Recordar contraseñas seguras

Cuatro métodos para generar contraseñas seguras que recordarás.

¿Cómo consigues el balance entre la necesidad de unas contraseñas altamente seguras y la facilidad para recordarlas fácilmente?

La única contraseña segura es la que no puedes recordar, pero en ocasiones no puedes usar un Manejador de Contraseñas y has de fiarte de tu memoria.

Es una cuestión que me hace meditar cada vez que me encuentro con una brecha en la seguridad. Cuando la pasada primavera apareció la vulnerabilidad conocida como Heartbleed, se ordenó a todo el mundo que cambiara sus contraseñas de inmediato. Esto está aún en mi lista de quehaceres. Me estremece pensar que puedo ser atacado por los crackers, pero también me estremezco al pensar en la ardua tarea, física y mental, que supone cambiar completamente mis contraseñas favoritas.

¿Te suena conocido?

Si resulta que tienes un sistema que funciona y te permite manejar tus contraseñas únicas, aleatorias, irrompibles, entonces me descubro ante ti. Las estimaciones que se manejan (por ejemplo en este artículo [en inglés]) te sitúan entre el 8 por ciento de los usuarios que no re-usan sus contraseñas.

El resto de nosotros sigue buscando una solución. Sabemos que es primordial crear contraseñas seguras, pero ¿cómo va uno a crear, recordar y mantener seguras esas esenciales y aleatorias contraseñas que necesitamos? He tenido que escribir este post, para centrar y clarificar el problema. He aquí mi conclusión de cómo crear y mantener contraseñas seguras que puedas recordar:

La anatomía de una contraseña irrompible

4métodos003

Mientras más larga sea la contraseña, más difícil será de romper. Recomiendo una longitud mínima de 12 caracteres.

Evita los nombres propios, de lugares y palabras del diccionario.

Haz combinaciones. Crea variaciones de mayúsculas y minúsculas, de ortografía, números y signos de puntuación.

Estas tres reglas harán más difícil (de forma exponencial) para los crackers romper tus contraseñas. Las estrategias empleadas por los crackers han evolucionado has niveles increíbles, por lo que es imperativo que uses métodos poco usuales para crear tus contraseñas. En este artículo del experto en seguridad, Bruce Schneier (en inglés) puedes ver unas recomendaciones para la creación de contraseñas seguras. Un ejemplo de lo avanzados que están los crackers:

Los crackers usan diferentes diccionarios: De lengua (inglés, español, alemán, etc.) de nombres, patrones fonéticos, y etimológicos (para las raíces); dobles dígitos, fechas, símbolos y similares (para los enlaces de palabras). A continuación buscan en sus diccionarios por sustituciones comunes como, “$” pos “s”, “@” por “a” o por “o”, “1” por “l”, etcétera. Esta estrategia de búsqueda, rompe rápidamente un tercio de las contraseñas.

Las recientes brechas en la seguridad en sitios como Adobe han puesto de manifiesto cuán poco seguras son nuestras contraseñas. Aquí tengo una lista de las contraseñas más comúnmente descubiertas tras la brecha en Adobe. Espero que no haga falta decir, !no uses estas contraseñas!

  • 123456
  • 123456789
  • password
  • admin
  • 12345678
  • qwerty
  • 1234567
  • 111111
  • photoshop
  • 123123
  • 1234567890
  • 000000
  • abc123
  • 1234
  • adobe1
  • macromedia
  • azerty
  • iloveyou
  • aaaaaa
  • 654321

 

Si te interesa saber si has escogido una contraseña segura o no, existen sitios para comprobarlas online, como: OnlineDomainTools. Para enfatizar la importancia de una contraseña con una buena longitud, aleatoria y única, esta herramienta tiene campos específicos para mostrar unas variaciones de caracteres sobre tu contraseña, las veces que aparece en diccionarios, y el tiempo que tardarían en comprometerla con un ataque de fuerza bruta.

Cuatro métodos para escoger una contraseña irrompible

4métodos004

El único punto desfavorable en el uso de contraseñas aleatorias e irrompibles, es que son difíciles de recordar. Si simplemente tecleas caracteres sin ritmo ni prosa, sin razón, – una contraseña realmente aleatoria seguramente tendrás tantos dolores de cabeza para recordarla como el cracker para comprometerla.

Así que tiene más sentido buscar contraseñas con apariencia aleatoria, que sea casi imposible de reconocer por in programa de ataque, pero que sea reconocible y recordable por ti. Aquí expongo cuatro posibles métodos.

Método de Bruce Schneier

El experto en seguridad Bruce Schneier expuso este método en 2008 que aún recomienda (en inglés). Funciona más o menos así: Escoge una frase y conviértela en contraseña.

La frase puede ser cualquier cosa personal y que recuerdes. Extrae las palabras de la frase y abrevia la frase en una sola palabra, formando la contraseña. Por ejemplo:

WOO!RmganoLLC!
Woohoo! El Real Madrid ganó La Liga de Campeones!
PfTg@re@avc
Por favor Trae galletas Oreo al Volver a casa.
1tubuupshhh…imj
I tuck button-up shirts into my jeans.
W?ow?imp::ohth3r
Where oh where is my pear? Oh, there.

El Método Electrum

Administrar una cartera en Bitcoin, requiere un alto grado de seguridad y una gran confianza en la contraseña. Electrum. la billetera Electrum ofrece una semilla de 12-palabras (en inglés) que te permitirá acceder a todas tus direcciones de Bitcoin. La semilla sirve como contraseña maestra de tus Bitcoins.

4métodos005

Este tipo de contraseñas se conoce también como “pass phrase” en inglés o frase-contraseña y representa quizá una nueva forma de ver la seguridad. En lugar de cadenas de caracteres difíciles de recordar, podemos utilizar una frase larga en su lugar. (Nota: Bruce Schneier advierte (en inglés) que los cracker ahora usan varios diccionarios conjuntamente en sus ataques, así que si usas el método de las frases, que ésta sea lo más larga posible).

Para no ser tan aburridos, la idea de las frases-contraseña está reflejada en esta viñeta de xkcd:

4métodos006

¿Cómo puedes crear tu propia semilla de 12-palabras? Pues eso, tan simple como suena, escoge 12 palabras de forma aleatoria.

Puedes empezar con una frase como: “Las tardes en invierno maíz concentrado de plumas visión dificulta gatos burra”; sólo asegúrate que no es una frase extraída de un texto literario (en inglés). También puedes escoger 12 palabras al azar: “negocio desean dicen decidido querer realmente adelante razón fundamental resto nunca avión”.

Si pongo esta contraseña en la herramienta de verificación, me dice que tardará 146.610.142.504 sexagintillones de años en romperla por fuerza bruta

El método PAO

Las técnicas de memorización y los dispositivos mnemónicos, pueden ayudarte a recordar una contraseña irrompible, pero esto es la teoría; según un artículo de la Carnegie Mellon University, departamento de ciencias de la computación, se sugiere el uso del método conocido como PAO (Person-Action-Object) para la creación y almacenamiento de contraseñas irrompibles.

PAO ganó popularidad tras la publicación del libro de Joshua Foer llamado Moonwalking with Einstein. El método es más o menos así:

Escoge una imagen de un lugar llamativo (el monte Rushmore). Escoge una foto de un familiar o persona famosa que te sea conocida (Beyonce). Imagina alguna acción insólita con un objeto insólito (Beyonce conduciendo un molde de gelatina en el Monte Rushmore).

El método PAO de memorización tiene ventajas cognitivas, ya que nuestro cerebro recuerda mejor con la visualización de señales visuales y escenarios extravagantes. Una vez hagas uso de estas técnicas de visualización, te será fácil generar contraseñas irrompibles.

Por ejemplo, puedes tomar las tres primeras letras de “conduciendo molde gelatina” para formar “ConMolGen”; luego haces lo mismo con otras tres historiases, tendrás una contraseña de 18 caracteres que parecerán absolutamente aleatorios para otros pero muy familiares para ti.

La Memoria del Músculo Fonético

He terminado desarrollando una gran afición por un método de creación de contraseñas de mi invención, que con el tiempo me ha proporcionado contraseñas aleatorias y poco usuales. Mi método se apoya en un par de mecanismos de memorización: Fonética y entrenamiento de la Memoria. Funciona así:

  1. Acude a un generador de contraseñas como este de Norton.
  2. Genera 20 contraseñas con al menos 10 caracteres de largo y que incluyan números y cambios mayúscula/minúscula (y si eres muy valiente, signos de puntuación).
  3. Escudriña las contraseñas en busca de estructuras fonéticas – básicamente, intenta encontrar sonidos que te resulte fácil memorizar. Por ejemplo: drEnaba5Et (doctor enaba 5 E.T.) o BragUtheV5 (brag you the V5).
  4. Escribe la contraseña fonética en un cuaderno, anotando lo fácil que resulta teclearla y lo que tardas en hacerlo. Las contraseñas más fáciles de teclear, me resultan mas fáciles de retener (Memoria Muscular).
  5. Guarda las contraseñas fonéticas y de memoria muscular; descarta el resto. Guarda el archivo de contraseñas en un programa de Manejo de Contraseñas.

De vez en cuando, cambia las contraseñas en tus sitios más comúnmente usados. Seguro que un par de veces deberás usar la recuperación de contraseñas, pero te acostumbrarás en cuanto mecanices el teclearlas. Yo aún recuerdo contraseñas de hace años creadas con este método.

El siguiente paso importante para una contraseña segura

4métodos007

Una vez creada tu súper-segura contraseña, te queda aún un grandísimo paso: Nunca reutilices una contraseña.

Puff, en este momento muchos habéis abandonado. Crear contraseñas seguras y aleatorias ya es bastante duro y trabajoso y ahora hay que hacerlo varias veces. Es como si empezara a inscribirme en varios sitios nuevos cada día. Eso supondría al menos treinta contraseñas nuevas cada mes…. mi memoria no da para tanto. 🙂

¿Cómo te las arreglas para crear contraseñas únicas, nunca re-usar alguna y además manejarte de forma eficiente y rápida con ellas (y sin usar el enlace de “he olvidado mi contraseña”)?

Es aquí donde realmente existe para mi el equilibrio entre seguridad y usabilidad. Afortunadamente hay un buen número de posibilidades para afrontar este dilema.

Inscribirte en un servicio de Manejo de Contraseñas

Tu mejor apuesta será usar un servicio de Manejo de Contraseñas como LastPass o 1Password. Estas herramientas almacenarán tus contraseñas por ti (y además generarán contraseñas aleatorias si es necesario). Todo lo que has de hacer es recordar una sola contraseña maestra que te dará acceso a los datos almacenados. Escribe tu contraseña maestra una vez y el Manejador de Contraseñas hará el resto.

Algunas de estas herramientas de manejo de contraseñas (en inglés) se integran grácilmente con tu navegador o dispositivo móvil. Los datos se almacenan de forma encriptada y segura (las herramientas serán tan seguras como lo sea tu conexión) y así podrás recuperar tus contraseñas de forma fácil. Casi en cualquier situación, un Manejador de Contraseñas es la mejor de las soluciones y sólo notarás inconvenientes, cuando no tienes conexión o te encuentras con un dispositivo ajeno (realmente las menos de las veces).

Anuncios

Déjame un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s