Ni las mayúsculas ni los números hacen más seguras a las contraseñas digitales

Por David Ormeño @Arcanus_tco

Una investigación revela que las formas más efectivas de fortalecerlas es haciéndolas más largas e incluyendo símbolos

"La contraseña debe incluir minúsculas y mayúsculas, y al menos un carácter numérico". Es una regañina común por parte de los portales web o el software cuando se abre una cuenta nueva o se cambia la contraseña, y de acuerdo a una nueva investigación, también podría ser errónea.

Un estudio que ponía a prueba la vanguardia en averiguación de contraseñas concluyó que la inclusión de números y mayúsculas en las contraseñas no las hace más seguras. Hacerlas más largas e incluír algún símbolo, sí.

"Los ataques se han vuelto más sofisticados, y esas recomendaciones están un poco desfasadas", dice Matteo Dell´Amico, un investigador de Symantec Research. Trabajó con Maurizio Filippone del instituto francés de investigaciones Eurecom. La pareja presentó un trabajo sobre su estudio en la conferencia ACM de Ordenadores y Comunicaciones la semana pasada.

La recomendación de que incluyamos una mezcla de minúsculas y mayúsculas en las contraseñas surge de la idea de que a un software que pruebe sistemáticamente cada combinación de caracteres le costará más averiguarla, explica Dell´Amico. Los medidores de contraseñas que indican la "fuerza" de la contraseña propuesta funcionan de una manera similar.

Pero lo último en software para adivinar contraseñas utiliza un método más inteligente que simplemente probar a ciegas. En su lugar, está entrenado con las listas filtradas de millones de contraseñas para intentar primero con las contraseñas - o los patrones encontrados en las contraseñas - utilizados con más frecuencia. El software de decodificación de contraseñas se puede emplear para intentar revelar contraseñas incorrectamente encriptadas filtradas en internet, como las 130 millones robadas de Adobe en 2013, o para acceder directamente al software protegido por contraseña o dispositivos que no limitan el número de intentos.

Dell'Amico y Filippone divisaron un nuevo método para medir la fuerza de una contraseña que tiene esto en cuenta. Entrenaron un software de ataque, lo utilizaron para generar listas de contraseñas e inventaron una manera de utilizarlas para asignar una especie de puntuación de acierto a cualquier contraseña. Utilizaron 100 millones de contraseñas filtradas para entrenar varios tipos de software de ataque y pusieron a prueba su método de adivinabilidad en otras 37 millones de contraseñas.

Los resultados demuestran que hacer una contraseña más larga o añadir símbolos representa una mejor manera de fortalecerla que añadir mayúsculas o números al final, y los métodos de ataque de contraseñas se puede aprovechar de ello, dice Dell´Amico. "Básicamente tienes que hacer que tus contraseñas sean menos predecibles ", explica. El nuevo método se podría emplear para proporcionar a los usuarios una idea de la fuerza de una contraseña, dice Dell´Amico.

"No he visto ningún método que sea perfecto, pero este probablemente representa el mejor intento que conozco", dice Mark Burnett, un investigador de seguridad que ha publicado una de las bases de datos de contraseñas utilizadas por el estudio. "Este tipo de investigación nos ayuda a ser más inteligentes acerca de lo que hace que una contraseña sea segura, las recomendaciones que hacemos, y ver hacia dónde tendremos que ir a partir de ahora".

El consejo de Burnett para la próxima vez que elijas o cambies una contraseña es que una vez que definas una, deberías encontrar la manera de alargarla, quizá añadiendo una palabra o dos. Su recomendación para la industria de los ordenadores es definir alternativas para el uso tan extendido de contraseñas. "Las contraseñas se están volviendo cada vez más largas y estamos llegando al punto en el que perderán su utilidad ", concluye el experto.