Hablar sobre la seguridad de las contraseñas hace que las personas se caigan de sueño, una forma segura de lograr que se desconecten y apaguen todo; pero la realidad es que las contraseñas siguen siendo importantes. Correo electrónico o redes sociales, banca en línea o juegos, aplicaciones educativas o servicios en línea; cualquier cosa que guarda algún tipo de datos de usuario, aún depende de contraseñas para mantener fuera a los malvados. Los atacantes continuarán saqueando alegremente cuentas bancarias y tomando servicios en línea, si es que los usuarios no intensifican y usan mejores contraseñas.
Todos sabemos lo básico: no use “contraseña” y no repita la misma contraseña en diferentes cuentas. Active la autenticación de dos factores en las cuentas en línea siempre que sea posible -las contraseñas de un solo uso a través de mensajes SMS son mejores que nada. Use un administrador de contraseñas para rastrearlas todas.
Desafortunadamente, una gran cantidad de consejos sobre contraseñas suena razonable, pero necesita un contexto para que sean útiles. A continuación, se detallan algunos mitos omnipresentes de contraseñas, aclarados.
Mito de contraseñas #1: Su contraseña debe tener mayúsculas y minúsculas, números y caracteres especiales
Verdad: Existe un límite en cuanto a la seguridad que las contraseñas complejas pueden proporcionarle. Sí, “letmein” es una mala contraseña, pero “Contraseña1″, “Abc123″ y “C0ntraseña” no son mejores, a pesar de tener mayúsculas y números. Siempre es una mala idea crear contraseñas basadas en una palabra del diccionario. Sustituir algunas de las letras por números o símbolos no es una idea inteligente o única. Los crackers de contraseñas saben que deben incluir palabras como “vuln3rabl3″ o “trustno1″ en sus tablas de búsqueda. De hecho, esta última contraseña logró estar en la lista de las 25 peores contraseñas de uso común de SplashData en el 2014.
Para ser justos, usar mayúsculas y minúsculas, números y caracteres especiales hace que la contraseña sea mucho más segura que usar solo minúsculas. Si bien, las cifras exactas variarán según la cantidad de potencia de procesamiento disponible, una computadora moderna tardará dos días en descifrar una contraseña de ocho caracteres que sea toda en minúsculas (ya que hay 26^8, o 208,827,064,576 combinaciones posibles); pero una gran botnet tomará solo 1,8 segundos. Variar entre mayúsculas y minúsculas ayuda a ralentizar el craqueo, y lanzar un símbolo especial o dos aumenta el número de combinaciones.
Todos las las mayúsculas y minúsculas, números y caracteres especiales no servirán de nada si la cadena no es realmente aleatoria. Considere que “1qaz2wsx” y “1q2w3e4r” aparecieron en la lista de las top 25 de SplashData en el 2015 y el 2016, respectivamente. Los usuarios intentan seguir las reglas, pero el uso de variaciones de teclas secuenciales o patrones comunes, socava el bien que se supone que debe cumplir esta regla. Los crackers de contraseñas conocen los patrones secuenciales de las teclas y, además, pueden mirar el teclado para encontrar patrones potenciales.
Mito de contraseñas #2: Una buena contraseña debe ser extremadamente larga
Verdad: Mientras más larga, definitivamente mejor; pero de ocho a doce caracteres pueden ser adecuados. Este mito no está equivocado, ya que las contraseñas más cortas requieren mucho menos tiempo para ser descifradas que una más larga. El atacante que intente adivinar una contraseña de solo seis caracteres de longitud va a tenerla mucho más fácil que con una de ocho caracteres, o incluso diez. En una computadora moderna, una contraseña de ocho caracteres que usa mayúsculas y minúsculas combinadas y números, tardará 5,88 años en descifrar, pero solo 31 minutos en una botnet potente. Aumentar la contraseña a 10 caracteres le tomará, a la misma botnet, 83 días. Una contraseña de 10 caracteres “%ZBGbv]8g?” que hace uso de letras, números y símbolos podría tomarle 289.217 años a una computadora y tres años a una botnet.
Ni siquiera necesita usar símbolos y números: una contraseña de mayúsculas y minúsculas que tenga 40 caracteres tomará más de mil años en descifrar. Obviamente, las contraseñas largas son el camino a seguir, y debemos asegurarnos de que las contraseñas sean extremadamente largas, sin importar qué. (La técnica de hashing que se utiliza antes de almacenar las contraseñas también es importante, pero eso no es relevante aquí).
No tan rápido. Pensemos en el modelo de amenaza. ¿Cuál es el mayor problema abordado aquí? Si la mayor preocupación es que alguien irrumpirá en la base de datos y robará los hashes de las contraseñas, entonces las contraseñas extremadamente largas y complejas son definitivamente el camino a seguir. Pero la empresa promedio está más preocupada por la reutilización y el phishing de contraseñas, en cuyo caso la longitud de la contraseña realmente no importa. Si los atacantes ya han interceptado la contraseña real a través de una campaña de phishing, no importa si la contraseña es de 8, 20 o 50 caracteres. Copian y pegan, y los atacantes ya están dentro. Si se solicita a los usuarios que ingresen contraseñas de 20 caracteres y no que tengan administradores de contraseñas, las contraseñas se reutilizarán. Eso es un hecho.
¿Qué está siendo protegido? Eso también es importante. Para algo que puede considerarse de bajo riesgo -tal vez la biblioteca pública local- las contraseñas de ocho caracteres son lo suficientemente buenas. ¿Algo que tenga todo su historial financiero? Es necesaria una contraseña más larga. La seguridad es una compensación: asegura las cuentas más valiosas con protección a nivel Fort Knox. No reutilice las contraseñas, tenga cuidado con las estafas de phishing y, para muchas cuentas, contraseñas de ocho caracteres pueden ser suficientes. Esta es la razón por la que las últimas directrices de NIST encuentran aceptables las contraseñas de ocho caracteres.
También existe un problema adicional: las contraseñas son tan largas que es más fácil para los usuarios usar el enlace “¿Olvidó su contraseña?”, y usar las respuestas basadas en el conocimiento para restablecerla. Es mucho, mucho más fácil para las personas averiguar el nombre de su mascota o la ciudad en la que creció, que adivinar su contraseña.
Mito de contraseñas #3: Nunca anote contraseñas
Verdad: Se trata más de cómo lo hace. Junto con el uso de “Contraseña1″ como contraseña, el pecado mortal en la inseguridad de las contraseñas es anotarlas. Sin embargo, no siempre es una idea terrible. “No la escriba en una nota adhesiva ni la coloque en su escritorio con la nota que dice ‘Mi nueva contraseña 401K para Fidelity’; pero apuntar una contraseña nueva, larga y compleja mientras la graba en su memoria, y guardarla en su billetera o cartera durante una semana hasta que logre alcanzar esa memoria muscular para poder escribirla, no es realmente un problema”, señala Chet Wisniewski, un experto en seguridad de la compañía de antivirus Sophos. Él también anota las importantes y las almacena en una caja fuerte para que su familia pueda “desbloquear nuestras vidas” en caso de accidente.
Mito de contraseñas #4: Exigir cambios de contraseña periódicamente mejora la seguridad
Verdad: Simplemente aumenta las probabilidades que los usuarios elijan contraseñas más débiles. Requerir cambios de contraseña rutinarios fue un elemento básico de la política de seguridad empresarial hasta muy recientemente. Incluso, algunas organizaciones especifican la duración mínima de la contraseña para evitar que los usuarios vuelvan a poner la anterior, los historiales de contraseñas para evitar la reutilización de éstas, y un número mínimo de caracteres que deben cambiar para asegurar que una contraseña nueva es “lo suficientemente diferente” de una antigua. Los cambios obligatorios de contraseñas tenían sentido cuando la gran preocupación era que éstas se podían filtrar o exponer. Cuando la organización tiene pruebas de que las contraseñas han sido expuestas, forzar un restablecimiento es una buena idea. ¿Pero cambiar las contraseñas simplemente porque han pasado un número arbitrario de días? Realmente no lo es.
Las nuevas recomendaciones de NIST sugieren contraseñas menos complejas; pues las reglas elaboradas hacen que sea más difícil para los usuarios hacer su trabajo, y aumentan los costos administrativos y de soporte debido a la implementación y el cumplimiento de tales normas. A pesar de que el cambio de regular de contraseñas suena bien, dificulta que los usuarios finales se acuerden de la última contraseña. Responden volviendo a usar contraseñas o creando patrones fáciles de adivinar. (Pasar de Contraseña1, Contraseña12 a Contraseña123, y así sucesivamente, es uno de esos patrones.)
-Fahmida Y. Rashid, CSOonline.com
