De acuerdo con el informe realizado por SplashData (Morgan, 2016), firma que se encarga desde 2011 de publicar la lista anual de las peores contraseñas utilizadas, con el único objetivo de fomentar la adopción de una contraseña fuerte para mejorar la seguridad en Internet y luego de analizar y compilar más de 2 millones de contraseñas robadas por la ciber delincuencia a lo largo del 2015, se puede observar que el común de las personas optan por seguir utilizando contraseñas que son muy fáciles de obtener por parte de los ciber delincuentes, como “123456” (primer puesto por segundo año consecutivo), “password” (segundo puesto por segundo año consecutivo) y “12345678” (tercer puesto, subió un puesto frente al 2014). Para ver el listado completo haga clic aquí.
Las contraseñas que utilizamos frecuentemente para poder acceder a la mayoría de servicios que nos ofrece el mundo digital, nos permite crear una barrera de protección entre nuestra información y la ciber delincuencia, barrera que puede ser tan frágil o tan sólida de acuerdo a nuestra posición frente a la seguridad de la información, no solo en nuestras actividades laborales sino también en nuestro entorno personal y familiar.
Habida cuenta de lo anterior y con el objetivo de fortalecer nuestras contraseñas, me permito relacionar 3 errores que cometemos a la hora de crearlas, para que los tengamos en cuenta y adoptemos unas mejores prácticas frente al tema:
1. Creación de contraseñas cortas.
Nuestro cerebro siempre busca realizar el mínimo esfuerzo posible, con el objetivo de optimizar la energía que necesita el cuerpo para desempeñar todas las funciones que tiene encomendadas y este hecho no es ajeno a la hora de seleccionar nuestras contraseñas, las cuales cumplen con 2 premisas: que sean cortas y fáciles de recordar, pero lo que a veces no tenemos en cuenta, es la facilidad con la que los ciber delincuentes pueden romper por fuerza bruta este tipo de contraseñas, gracias a los potentes diccionarios de palabras que construyen y alimentan constantemente.
Recomendación: Utilizar contraseñas con una longitud de mínimo 12 caracteres combinados entre alfanuméricos y caracteres especiales que no sigan ningún patrón como “1qwertyuiop`+” (primera línea del teclado), porque ya están identificadas en los diccionarios de los ciber delincuentes y se pueden romper en segundos. Puedes verificar la fortaleza de tus contraseñas con herramientas como http://www.passwordmeter.com/, https://blog.kaspersky.com/password-check/ y http://password-checker.online-domain-tools.com/.
Decirlo es fácil, pero crearla y recordarla no lo es tanto, por eso han surgido varias técnicas con sus respectivos seguidores y detractores, como la sugerida por la Ing. Lorrie Faith Cranor (Cranor, 2014) de la Universidad Carnegie Mellon, la cual consiste en utilizar “Contraseñas Pronunciables”, es decir palabras que pueda que no tengan sentido (por lo que no estarán en ningún diccionario) pero se pueden verbalizar y recordar fácilmente (Ej. 1WasAbavitroll*%) o el método “Diceware” creado por Arnold Reinhold para crear frases como contraseñas (él recomienda que la contraseña sea de mínimo 6 palabras), mediante la utilización de un dado, donde se requieren 5 lanzamientos para formar una palabra y el número resultante nos va a entregar un vocablo que se encuentra en una lista de palabras que existe en varios idiomas (Reinhold y Palao, 2003).
2. Indiferencia frente a las contraseñas.
A la hora de crear contraseñas y siguiendo con el tema del mínimo esfuerzo mencionada anteriormente, ocurren tres situaciones, la primera es que queremos utilizar una sola clave para todas nuestras cuentas, la segunda es que no queremos cambiarla frecuentemente y la tercera es que no queremos recordarla de memoria, por eso recurrimos a guardarla en algún archivo electrónico sin ningún tipo de seguridad o la escribimos en los famosos Post-It y la ocultamos (cuando lo hacemos) debajo del teclado (¡debo confesar que yo lo hacía así!), debajo del pad mouse, detrás del monitor, en el cajón del escritorio, entre la agenda o en la cartelera de nuestra oficina, entre otros lugares designados por nosotros, pero en algunas ocasiones, de fácil acceso por parte de compañeros y extraños.
Recomendación: Existen herramientas en el mercado, algunas son gratis y otras en cambio son por suscripción, que se encargan de administrar todo este tema y son los llamados “Gestores de Contraseñas” (Password Managers), en ellos podemos almacenar, en una cuenta protegida por clave (cuidado con esta clave porque perderla podría causar muchos dolores de cabeza), todas las palabras de acceso creadas para nuestras cuentas (una contraseña por cada cuenta) y algunos dan la posibilidad de hacer sincronizaciones entre dispositivos y otros permiten renovarlas periódicamente en todas las páginas web involucradas.
3. Desconocimiento de alternativas complementarias.
Algunos expertos en Seguridad de la Información creen que en un futuro muy cercano, las contraseñas por muy complejas que sean van a terminar siendo descifradas por equipos altamente sofisticados y con gran capacidad de procesamiento.
Recomendación: La utilización de doble factor de autenticación es una buena alternativa y consiste en tener una medida de seguridad extra que requiere de un código obtenido a partir de una aplicación o mediante el envío de mensajes de SMS, además de una contraseña para acceder al servicio. Compañías como Twitter, Google, LinkedIn, Evernote y Dropbox, entre otros servicios, ya ofrecen esta característica como un opcional de seguridad para las cuentas.
Para terminar, se observa que en un futuro inmediato las contraseñas pueden tener los días contados, ya que muchas Compañías, entre las que se destaca Google, están trabajando en servicios alternativos que pueden estar relacionados con sistemas biométricos y bluetooth, pero hasta que llegue la fecha en que estos servicios sean masificados, debemos continuar adoptando buenas prácticas para poder manejar adecuadamente nuestras contraseñas.
Si tienes otra recomendación que nos ayude a mejorar la gestión de nuestras contraseñas, compártela por favor en la sección comentarios, ¡muchas gracias por tus aportes!
Referencias:
Morgan (2016) Worst Password of 2015. TeamsID. Recuperado de: "https://www.teamsid.com/worst-passwords-2015/
Cranor, L. (2014) ¿Qué hay de malo en su c0ntr@señ@?. TED. Recuperado de: https://www.youtube.com/watch?v=0SkdP36wiAU
Reinhold, A. y Palao, M. (2003). Diceware en Español. World.std. Recuperado de: http://world.std.com/~reinhold/diceware_en_espanolA.htm
