Después de todo tu cerebro no es tan malo a la hora de recordar contraseñas

Por David Ormeño @Arcanus_tco

El año pasado dos investigadores le pidieron a un grupo de voluntarios que entraran a un sitio web unas 90 veces durante 10 días, utilizando cualquier contraseña que ellos eligieran.

Luego de ingresar la contraseña, el sitio web les mostraba un código de seguridad pequeño, hecho de 4 letras al azar o dos palabras al azar y les pedía que lo escribieran. Durante el experimento de diez días, el sitio agregó más letras y palabras al código (hasta 12 letras o palabras al azar) y el código de seguridad se demoraba un poco más en aparecer, promoviendo que los participantes lo recuerden antes de verlo.

Al final del experimento y 3 días después del último inicio de sesión, un 94 por ciento de los voluntarios fueron capaces de recordar de memoria el código al azar, fuera palabra o frase, las que eran absurdas palabras como "zljndjjgjana" o frases sin sentido como "gaze sloth laugh grace relic born".

Sin que los voluntarios se enterarán, los investigadores lograron engañar a sus cerebros.

"Las palabras están marcadas en mi cerebro" dijo un participante, de acuerdo a los investigadores.

Con este experimento, los dos investigadores demostraron que nuestros cerebros no son tan malos a la hora de recordar contraseñas complicadas y al azar, pese a la contraria suposición común.

"Existe una gran dimensión en la memoria humana a la hora de recordar contraseñas que no ha sido explorada" dijo Joseph Bonneau, uno de los dos investigadores que crearon el estudio, "La memoria humana te sorprenderá".

That's good news because in 2015, people still choose crappy passwords such as "123456," "qwerty" or, yes, "password," which makes the lives of malicious hackers and spies very easy.

Estas son buenas noticias, porque en el 2015 las personas todavía escogen estúpidas contraseñas como "123456", "qwerty" y, si, "contraseña", lo que hace mucho más fácil la vida de los hackers maliciosos y los espías.

Sucede que estas contraseñas son muy triviales y fáciles de adivinar, pero incluso las contraseñas más complejas (piensa en palabras con caracteres especiales o números y frases de canciones o citas) son relativamente inseguras. Incluso los principiantes pueden ser buenos crackers gracias a softwares para crackear contraseñas, los que automáticamente las adivinan utilizando diccionarios de palabras y patrones comunes.

Sucede que la clave para crackear contraseñas está en un defecto de nuestros cerebros, de acuerdo a Jeremi Gosney, experto en contraseñas y cracker. Nuestros cerebros no son muy buenos para crear combinaciones de números o letras al azar, porque tienden a ser influenciados por memorias o gustos culturales, lo que se traduce en contraseñas que no son aleatorias y por lo tanto son vulnerables.

"Si tu contraseña no es aleatoria, la podemos crackear" dice Gosney, quien una vez descifró el 90% de un archivo que bajó de internet con más de 16.000 contraseñas. Le tomó 20 horas y era parte de un concurso. "Los crackers de contraseñas ya saben todos los trucos que tu crees tener a la hora de crear una contraseña más segura".

Con el poder computacional de hoy, los crackers pueden intentar adivinar millones de contraseñas por segundo y quizás un billón si es que le crees a Edward Snowden.

Esto significa que tu contraseña más vale que sea larga y aleatoria. Idealmente debería tener un largo de 7 palabras, si es que estás preocupado por la NSA o los espías chinos, de acuerdo a Micah Lee, un tecnólogo en The Intercept. Gracias a un método que utiliza un dado físico y una lista de 7.776 palabras, tu también puedes crear contraseñas que son imposibles de crackear, las que le llevarían a un hacker el promedio de 27 millones de años en adivinar, según escribió Lee recientemente.

Imagen: Ella's Dad/Flickr

En el experimento ideado por Bonneau y Stuart Schechter, los sujetos de prueba pudieron recordar combinaciones aleatorias de hasta seis palabras y se estima que para poder crackearlas en un año, el atacante tendría que pagar un millón de dólares en poder computacional. Un ejemplo de este tipo de frases sería "Gang Neon Ridge Blame Adobe Pulse".

Todo lo necesario es entrenar a través de la repetición, lo mismo que hicieron las personas del experimento.

"Cuando escribes lo mismo una y otra vez, es más fácil, es más rápido y en un momento tu cerebro ni siquiera lo recuerda, solamente lo escribes. Tus dedos se mueven de la misma forma cada vez, es muy fácil de recordar" le dijo a Motherboard el fundador de la conferencia Passwords, Per Thorsheim.

Thorsheim, a diferencia de Bonneau y Lee, cree que está bien si las contraseñas no son realmente aleatorias. Recordar una contraseña es difícil porque "no hay nada entretenido en ello, nada que haga que tu cerebro recuerde" le dijo a Motherboard.

Por eso es que él sugiere utilizar largas frases que te pueden hacer sentido a ti, son personales (no sirven la letra de una canción o una cita, lo sentimos) y crean una asociación positiva. Por ejemplo, dice, la frase una canción de cuna que tu madre te cantó cuando eras un niño sería una muy buena contraseña.

Para las contraseñas más importantes, Bonneau utiliza el mismo método del experimento. Él crea contraseñas con frases aleatorias gracias a un código que escribió, luego las escribe en un post-it que guarda en su billetera y entrena a su cerebro para que la recuerde.

"Luego de unos días la escribo y ya no es necesario sacarla de mi billetera" dijo.

En la vida real existe otro desafío, repetir este método en todo los sitios sitios web que utilizan contraseñas es una tarea desalentadora pero no imposible.

Aquí es cuando puedes ayudar a tu cerebro y utilizar un administrador de contraseñas, los que crean, guardan y recuerdan contraseñas aleatorias y poderosas por ti. Como me dijo el experto en contraseñas, Troy Hunt, "Recordar una cosa no es el problema, el problema es recordar docenas de cosas".

Por esto es que todos los expertos con los que hablé recomiendan utilizar un administrador de contraseñas como LastPass, 1Password, KeePassX o Dashlane. Con estos sólo necesitas recordar una contraseña o frase que desbloquea los demás. Esta debe ser una larga e idealmente aleatoria contraseña que puedes recordar entrenando tu cerebro.

A estas alturas solo necesitas un dado, un post-it y algo de paciencia, tu cerebro hará el resto.