que trabaja con una computadora, maneja cuentas bancarias y tiene un correo electrónico debe recordar unas seis contraseñas, según la consultora Prince & Cooke.

Caricatura de Huadi, publicada en LA NACION

El hombre clave «Un hombre de negocios o un gerente acumula en su cabeza entre 14 y 15 claves para acceder a los distintos sistemas que tiene a cargo«, afirma Pablo Tedesco, director asociado de la consultora, que se especializa en consumo tecnológico. Y detalla: «La clave para acceder al sistema operativo de su oficina; otra para loguearse en el mail y para el sistema de mensajes instantáneos. Además, algunos teléfonos demandan claves para hacer llamadas externas o para acceder a los mensajes. Otra, para operar las cuentas bancarias por Internet, que es distinta para los cajeros automáticos e incluso para realizar transacciones bancarias. A esto hay que sumarle, por ejemplo el web mail o las páginas de Internet de las que se sea usuario, además de la clave de la alarma«.

Vivimos en la era de la informatización, en que los sistemas no reconocen personas, sino claves. Y cada individuo ya no es «sólo un número«, sino varios «códigos alfanuméricos«. Uno de los grandes temores es olvidarse de una de las contraseñas y quedar bloqueado.

Es normal que a la vuelta de unas vacaciones por haber desconectado del trabajo, uno ya no se acuerda ni de la clave para acceder al sistema. Por una parte es bueno, por que indica que nos hemos relajado, pero por otra se produce un problema a la vuelta de dichas vacaciones.

«Es muy típico que la gente olvide sus contraseñas cuando vuelve de vacaciones o cuando está con muchas cosas en la cabeza. En el verano, nos pasa todo el tiempo«, dice Sebastián Díaz, que trabaja en el área de sistemas de una empresa de telecomunicaciones en Palermo.

«El problema que se está dando ahora con la proliferación de contraseñas es que la tecnología complica el quehacer de las personas. Esto ocurre porque no hay una política de administración de seguridad en operaciones informáticas, más allá de la política de password «, explica Javier Isasa, presidente de la Asociación de Seguridad de la Información (Asira), una ONG miembro de la Sociedad de la Información de la Unión Europea.

Isasa relata que un estudio que se está realizando sobre el tema en la Sociedad de la Información da cuenta de que, pese a las recomendaciones que se hacen acerca de cómo debe ser una contraseña segura, más del 50% de la gente elige passwords «tontos», es decir, que se conjeturan fácilmente: esto es, 12345678, su nombre completo, la fecha de su nacimiento o la patente del auto, o cualquier otro dato personal.

«La gente es muy descuidada en la validación de sus cuentas. En los sistemas de las empresas aparecen fallas con mucha frecuencia porque casi la mitad de las personas anotan las contraseñas junto al monitor o en el escritorio«, dice Isasa.

«Lo que ocurre es que cuando la tecnología complica la labor diaria, la persona elige claves tontas porque no quiere ser presa del sistema o quedarse bloqueada«, agrega.

«Para que una clave sea segura, debe ser compleja«, dicen los especialistas. «Algunos recomiendan elegir una frase clave, mucho más difícil de adivinar o espiar por encima del hombro«, apunta Gustavo Tanus, abogado especialista en protección de datos personales.

Pero, lamentablemente, la mejor clave, la más compleja y arbitraria, es también la más fácil de olvidar.

«En el futuro, pasaremos a otro tipo de validación que no sea la acumulación de claves. En el mercado ya existen computadoras con lector de huellas digitales, pero de todas maneras siguen usando un sistema combinado de contraseñas. Es probable que en el futuro pasemos a métodos binómicos, como el escáner de iris. Pero por el momento, seguiremos acumulando contraseñas«, dice Tedesco.

Información útil

• ¿Cuánto tarda un hacker? Los expertos en seguridad informática señalan que un hacker con un software especial tarda menos de un minuto y medio para descifrar una contraseña de cuatro caracteres alfanuméricos y 46 segundos si son sólo letras minúsculas.

• Claves de ocho dígitos. En cambio, demorará más de 200 años para descifrarla si tiene ocho caracteres alfanuméricos. Y dos días y medio si la clave tiene sólo ocho letras minúsculas.

• El 50% anota sus claves Una de las mayores amenazas para la seguridad informática constituye el hecho de que el 50% de las personas anota sus contraseñas para poder recordarlas.

• El sueño del hacker. Si se coloca «contraseña» en el buscador Google, casi la mitad de los sitios remiten a estrategias para violar claves de correo. Otros tantos, preguntan, ¿olvidó su contraseña?

Las claves más elegidas

• Las contraseñas más elegidas son las más tontas, según publicó en mayo la revista PC Magazine . Las 10 claves más elegidas por usuarios de Internet en el Reino Unido son éstas: «password» (contraseña , en inglés). Seguida por «123456» y después, «qwerty», la primera línea de seis letras que aparece en el teclado, de izquierda a derecha. Cuarta fue «abc123». La quinta, «letmein». Let me in (déjame entrar). Le siguen «monkey» (mono), «myspace1» (mi espacio 1 ), «password1» (contraseña1), «blink182» (nombre de una popular banda pop norteamericana) y, finalmente, el nombre del usuario.

La mejor contraseña para evitar intrusos

Enrique Gallud Jardiel escribe en 20MINUTOS, sobre la conveniencia de utiliza todas tus armas defensivas en la Red para proteger tu intimidad virtual. Tus claves deben ser solamente tuyas.

Las contraseñas que se emplean para autentificar un usuario sólo proporcionan un nivel muy básico de protección. Es un mecanismo débil, debido a que los usuarios que no dominamos los secretos de la informática no siempre elegimos las contraseñas adecuadas.

Hay programas muy sofisticados, rápidos y efectivos para romper contraseñas, llamados password crackers, basados en distintos sistemas combinatorios; pero nosotros no debemos morir sin presentar batalla.

Pónselo difícil

• Fuera del diccionario: Hay sistemas de desciframiento basados en los diccionarios, por ello elegir como contraseña una palabra que esté en el diccionario no es una buena idea, aunque el término sea muy raro o esté en otro idioma. Por la misma razón, una palabra que empiece por las letras x ó z tiene menos posibilidades de descubrirse, porque esos programas funcionan alfabéticamente. Evita combinaciones que empiecen por las primeras letras.

• Datos desconocidos: Es posible que la persona que quiere entrar en nuestros archivos nos conozca, por lo que el nombre de nuestra pareja o padre es una mala opción. Lo mismo pasa con las fechas de cumpleaños o nombres de mascotas. Si el atacante sabe que nos gusta Harry Potter, probará cualquier palabra asociada a él.

• Pregunta relacionada: Si olvidas tu contraseña, en algunos lugares te la envían tras responder a una pregunta relacionada que tú mismo has elegido previamente. Es mejor no usar nunca esta opción. Si tienes una pregunta muy fácil (¿cuál es mi libro preferido? ¿En qué lugar veraneo?), la cadena de seguridad se rompe por ahí, porque quizá en algún lugar de tu página web hayas incluido esa información.

• Tamaño: Una buena contraseña debe tener al menos seis caracteres. Lo ideal es usar el número máximo de caracteres que se nos permita en cada caso. El tamaño sí importa, porque cuantos más caracteres haya, más difícil es reventar la contraseña.

• Complejidad: Lo mismo puede decirse de su grado de dificultad. Muchos ataques sólo combinan letras y números y no son eficaces contra combinaciones raras de signos. Es muy eficaz utilizar @, $, &, #, !, etc., en medio de nuestra contraseña.

Crea una difícil de descubrir

Elige una frase que te guste (UN TRISTE TIGRE, por ejemplo); elimina los espacios (UNTRISTETIGRE); sustituye letras por números o signos que recuerdes, por ejemplo: la E por un 3, la I por un 1, la T por # (UN#R1S#3#1GR3). Usa los primeros ocho o diez caracteres –todos los que puedas– y tendrás una contraseña excelente y muy segura.

No olvides cambiarla con regularidad.

Las diez contraseñas más usadas en la red

En 20MINUTOS, Borja Ventura nos comenta sobre el problema de las contraseñas y nos da una lista con las diez contraseñas más usadas en la red

Los internautas no tenemos demasiado cuidado en la eleccion de nuestras contraseñas; es lo que se extrae de lo que publica Steve Johnson en Chicago Tribune, un listado de las diez claves de acceso más comunes en la red que deja mucho que desear en cuanto a seguridad se refiere.

Con contraseñas como «password«, «123456«, «qwerty» o «abc123«, muchos «piratas» informáticos deben estar encantados de poder acceder a cuentas de correo, páginas privadas y contenidos poco protegidos; y esta lista es sólo un extracto de lo que publicará en mayo la revista PC Magazine.

El «top ten» de la imprudencia

1. password
2. 123456
3. qwerty
4. abc123
5. letmein
6. monkey
7. myspace1
8. password1
9. blink182
10. (tu nombre)

Ese artículo continuará los datos ofrecidos por la publicación germana Heise en 2006 sobre las contraseñas más utilizadas que, además de las mencionadas anteriormente y variables igualmente poco imaginativas, incluía otros recursos comunes en la red.

Desde One Man’s Blog lanzan una advertencia en este sentido: averiguar la contraseña de alguien es muy sencillo: contraseñas poco imaginativas o fechas de cumpleaños, nombres de hijos, mascotas o padres y demás no suponen un freno para quienes se dedican a romper la seguridad de los usuarios.¿Cuánto cuesta descifrar su clave?

Hasta ponen ejemplo: por una contraseña aleatoria de seis carácteres se tardan unos cinco minutos en dar con la clave; si se combinan las mayúsculas y las minúsculas se amplía el tiempo a más de ocho días.

Si además suele utilizar las contraseñas para varios sitios, puede tener un serio problema; pero no se apure, en la propia red se pueden obtener gestores de contraseñas mucho más seguros, y otros consejos que le ayudarán a mantener a buen recaudo su privacidad.

En busca de una acertada gestión de contraseñas

Ante la confusión de tantos nombres de usuario y claves de acceso, la industria empieza a trabajar para buscar soluciones seguras de gestión de contraseñas. ¿Cuántas contraseñas utiliza en un día normal? En el trabajo una o dos, seguramente. Para el correo electrónico, al menos otra. La alarma de casa, el código de la tarjeta de crédito (más las claves para operar por Internet con su cuenta corriente), el PIN del móvil…

Sin olvidar las claves para servicios como Technorati, Del.icio.us o la cuenta en Flickr. Y por supuesto, no son sólo las contraseñas, porque cada uno de esos formularios requiere un nombre de usuario. Es más de lo que una sola persona puede recordar.

Son muchas las organizaciones que empiezan a desarrollar lo que se conoce como sistemas de gestión de identidad: agregadores de contraseñas que permitan a los usuarios utilizar un solo nombre y clave para todas sus actividades en la Red.

Entre estos proyectos destacan Cardspace, desarrollado por Microsoft, y OpenID, el formato adoptado por AOL. Aunque funcionan de forma distinta, ambos tienen el mismo objetivo: reducir la complejidad para el usuario y asegurar la seguridad de las transacciones.

Según Ben Laurie, un experto independiente en criptografía, Cardspace es por ahora más seguro que OpenID, ya que solicita más información sobre el usuario y además usa criptografía. Los desarrolladores de OpenID responden que su objetivo era más bien crear los estándares para la autentificación de webs.

En cualquier caso, y al margen del sistema que termine por triunfar, «la ventaja para los usuarios está clara«, explica Laurie. «Te registras una sola vez y no tienes que dar una y otra vez información como la dirección o el código postal en diferentes sitios, lo que, asumiendo que la seguridad de los sistemas es buena, evita el phishing«, concluye.

Visto en: BAQUÍA

Usuario y contraseña en la Web

En ocasiones, cuando en una web vamos a escribir el nombre de usuario en la casilla de turno y empleamos la opción de autocompletar, vemos que también se pone la contraseña sola en el campo correspondiente.

Pues bien, si queremos que no vuelva a quedar constancia de estos datos, debemos seleccionar el nombre (ya completo) que se ofrece justo bajo la casilla en la que se está escribiendo y presionar la tecla Supr, con lo cual se borrará ese registro.

No parece haber otra forma sencilla de borrar contraseñas selectivamente.No obstante, en la ruta Herramientas/Opciones de Internet/Contenido, se pueden borrar todas de golpe.

Otra forma de eliminar esta información es acudir al Registro del sistema y borrar el contenido de la carpeta SPW ubicada en HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/IntelliForms.

Visto en: PCActual

Cuidado con las contraseñas

Hoy en día empleamos contraseñas para cientos de cosas en Internet o en el ordenador. Parece que no tienen importancia pero en la mayoría de las ocasiones tiene mucha más de la que te imaginas. Con la contraseña de tu cuenta de correo electrónico se podrían hacer muchísimas cosas, por ejemplo… pueden «hacerse pasar» por tí al tener tu cuenta de correo.Por ejemplo, si has comprado alguna vez alguna producto en Amazon, eBay o cualquier tienda y has pagado con tarjeta, con algo de labia (o incluso sin ella en muchos comercios) podrían preguntar amablemente por la tarjeta de crédito usada, obteniendo respuesta de ello en tu cuenta de correo, la cual, si saben la clave… pues…

En fin, que es lógico y claro, que las claves son muy importantes. Así que dentro de esta premisa voy a aconsejar desde aquí en base a un artículo que he leído que no pongáis claves fáciles. Una clave fácil es «árbol», «casa», «benjamín», «auriculares»… es decir, cualquier palabra sencilla contenida en un diccionario. También son fáciles cosas como «mario82?, «1975maria», o «245531542?.

Expliquemos el por qué

Usando un juego de 10 caracteres numéricos (0123456789), una clave de 9 dígitos, con un ordenador normalito (siempre pondremos ejemplos con ordenadores «de casa») se puede sacar en base a programas que generan combinaciones y prueban la clave, en unos 15 minutos.

Si usamos un juego de 26 caracteres para nuestra clave de texto (abcdefghijklmnopqrstuvwxyz), y creando una clave 7 caracteres que es la media usada, la clave la obtendríamos en poco más de 2 horas. Si en lugar de eso usamos 52 (mayúsculas y minúsculas unidas), la misma clave podría darse en unos 12 días.

Si además de 52 caracteres de letras metemos los numéricos de antes, la misma clave tardaría 42 días, y si ademas metemos símbolos de por medio, podría tardar hasta 2 años y medio.

Todos estos ejemplos con un ordenador de casa, normalito. Tomando el último ejemplo, es decir, creando una clave de 7 caracteres con un juego de 96 caracteres (letras mayúsculas, minúsculas, números y símbolos del teclado), incluso un superordenador de esos que ocupan una pared entera, tardaría hasta medio año en descifrarla sacando combinaciones.

Conclusión

Por favor, no pongais claves que sólo contengan números o letras, para programas descargables por Internet al alcance de cualquier persona, son apenas minutos lo que hacen falta para descifrarlas. Usad claves complejas con números, letras y símbolos, por ejemplo, si quieres usar la palabra árbol (porque te gustan mucho los árboles o por cualquier motivo), puedes usar claves como ArB0l (en lugar de una «o» es un cero), o también ar(BOL)… en fin, muchas más que un simple arbolillo.

Generando el password perfecto

 En Generando el password perfecto!, nos da una lección en cuanto a generar el password o contraseña perfecta.

Esta es una idea que ha estado dando vueltas por mi cabeza por algún tiempo. Ahora que tengo un blog, puedo finalmente compartirla con ustedes.Por años, administradores de sistemas y usuarios precavidos se han visto en la necesidad de crear passwords largos y complicados para evitar los ataques de adivinación de passwords. Sin embargo, esos passwords son por lo general complicados y difíciles de memorizar.

Hay alguna manera de crear un password seguro, fácil de recordar, y que sea invulnerable a la mayoría de los ataques? Sí!, gracias a algo que llamo ‘password compuesto’. Es muy simple, pero a la vez increíblemente poderoso.

Básicamente, el password compuesto es una juxtaposición de 2 palabras simples, con sus letras alternadas. Por ejemplo, pgeartroo es un password compuesto. Puedes ver dos palabras ahi?

Las 2 palabras en el password compuesto son ‘gato’ y ‘perro’. Para generar el password, ‘gato’ es “insertado” en ‘perro’. ¿Pero que me dicen acerca de recordar este password?

Para los no iluminados, esto luce definitivamente como un password difícil de memorizar generado aleatoriamente. Pero recuerden, esto no es más que la juxtaposición de dos simples palabras. Con este sencillo truco de escritura lo único que necesitarás recordar serán tus 2 palabras para poder escribir el password. Veamos lo siguiente:

(El caracter | representará el cursor parpadeante que aparece en cualquier cuadro de escritura, lo pongo aqui sólo para que la explicación sea más clara)

1. Escribe la primera palabra gato|
2. Mantén apretada la tecla de flecha izquierda para que te coloques al principio de la palabra |gato
3. Escribe la primera letra de la segunda palabra y oprime la tecla derecha una vez p|gato
4. Escribe la segunda letra de la segunda palabra y oprime la tecla derecha una vez pge|ato
5. Repite el paso 4 hasta que hayas introducido completamente la segunda palabra. pgeartroo|

Y listo! Ahora ya tienes un muy seguro password compuesto! Ahora veremos algunas de las técnicas para obtener passwords, y como el password compuesto logra evitarlas:

*Brute Force (fuerza bruta): La razón más común por la que los administradores recomiendan a los usuarios a elegir passwords extensos con letras y números, es para evitar los ataques brute force, los cuales tratan todas las combinaciones posibles de letras y números para adivinar el password. Mientras más largo sea el password, la memoria que requiere la máquina para adivinar el password aumenta de manera considerable. Claro, pgeartroo tal vez sea fácilmente adivinado por un ataque bruteforce, pero que me dicen de bguesohrgew (georgew bush)?

* Diccionario: Una variante del ataque brute force la cual consiste en tratar de adivinar el password comparando palabras de un diccionario/wordlist predefinido. Esta mejora o variante de este ataque tampoco podrá adivinar nuestro password compuesto, porque este tipo de passwords no se encuentran en los diccionarios o wordlists.

* Adivinando el password: Si alguien al azar decide probar el password pgeartroo, ese alguien debería dejar el hacking e ir directo a reclamar el premio Randi .

Con un poco de imaginación, incluso las herramientas más avanzadas de obtención de passwords pueden ser burladas.

* Keyloggers: Algunos troyanos y keyloggers tienen la capacidad de registrar y grabar cada tecla oprimida por el usuario. Sin embargo, los keyloggers no registran los clicks del mouse. Si eres un tanto paranoico y tienes miedo de los keyloggers, simplemente reemplaza cada flecha oprimida en el teclado con un click del mouse, escribe tu primera palabra, dale click al inicio del cuadro de texto, etc. El keylogger sólo capturará las teclas que tu presiones, por lo cual registrará algo como esto: gatoperro, ni siquiera cerca a tu verdadero password! Absolutamente genial y útil para computadoras de acceso público.

* Shoulder Surfing Shoulder (algo asi como mirar por encima del hombro): Esta ‘técnica’ simplemente consiste en que el atacante se para detrás de ti, y mira las teclas que presionas en el teclado cuando escribes tu password. Sin embargo, el 99% del tiempo, el no observará las teclas de flecha que estás presionando (o los clicks del mouse). Simplemente pon una mano sobre las flechas del teclado y disimuladamente las presionas mientras escribes tu password con la otra mano.

Los passwords compuestos no son una solución mágica a todos los riesgos posibles. Ellos no te protegerán de los ataques de phising o bases de datos comprometidas. Pero sin duda son una manera fácil de generar passwords seguros y fáciles de recordar.

Actiualización desde que aparecí en Digg: Era de esperarse que con el enorme impacto que provocan los diggers, inevitalemente algunas críticas han surgido. Señores! pgeartroo es sólo un ejemplo! Elegí esas palabras para el password, para hacer más sencilla la demostración!

Un verdadero password deberá tener palabras más largas y caracteres especiales y sería algo asi como: edfiegcgt!o (digg effecto). Mejor?

Visto en: Menéame

• Actualización I:

En los comentarios se sugirió otra técnica:

Es parecida pero con las primeras tres letras de cuatro palabras diferentes.

Por ejemplo: a partir de las palabras maldito reloj despertador mierda genero el password malreldesmie. Incluyo al final la hora en la que suena el maldito reloj despertador de mierda y ya tengo malreldesmie0750. Finalmente elijo la letra que más me gusta y la capitalizo. Resultado: malreldeSmie0750.

El método tiene casi las mismas ventajas y además es rápido de introducir, sin necesidad de volver atrás ni pulsaciones de flecha adicionales.

• Actualización II: A la hora de generar una contraseña, es muy efectivo alternar mayúsculas y minúsculas, también  letras y números, y signos no alfabéticos, que es algo básico a la hora de hacer contraseñas seguras.

Asegurando las contraseñas de varias formas

En 86400, nos enseña a asegurar nuestras claves o contraseñas de forma rápida y sencilla —y muy curiosa por cierto—, generándonos claves muy complejas y con reglas nemotécnicas para recordarlas.

El servicio Strong Password Generator permite generar claves de 5 a 21 caracteres incluyendo números, mayúsculas, símbolos, etc… incluyéndo eso sí, las reglas para poder acordarse, aunque cada uno lo puede hacer a su manera.

En primer lugar y tal y como se puede leer en la web del generador, una contraseña segura ha de cumplir los siguientes requisitos:

• Tener una longitud de 7 o 14 caracteres, debido a la forma en que las encriptaciones trabajan. Por razones obvias, 14 caracteres es preferible.
• Contener letras tanto en mayúscula como en minúscula.
• Contener números.
• Contener símbolos como: ` ! » ? $ ? % ^ & * ( ) _ – + = { [ } ] : ; @ ‘ ~ # | \ < , > . ? /
• Contener un símbolo en la segunda, tercera, cuarta, quinta o sexta posición.
• No parecerse a cualquier otra contraseña previa.
• No ser tu nombre, el de cualquier amigo o familiar, ni ser tu login.
• No aparecer en un diccionario o ser una palabra común.

Siguiendo con la filosofía del ejemplo anterior:

en lugar de recordar df5+A, se podría recordar algo como «disney firefox 5 + AMARILLO«

Aun así hay otra forma de recordar claves mucho más complejas y todo lo largas que se quieran, me explico. Lo ideal sería poder tener un archivo en Netvibes (Google Home Page, …) o en nuestro email siempre, o en el escritorio, o incluso en un post-it en el monitor del ordenador con todas nuestras claves. (Que no cunda el pánico que no se ha terminado).

A todas ellas le aplicamos una regla que sólo nosotros sepamos, por ejemplo incorporar en la posición cuarta dos caracteres raros, que luego siempre quitaremos. Así por ejemplo podemos apuntar tranquilamente en cualquier sitio que la clave de nuestra cuenta Gmail es:

ertg245dgh356ryj sabiendo sólo nosotros que el 24 tenemos que quitarlo antes de colocar esa clave

Cuando digo esa clave tan compleja digo cualquier otra obviamente, y es una forma de poder tener nuestras claves «aparentemente a la vista» y que nadie sepa cómo usarlas.

Otra forma de generar claves es usando una regla nemotécnica respecto al lugar dónde la vas a usar. Por ejemplo, si quiero tener la clave de Hotmail podría sacarla con una regla (que me invento para poner un ejemplo):

núm.caracteres servicio + núm.letra primera + núm.letra última + «la sig de cada una de las 3 primeras letras»

Un ejemplo páctico de lo anterior sería:

En el caso de Hotmail:
núm.caracteres servicio: hotmail tiene 7 letras = 7
núm.letra primera: la H es la letra número 8
núm.letra última: la L es la letra número 12
La siguiente de cada una de las 3 primeras letras: hot pasa a ser «ipu»

Así que el resultado final de la clave podría ser:

7812ipu

Crea tu propia regla nemotécnica o cualquier forma de conseguir tus claves respecto a lo que has escrito y seguro que te será más fácil recordar la clave de Hotmail, Gmail, NetVibes, el foro de coches, el foro de amistades, el servicio de tal sitio, el de la banca online, el de … etc…

Y por favor, no se te ocurra decir que empleas la misma clave para todo porque es para matarte.

Contraseñas, no es fácil ser original

En la La Tejedora, he leído sobre el problema de las contraseñas y comenta (cito textualmente):

Haciendo un repaso rápido me salen media docena de contraseñas de uso diario. Así no se puede vivir, recordar tantas combinaciones no es nada obvio y, si además haces caso de las recomendaciones de los especialistas, es mucho más complicado manejarse con soltura por los formularios: no se pueden repetir contraseñas, no vale usar nombres propios (de novias o familiares) ni cifras recurrentes (como cumpleaños) y hay que combinar números y letras de forma aleatoria para escapar de posibles intrusos.

Seamos honestos, casi nadie sigue al pie de la letra todos estos consejos. Es más, la mayoría de los usuarios de Internet son perfectamente vulgares y se repiten.

Según cuentan hoy en el ‘blog’ de seguridad del Washington Post, unos 60.000 usuarios de MySpace han dejado al descubierto sus contraseñas al picar en una página de phising. No es la primera vez que esto ocurre, pero como comentan en el artículo, lo alucinante es la total falta de originalidad de los pobladores de esta comunidad. Alucinen con nosotros con el siguiente listado de contraseñas más utilizadas por estos 60.000 imprudentes:

password1 (106)
abc123 (73)
swimmer1(43)
iloveyou1 (41)
monkey1 (40)
fuckyou (37)
123456 (33)
myspace1 (32)
fuckyou1 (32)
i(32)
password (27)
babygirl1 (25)
iloveyou2 (24)
football1 (24)
danny12031986 (23)
blink182 (23)
princess1 (22)
freesh**4me (22)
16188s (22)
123abc (22)

¿De verdad alguien que pone como contraseña ‘password1’ o ‘myspace1’ piensa que sus datos están a buen recaudo? Que no cunda el desánimo, no todo está perdido, cerca de 13.000 de los pillados tenían una contraseña de ocho caracteres y un 83% del total ha incluido al menos un número en su llave.

Algo de prudencia queda.