¿Cómo crear una contraseña realmente segura?

Anoche me enteraba de que habían hackeado crackeado un sitio web que yo utilizo, y publicaron una lista de 650 emails de los usuarios con sus respectivos passwords. A diferencia de otros casos anteriores, ahora eran usuarios argentinos los afectados, muchos conocidos y amigos estaban en esa lista.

Me pasaron la lista, y me encontré con que había muchas contraseñas obvias, fáciles de averiguar e incluso contraseñas que eran las mismas que sus dueños usaban en otras páginas. El potencial daño originado del hecho de que te averiguen tu contraseña, es cada día más alto.

Entonces, ¿Qué debe cumplir una contraseña para ser realmente segura?

  1. ser alfanumérica, estar formada por letras mayúsculas, minúsculas y números.
  2. en lo posible, contener símbolos no alfanuméricos (hay sitios web q no los permiten)
  3. ser larga, como mínimo 6 caracteres, es aconsejable que sean más de 8
  4. no ser una palabra de diccionario
  5. no ser una palabra adivinable, como el nombre de tu novia o tu fecha de cumpleaños
  6. ser única, o al menos no usar las mismas contraseñas en todos lados
  7. y además de todo eso: ser fácil de recordar

Entonces, una contraseña realmente segura se parecerá a esto: «Zx5(3ac$T» lo cual no es para nada fácil de recordar.

Por eso, algunos consejos para crear una contraseña realmente segura y recordable.

Primer método: usar una frase.

Pensamos una frase fácil y familiar (y luego usamos sólo las primeras letras de cada palabra de la frase). Es fácil de recordar, es largo y puede usarse una para cada lugar.

Por ejemplo, en vez de poner el nombre de tu novia como contraseña, intenta «mi novia se llama Antonela y tiene 21 años» que se puede convertir en «MnslAyt21a». En vez de tu fecha de cumpleaños (otra contraseña obvia y muy usada) intenta con «yo nací el 20 de Diciembre del 85» que se convierte en «yNe20dDd85». Fácil de recordar e indescifrable.

Si además, la frase está relacionada con la página web, serían todas distintas y no intercambiables. La frase «estoy Entrando a Hotmail.com» se convierte en «eEaH.c» pero en cambio la frase «estoy Entrando a Taringa.net» sería «eEaT.n». Como ven, sólo hay que recordar la frase y si un hacker obtiene la contraseña de taringa, no puede adivinar la de hotmail ni ninguna otra. Así, tienes todas contraseñas distintas, pero sólo tienes que recordar una oración sencilla.

Mi método: usar una «semilla» y un algoritmo.

Mi método para crear contraseñas seguras, fáciles de recordar y únicas para cada lugar es el siguiente:

  1. en cada lugar donde debo crear una contraseña, pienso una «semilla», que es una palabra obvia que represente dicho lugar: «Hotmail», «Taringa», «Windows», «Gmail», «Facebook»
  2. a esa semilla le aplico un «algoritmo», que no es más que una combinación de pasos y transformaciones que será siempre el mismo para todas las semillas.
  3. no debo recordar la contraseña generada (de hecho, yo ni siquiera las sé) sino sólo el algoritmo y qué es lo que uso de semilla.

Por ejemplo, la semilla puede ser el nombre del sitio, sin o con el .com y el algoritmo puede ser «agregarle un 42 adelante, agregarle un punto al final, y que la segunda letra sea en mayúsculas»

Quedarían «42hOtmail.», «42tAringa.», «42wIndows.», «42gMail.», «42fAcebook.»

estas contraseñas son largas, seguras e individuales. Para que sean perfectas, debería no ser tan obvio el algoritmo para que no se pueda «adivinar» los otros passwords. (si te robo la contraseña 42hOtmail. no me va a costar mucho deducir y probar 42fAcebook.) Pero seguro se les ocurren a UDs cambios recordables y difíciles de adivinar. Por ejemplo, si en vez de toda la palabra uso sólo sus 2 últimas letras, se hace más difícil de descubrir: «42aIl.», «42nGa.», «42oWs.», «42aIl.», «42oOk.»

Seguro se les ocurren semillas y algoritmos mejores. ¡Incluso pueden anotar donde quieran, hasta públicamente, cuál es la semilla!

Mi método: consejos y trucos.

Usando de ejemplo la palabra «contraseña» como semilla para hacerla más segura:

  1. duplicar la palabra: «contraseñacontraseña» es mucho más segura
  2. acentuar la palabra: «cóntraseñá» es mucho más segura (aunque la ñ también es un caracter especial)
  3. reemplazar letras por números, A=4 E=3 i=1 O=0 T=7 B=8 S=5 G=6 «c0ntr453ñ4» es una buena contraseña
  4. agregar números: «54contraseña32»
  5. reemplazar números por palabras: «unodostrescuatrocincoseis» es más segura que la archiconocida y muy usada «123456» e igual de fácil de recordar
  6. agregarle símbolos: «/contra-seña%$» lamentablemente no en todas las páginas permiten usar otra cosa que letras y números
  7. pueden dejar sus propios trucos en los comentarios si quieren.

Otros métodos: programas de gestión de contraseñas

Existen muchos programas que nos ayudan a guardar y generar contraseñas seguras. Programas como LastPass, 1Password o KeePass. En particular, no soy partidario de estos porque por un lado nunca encontré uno que las haga seguras y a la vez recordables y por otro porque el día que alguien averigüe tu contraseña maestra, averigua todas las demás.

Conclusión:

A alguno le parecerá mucho lío (aunque seamos honestos, es más fácil recordar una frase que 15 palabras distintas) pero tengamos en cuenta que hoy en día, ponemos mucha información sensible en internet. Tal vez sólo uses el mail, pero también es posible que uses facebook, paypal, adsense, tengas fotos privadas en algún lado. O incluso que alguien use tu contraseña para hacerse pasar por vos y atacar a tus conocidos, más vulnerables y atractivos para el hacker: tu padre, tus empleados, tu jefe, tu novia, tus clientes.

Y como estas noticias de robo de miles de contraseñas están apareciendo cada vez más y más, nunca mejor dicho lo de «más vale prevenir que lamentar».

¿Si fueras usuario de esa página, y como dije, anoche tu mail hubiera estado en la lista publicada por el cracker, te hubieras tenido que preocupar o cambiar algo si tu contraseña era «5&4gdipb1SZ»? En cambio, si supieras que tu contraseña «1234asdf» fue hecha pública, ¿qué hubieras hecho? ¿Cuál hubiera sido tu reacción?

¿Se entiende mi punto ahora?

Saludos, y espero que la información les sea de utilidad.

PD: lo ideal hubiera sido que el cracker al entrar se encontrara con un montón de hash salados, o que no pudiera entrar.

este artículo es libre. lo que significa que puedes copiarlo, modificarlo, usarlo. pero debes citar la fuente y mantener estas mismas libertades y mantener esta nota aclaratoria.

Un abrazo grande a Alvago que también se le ocurrió el método que describo para crear contraseñas seguras.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *