¿Cómo crear una contraseña realmente segura?
Anoche me enteraba de que habían hackeado crackeado un sitio web que yo utilizo, y publicaron una lista de 650 emails de los usuarios con sus respectivos passwords. A diferencia de otros casos anteriores, ahora eran usuarios argentinos los afectados, muchos conocidos y amigos estaban en esa lista.
Me pasaron la lista, y me encontré con que había muchas contraseñas obvias, fáciles de averiguar e incluso contraseñas que eran las mismas que sus dueños usaban en otras páginas. El potencial daño originado del hecho de que te averiguen tu contraseña, es cada día más alto.
Entonces, ¿Qué debe cumplir una contraseña para ser realmente segura?
- ser alfanumérica, estar formada por letras mayúsculas, minúsculas y números.
- en lo posible, contener símbolos no alfanuméricos (hay sitios web q no los permiten)
- ser larga, como mínimo 6 caracteres, es aconsejable que sean más de 8
- no ser una palabra de diccionario
- no ser una palabra adivinable, como el nombre de tu novia o tu fecha de cumpleaños
- ser única, o al menos no usar las mismas contraseñas en todos lados
- y además de todo eso: ser fácil de recordar
Entonces, una contraseña realmente segura se parecerá a esto: «Zx5(3ac$T» lo cual no es para nada fácil de recordar.
Por eso, algunos consejos para crear una contraseña realmente segura y recordable.
Primer método: usar una frase.
Pensamos una frase fácil y familiar (y luego usamos sólo las primeras letras de cada palabra de la frase). Es fácil de recordar, es largo y puede usarse una para cada lugar.
Por ejemplo, en vez de poner el nombre de tu novia como contraseña, intenta «mi novia se llama Antonela y tiene 21 años» que se puede convertir en «MnslAyt21a». En vez de tu fecha de cumpleaños (otra contraseña obvia y muy usada) intenta con «yo nací el 20 de Diciembre del 85» que se convierte en «yNe20dDd85». Fácil de recordar e indescifrable.
Si además, la frase está relacionada con la página web, serían todas distintas y no intercambiables. La frase «estoy Entrando a Hotmail.com» se convierte en «eEaH.c» pero en cambio la frase «estoy Entrando a Taringa.net» sería «eEaT.n». Como ven, sólo hay que recordar la frase y si un hacker obtiene la contraseña de taringa, no puede adivinar la de hotmail ni ninguna otra. Así, tienes todas contraseñas distintas, pero sólo tienes que recordar una oración sencilla.
Mi método: usar una «semilla» y un algoritmo.
Mi método para crear contraseñas seguras, fáciles de recordar y únicas para cada lugar es el siguiente:
- en cada lugar donde debo crear una contraseña, pienso una «semilla», que es una palabra obvia que represente dicho lugar: «Hotmail», «Taringa», «Windows», «Gmail», «Facebook»
- a esa semilla le aplico un «algoritmo», que no es más que una combinación de pasos y transformaciones que será siempre el mismo para todas las semillas.
- no debo recordar la contraseña generada (de hecho, yo ni siquiera las sé) sino sólo el algoritmo y qué es lo que uso de semilla.
Por ejemplo, la semilla puede ser el nombre del sitio, sin o con el .com y el algoritmo puede ser «agregarle un 42 adelante, agregarle un punto al final, y que la segunda letra sea en mayúsculas»
Quedarían «42hOtmail.», «42tAringa.», «42wIndows.», «42gMail.», «42fAcebook.»
estas contraseñas son largas, seguras e individuales. Para que sean perfectas, debería no ser tan obvio el algoritmo para que no se pueda «adivinar» los otros passwords. (si te robo la contraseña 42hOtmail. no me va a costar mucho deducir y probar 42fAcebook.) Pero seguro se les ocurren a UDs cambios recordables y difíciles de adivinar. Por ejemplo, si en vez de toda la palabra uso sólo sus 2 últimas letras, se hace más difícil de descubrir: «42aIl.», «42nGa.», «42oWs.», «42aIl.», «42oOk.»
Seguro se les ocurren semillas y algoritmos mejores. ¡Incluso pueden anotar donde quieran, hasta públicamente, cuál es la semilla!
Mi método: consejos y trucos.
Usando de ejemplo la palabra «contraseña» como semilla para hacerla más segura:
- duplicar la palabra: «contraseñacontraseña» es mucho más segura
- acentuar la palabra: «cóntraseñá» es mucho más segura (aunque la ñ también es un caracter especial)
- reemplazar letras por números, A=4 E=3 i=1 O=0 T=7 B=8 S=5 G=6 «c0ntr453ñ4» es una buena contraseña
- agregar números: «54contraseña32»
- reemplazar números por palabras: «unodostrescuatrocincoseis» es más segura que la archiconocida y muy usada «123456» e igual de fácil de recordar
- agregarle símbolos: «/contra-seña%$» lamentablemente no en todas las páginas permiten usar otra cosa que letras y números
- pueden dejar sus propios trucos en los comentarios si quieren.
Otros métodos: programas de gestión de contraseñas
Existen muchos programas que nos ayudan a guardar y generar contraseñas seguras. Programas como LastPass, 1Password o KeePass. En particular, no soy partidario de estos porque por un lado nunca encontré uno que las haga seguras y a la vez recordables y por otro porque el día que alguien averigüe tu contraseña maestra, averigua todas las demás.
Conclusión:
A alguno le parecerá mucho lío (aunque seamos honestos, es más fácil recordar una frase que 15 palabras distintas) pero tengamos en cuenta que hoy en día, ponemos mucha información sensible en internet. Tal vez sólo uses el mail, pero también es posible que uses facebook, paypal, adsense, tengas fotos privadas en algún lado. O incluso que alguien use tu contraseña para hacerse pasar por vos y atacar a tus conocidos, más vulnerables y atractivos para el hacker: tu padre, tus empleados, tu jefe, tu novia, tus clientes.
Y como estas noticias de robo de miles de contraseñas están apareciendo cada vez más y más, nunca mejor dicho lo de «más vale prevenir que lamentar».
¿Si fueras usuario de esa página, y como dije, anoche tu mail hubiera estado en la lista publicada por el cracker, te hubieras tenido que preocupar o cambiar algo si tu contraseña era «5&4gdipb1SZ»? En cambio, si supieras que tu contraseña «1234asdf» fue hecha pública, ¿qué hubieras hecho? ¿Cuál hubiera sido tu reacción?
¿Se entiende mi punto ahora?
Saludos, y espero que la información les sea de utilidad.
PD: lo ideal hubiera sido que el cracker al entrar se encontrara con un montón de hash salados, o que no pudiera entrar.
este artículo es libre. lo que significa que puedes copiarlo, modificarlo, usarlo. pero debes citar la fuente y mantener estas mismas libertades y mantener esta nota aclaratoria.
Un abrazo grande a Alvago que también se le ocurrió el método que describo para crear contraseñas seguras.
Alan
Uy! que buen artículo. La verdad que uno siempre lee los mismos consejos, pero la idea de la semilla + el algoritmo es genial.
De hecho, ya voy pensando uno y voy a cambiar todas las contraseñas…
Saludos!
N3RI
Me alegra que te guste la idea, seguramente no sea original, pero yo al menos no escuché a alguien que haga algo parecido.
Otro truco es que el algoritmo sea un «movimiento en el teclado» como por ejemplo usar las teclas del costado o arriba: en vez de «contraseña» que te quede algo como «xibreaawla» o «d9h54qw3pq»
Igual creo que la de usar una frase es la más fácil de recordar.
carolinamosquera
Si claro como eso fuera tan facil
gianella
pues yo no se que contraseña puedo pones
**Juanito**
Excelente. La contraseña que uso en Gmail es muy difícil, me costó bastante aprenderla y tiene signos, números, mayúsculas y minúsculas.
Antes usaba una misma contraseña para todo pero me dí cuenta de que si me la adivinaban podrían entrar a todas mis cuentas.
Yo creo que los movimientos de teclado no son «muy confiables» porque si yo se que la persona a la que le quiero robar la cuenta es un gamer, lo más probable es que su contraseña comience, termine o tenga el famoso wsad y con un poco de information gathering puedo adivinar las otras partes.
La otra forma de acordarse es usando el alfabeto fonético aeronáutico (el que usan en las pelis :P) y otro tipo de referencias para los signos.
Por ej: una de mis primeras contraseñas «fuertes» fue una progresión de acordes para guitarra que me daba el profe para practicar digitación.
La verdad es que existen muchas formas así que ya no hay motivos para no tener contraseñas seguras.
Saludos
N3RI
Yo durante mucho tiempo usé de contraseña la palabra «incorrecta»; sólo porque me parecía gracioso que si algún día la olvidaba, bastaba con probar cualquier cosa y me saldría un cartelito que diría «la contraseña es incorrecta» 😛
enz0
Está muy bueno el post. Creo que les servirá a varios al menos para tomar conciencia.
Sobre mis contraseñas tengo creado un algoritmo propio por el cual paso las palabras «base» y obtengo el resultado final. Lo que si debo decir, es que las termino recordando de memoria una vez que las usé varias veces xD
Saludos
N3RI
yo no las aprendo (ni siquiera las sé, ni las vi cómo quedan) porque cuando las escribo estoy pensando en la palabra semilla. Pero me alegra enz0 ver que varios usan ese método.
Miguel
Graciias nerii por compartir metodos de como hacer una contraseña faciil y orginal enceriio
! ok graciias! sos groso che!
atte. miguel!
SALUDOS DE MÉXICO
caligula
gracias neri por la nota
Ch1v4
Excelente el POST y comparto el PD.
Saludos.
vanessa
Neri, está muy bueno este artículo, es muy útil, lo voy a utilizar! gracias!
nad
Oh, mis contraseñas suelen ser algo así pero no sabía que eran seguras teniendo algo que ver con algún método, mirá vos que bueno.. Muy interesante!
Alvaro G. Ghisolfo
Otra vez, gracias por nombrarme ;).
Estaba pensando en algo para agregarle a este post, pero no hay mucho más para decir. De hecho yo había pensado en hacer uno similar, pero con menos propuestas… y también con menos conocimiento e información, ya que nunca hubiese llegado a pronunciar palabras como «semilla» o «algoritmo». Simplemente iba a comentar un poco mi sistema personal (algo cambiado, por motivos obvio :P), que es así, con una semilla y un algoritmo.
Por otro lado, tengo un archivo de Excel que vengo armando hace muchos, muchos años (¡muchos en serio!, no me arriesgo a decir 10, pero… muchos) con un listado completo de todas las contraseñas que uso. El algoritmo me lo puedo llegar a olvidar, pero el archivo te aseguro que no se va a perder. Cuando cambio alguna, lo primero que hago es abrir el archivo y cambiarla. Lo mismo a medida que me voy suscribiendo a nuevos servicios. Y si desaparece o me doy de baja de alguno, se pinta ese registro de otro color. Si bien no es lo más seguro del mundo, de más está decir que ese .XLS está protegido con contraseña… y esa contraseña la saben un par de conocidos míos, que viven lejos, es decir que no tienen acceso al archivo. Algún día, esté yo vivo o muerto, por ahí alguien lo puede llegar a necesitar… (sí, estoy loco, pero hombre prevenido vale por dos :P).
Saludos, Neri… y gracias de nuevo :D.
» Alvago »»» alvago.com.ar
@Boonaaa
bue, dato útil eso de no usar la misma pass para todo… ya cambie 2 xD
si me las olvido puedo hacer la qeja acá ?
Muy bueno el post!
N3RI
lo bueno de estos métodos es que no te la podés olvidar a la contraseña porque… la podés anotar!!!
Pero no anotás la contraseña-resultado, sino la frase o palabra-semilla que usás.
Incluso podés poner un post-it arriba de tu escritorio que diga «mi contraseña es Enciclopedia» o «vive rápido, fallece joven y tu cadáver será bello». Total, nadie sabe cómo convertirlas en la verdadera contraseña.
asur
Me gusta mucho, mucho tu blog, vengo siempre que veo alguna actualización en el RSS (que no lo uso para leer, sino para enterarme cuando actualizan los blogs, ya que me gusta visitarlos)
Pero este post, es una verdadera joya. Simple y efectivo. Yo tenía graves problemas para recordar mis contraseñas… y la verdad, nunca se me había ocurrido hacer algo como lo que sugerís. Cambié todas mis contraseñas siguiendo el método semilla/algoritmo y ahora todo me resulta más fácil.
Muchas gracias!
N3RI
gracias ASUR por tus palabras. Me alegra que te haya gustado el método. Yo en un principio imaginé que les iba a parecer «complicado al pedo», pero veo que tuvo mucha aceptación, incluso más que el método de la frase, que me parece es mucho más sencilla.
Esto es re simple de recordar; el único problema que le encuentro es que yo uso letras, números y símbolos, y todavía hay páginas q no te aceptan símbolos! Entonces para esas páginas tengo que usar «otro algoritmo» y después no me acuerdo si es uno o el otro el que tengo que usar. Xej: taringa
Nicolas
Yo prefiero usar una combinacion de claves de palabras que puedo recordar.
Como Mi Nombre – Mi pais – mi año de nacimiento – el nombre de mi perro
entonces convertirlo en algo como:
nAR91Be
N3RI
Miren esto:
Estimado Sr. Editor:
Soy Carlos Hernández Petrini BizDev (Business Developer) de España
para LastPass. El motivo por el cual le envío este mensaje es que
desde LastPass hemos visto los artículos que ha escrito en su página
web sobre cómo crear una contraseña segura.
Antes de empezar le felicitamos por sus artículos, y su página.
Queremos informarle y animarle a probar el gestor de contraseñas
LastPass, además estamos completando la traducción íntegra al
castellano tanto de nuestra plataforma web, cómo de nuestro blog
(https://blog.lastpass.com/es/), con la finalidad de mejorar y
facilitar la navegación y experiencia de nuestros usuarios
hispanohablantes. Ya que hasta ahora el sitio web estaba publicado
únicamente en inglés (o con traducciones automatizadas).
A través de nuestro blog podrá mantenerse actualizado respecto al
software en sí de LastPass, consejos o noticias en relación a la
gestión de contraseñas y páginas que han sufrido filtraciones o han
sido “hackeadas”. Le animamos a que comparta los artículos del
blog que crea convenientes para informar a sus seguidores.
En caso de cualquier duda o consulta, no dude en contactar conmigo.
Atentamente. Un cordial saludo.
BizDev España @LastPass
gianella
pues yo no se que contraseña puedo poner