Dos modos de gestionar contraseñas seguras (1)

Publicado el mié 25 septiembre 2013 in Internet para artistas

Gestionar las contraseñas es un suplicio y muchos deciden tirar por la calle de en medio con una misma contraseña para casi todo o con varias contraseñas realmente sencillas.

Se piensa, “¿quién va a adivinar mi contraseña 333abc? ¡Es casi imposible!”, pero lo que la mayoría de gente no entiende es que no se trata de que alguien se siente frente a un ordenador probando combinaciones, sino de un programa que analiza cientos o miles de combinaciones por segundo, hasta que acierta. Es sólo una cuestión de tiempo y posibles combinaciones.

Un caso típico de robo de contraseñas puede ser algo así: Alguien se hace con la base de datos de usuarios de un servicio de Internet, puede que de uno no especialmente relevante, o puede que sí. Por ejemplo, en 2011 se produjo un robo masivo de datos de usuarios en Sony con su consola PlayStation.

Lo normal (que no fue el caso de Sony) es que las contraseñas estén cifradas, de modo que tu contraseña “333abc” se vería algo así como “as8h2390skljasdvc023z1ifnkjfx8c7” en esa base de datos, por lo que puedes pensar que estás seguro. Pues no. Esa ristra tan larga de números y letras se obtiene aplicando una "fórmula" de cifrado a tu contraseña original y el que se llevó la base de datos de usuarios suele saber cuál es esa "fórmula", de modo que sólo tiene que aplicarla sobre cada combinación posible hasta que obtenga “as8h2390skljasdvc023z1ifnkjfx8c7” para conocer tu contraseña.

Y aquí comienzan los problemas para ti. Tengo tu nombre de usuario (posiblemente tu dirección de correo) y tu contraseña para acceder, por ejemplo, a una página de contactos profesionales o a una red social.

Pongamos por caso que tus datos son "quemelaroban@gmail.com" y "333abc". Ya puedo acceder a ese servicio, pero lo mejor -para mí- es que has usado la misma contraseña para GMail, con lo cual ahora también tengo acceso a tu correo electrónico, desde donde puedo ver la información que te hayan enviado desde los servicios en los que te diste de alta (el típico correo de bienvenida con tus datos o un recordatorio de contraseña olvidada), las compras que has hecho y otro tipo de comunicaciones sensibles, pero además puedo comunicarme con estos servicios suplantando tu identidad, desde tu propio correo electrónico. Estás ven-di-do.

¿En cuántos servicios (redes sociales, aplicaciones) te has dado de alta en el último año simplemente para probar? ¿En cuántos de ellos has usado la misma contraseña? ¿Y si alguno de ellos, del que ya ni te acuerdas, sufre un robo de información con tus datos de usuario?

Vale, a lo mejor no habías pensado en eso y ahora te empiezas a poner algo nervioso; pero claro, tener una contraseña complicada para cada sitio en el que te registras parece complicarse mucho la vida.

Hay muchas formas de afrontar el problema (no, la libretita no me parece una buena solución), yo te voy a proponer dos: una muy simple y otra más avanzada.

Aunque ambas son fáciles de implementar, la primera requiere que le des un poco a la cabeza, mientras que con la segunda bastará con recordar una única contraseña maestra.

La solución más simple: Códigos mnemotécnicos y política de seguridad.

Empezando por la política de seguridad, tus contraseñas debería tener al menos 10 caracteres, utilizar letras mayúsculas y minúsculas, números y caracteres especiales, como, por ejemplo ! % / =, letras acentuadas o símbolos de puntuación.
¿Y cómo vas a recordar varias contraseñas así? Muy fácil, con códigos mnemotécnicos.

Una receta, a modo de ejemplo, que seguro podrás variar a tu gusto.

1) Para generar la contraseña puedes empezar con las dos primeras letras o siglas del servicio en el que te registras, por ejemplo FB para Facebook, GM para GMail, etcétera. Puedes decidir que una sea mayúscula y otra minúscula, usar tres letras en lugar de dos o cualquier otra combinación que prefieras.

2) Un símbolo especial para separar, por ejemplo, el guión medio (-).

3) Dos o tres números, que pueden ser los impares de tu DNI, los de en medio de un cumpleaños, o los últimos de tu teléfono al revés.

4) Otro símbolo especial para separar, por ejemplo, la almohadilla (#) o tal vez una Ñ mayúscula.

5) Algunas letras o alguna palabra fácil de recordar para ti, como por ejemplo las letras de la matrícula de tu vehículo o las últimas letras de tu apellido.

6) Y para acabar, un último carácter especial, como un punto final.

Lo importante es mantener una fórmula que puedas recordar y variar al menos un par de elementos para cada nueva contraseña.

La fórmula quedaría algo así:

Dos letras de servicio + Carácter especial 1 + Dos o tres números recordables para ti + Carácter especial 2 + Letras o palabras con significado para ti + Carácter especial final

Puedes utilizar distintas combinaciones de caracteres especiales para diferentes contraseña, como "- # .", "/ _ !" o "- _ Ñ", sabiendo que en cada grupo son el primero, segundo y tercer carácter especial de las contraseñas.

Algunos ejemplos de posibles contraseñas con esta fórmula:
Facebook: FB-336#onir.
GMail: Gm/336_onir!
Twitter: TW-336-onir-

Lo que resulta imprescindible es utilizar una contraseña diferente para cada servicio.

Si esto te parece demasiado complicado estás de suerte porque hay otro modo en el que sólo tendrás que recordar una única contraseña. Lo explicaré con detalle en la próxima entrada sobre el tema.

Imagen principal:  CC-By miggslives