Seguridad en contraseñas

Publicado el 24 enero 2018 por Adolfo Gonzalez @adolforgs

Una contraseña o clave (Password en Inglés), es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. A aquellos que desean acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso.
Ya se ha escrito mucho sobre seguridad en las contraseñas, pero todavía hay que gente tiene como contraseña: Password, 123456 o Qwerty, el nombre de su perro o hermano/a.
Por un lado, están las contraseñas sistemáticas que por su simpleza son fácilmente descifrables por un ataque de fuerza bruta, que no es más que ir probando combinaciones hasta que el Software obtiene la combinación correcta. Obviamente lo primero que se prueba es 1234.
Fíjate como tengas esta contraseña, es que no te tardan en entrar a una cuenta, servidor o lo que sea ni 1 segundo.
Otra técnica es utilizar un hacking social a través de la ingeniería social. Esto es básicamente cuando alguien se hace pasar por un administrador del servicio web o de la plataforma. ¡Es el ataque más simple pero el más efectivo! Cuidado con esto. El caso más común es el phishing que es cuando una página web simula ser la de tu banco, la de tu cuenta de correo o lo que sea y te pide que introduzcas tus datos de la tarjeta de crédito o tu contraseña.
En este caso no hay ningún Software que está procesando y forzando contraseñas, o no hay ningún hacker detrás o en alguna parte de una red donde está procesando toda la información que envías. Simplemente colocan una web que simula ser otra y el usuario que no es precavido e introduce sus datos, ha ofrecido en bandeja toda su información.
Si tienes un amigo y sabes que le gusta mucho su perro o su gato, o puedes probar a poner la fecha de nacimiento de su hijo/a o la fecha de aniversario. En este caso el atacante tiene que conocer algo a la víctima. Esto es otro tipo de hacking simple siguiendo el modelo de ingeniería social.
Otro tipo de ataque de la ingeniería social es el pretexto. Donde ponen a la víctima en una situación y un escenario inventados. Previamente el hacker o atacante ha investigado algo sobre la vida de la víctima, algunos contactos, familiares, trabajo, y con esto ya tiene unos cuantos nombres y algunos datos que a la víctima le parece que todo concuerda y que la situación es normal. Esta técnica no solo se usa en hacking de Internet e informática, sino que se puede aplicar a situaciones tales para engañar a una empresa que revele información sobre sus clientes, etc.
Hay que tener mucho cuidado con lo que se hace en Internet, pero sobre todo cuidar donde pones tus datos.
Consejos para crear una contraseña (segura, fiable y fuerte)

Una buena contraseña tiene que tener como mínimo
  • Letras, mayúsculas y minúsculas.
  • Números.
  • Caracteres Especiales tipo: !”·$%&/()=?^*Ç
  • Una longitud mínima de 8-10 caracteres. Mejor una que tenga 20 caracteres (no es una exageración).
  • Que todo esté en orden aleatorio, sin ningún tipo de patrón.
  • No tengas la misma contraseña todas tus cuentas.

Por ejemplo, éstas que se han generado con un programa.

z$,xn3P4TMQw

+EesG9A,wx`@

WYvTU%:wE%iS

=85y+A6N,Aa^4{+G&

Este tipo de contraseñas es muy difícil descifrarlas. Como vez casi imposible. Pero bueno puede haber programas que las terminen por descifrar, aunque el tiempo empleado en procesado será elevadísimo.
Consejo final. Si tienes más de 5-10 contraseñas, olvídate de lo que estés haciendo hasta ahora con las contraseñas y empieza a usar un gestor y/o generador de contraseñas tipo lastpass o keepass.

Aunque sin duda recomiendo encarecidamente el uso de keepass, porque es un simple programa (un .exe) y una base de datos que puedes llevar en un USB. Puedes organizar y guardar tus contraseñas de manera segura y eficaz.