¿Es tu contraseña realmente segura?

Este artículo se puede leer en aproximadamente 395 segundos

En todos lados nos aconsejan constantemente la utilización de complejas contraseñas para evitar cualquier accidente.
¿Qué tan difíciles tienen que ser las contraseñas para que cumplan con su funcionalidad? Este es un tema que presenta confusión para la mayoría de los usuarios. ¿La verdad? No es necesario inventar extraños códigos para proteger una cuenta.
Entremos un poco (un poco nada más) en el mundo de la seguridad para ver qué es lo que hace a una contraseña segura en términos prácticos.

¿Es tu contraseña segura?

Conociendo al enemigo: ¿Cómo romper una contraseña?

 

Nada mejor que conocer algunas de las técnicas más utilizadas de hacking para realizar una contraseña a prueba de ellas.

 

Las maneras de quebrantar una contraseña son bastantes sencillas. Cinco de las formas más utilizadas son:

  • Preguntando: Creánlo o no, la forma más sencilla de obtener el acceso a una contraseña es preguntando. Las personas suelen compartir sus contraseñas con colegas, amigos y familiares. Tener una contraseña complicada no ayudará en nada si es conocida por más de una persona.
  •  

  • Adivinando: Este es el segundo método más común. La mayoría de los usuarios eligen contraseñas fáciles de recordar, y aquellas son las que tienen más relación con sus vidas. Contraseñas como: apellidos, nombres, mascotas, fechas, colores y demás, son bastante comunes. Este ítem puede evitarse eligiendo una contraseña que no esté en relación con los aspectos personales del usuario.
     

  • Ataque por fuerza bruta: Muy fácil de hacer. Una persona que quiera adivinar una contraseña usando el método de fuerza bruta simplemente irá haciendo combinaciones de letras hasta que alguna de esas combinaciones funcione. Existen diversos programas que automatizan este método, es así que hay que tener en cuenta que el “cansancio” del atacante no entra en juego. Para evitar esto se aconseja utilizar contraseñas más largas, con diversos caracteres (números y caracteres especiales). Esto complicará el ataque y demorará aún más tiempo (por cada caracter agregado se va incrementando el orden de complejidad ya que se estarán agregando más combinaciones posibles).
  •  

  • Ataque con palabras comunes: Una técnica más básica (y menos poderosa) que el ataque por fuerza bruta, donde el atacante intenta entrar a la cuenta del usuario usando una lista de palabras comunes. En vez de ir probando combinaciones de letras, se prueban palabras de uso cotidiano. Con suerte le aciertan.
  •  

  • Ataque diccionario: Tiene el mismo concepto que el ataque con palabras comunes, solo que el atacante utiliza un diccionario. Existen diversos programas que utilizan como fuente todos los diccionarios que se requieran. Es una técnica muy utilizada, tanto que existen diccionarios creados específicamente para estos fines (diccionarios con minúsculas y mayúsculas, con letras cambiadas por números y distinas formas que se utilizan a la hora de la elección de un password).
  •  

Entonces…

 

¿Cuándo es segura una contraseña?

 

Primero que nada, tengan cuidado a quién le dicen la contraseña y qué contraseña utilizan. Es claro que si andan gritando su contraseña por ahí, por más compleja que sea, puede ser escuchada por cualquiera que tenga intenciones de usurpar sus cuentas. Esto es sentido común (el menos común de los sentidos, en realidad).

 

Respecto a los otros tipos de ataques, tengan en cuenta que serán llevados a cabo por un script o un programa de forma totalmente automática. La persona que desee atacarlos no irá probando manualmente 500.000 palabras diferentes para ver si alguna de ellas concuerda con su password.

 

Basándonos en este último ítem, podríamos medir la seguridad de una contraseña en cuántos intentos puede hacer un programa, por ejemplo, por segundo. El número puede variar, pero la mayoría de las aplicaciones web no son capaces de manejar más de 100 intentos de log-in por segundo.

Esto significa que para hackear una contraseña tan sencilla como “sol” se tardará:

  • Fuerza bruta: 3 minutos
  • Palabras comunes: 3 minutos
  • Diccionario: 1 hora 20 minutos

La palabra “sol” tiene 17,576 posibles combinaciones de caracteres. Es decir, 3 letras usando el alfabeto de minúsculas: 26³. Imaginen si también tenemos en cuenta el alfabeto de mayúsculas: 52³ combinaciones. ¿Y los números? 62³ combinaciones.

 

Como ven, la cantidad de posibles combinaciones incrementa si agregan diferentes caracteres a una misma contraseña, haciendo el trabajo del hacker aún más complicado.

 

Ahora… ¿cuánto tiempo se necesitará para romper un password que consideremos seguro?

  • Una contraseña que pueda ser adivinada en 1 minuto es demasiado riesgosa.
  • 10 minutos: sigue siendo demasiado fácil.
  • 1 hora: todavía no es suficiente.
  • 1 día: ahora estamos siendo un poco más razonables. La probabilidad de que una persona esté todo un día corriendo un programa sólo para obtener la contraseña de un ususario en cuestión es bastante baja. Pero aún así, puede ocurrir.
  • 1 mes: esto es algo que solo un atacante dedicado puede lograr.
  • 1 año: aquí dejaremos de hablar de un riesgo práctico, y pasaremos a considerarlo un riesgo puramente teórico. Si son empleados de la NASA o de la CIA, eso sería inaceptable. Para el resto de los mortales… bueno, no tienen ese tipo de enemigos.
  • 10 años: ahora sí que estamos siendo puramente teóricos.
  • Una vida: 100 años (siendo muy optimistas) por ejemplo. Este sería el límite para la mayoría de las personas. ¿A quién le importa que le hackeen el password después de muerto? Sin embargo, tener un password que sea seguro de por vida puede resultar bastante satisfactorio.

Entonces, intentemos lograr una contraseña que requiera 100 años de intentos para ser determinado. Esto es relativamente cierto, ya que puede existir el factor de suerte y que el atacante logre descubrir el password en 15 años en vez de 100.

 

Creando contraseñas seguras y prácticas

 

Veamos algunos ejemplos reales y observemos qué tan usable puede seguir siendo una contraseña sin dejar de ser segura.

 

Los siguientes ejemplos fueron probados con ataques de 100 intentos por segundo. El resultado que queremos obtener a partir de esto, es acercanos a la forma más efectiva de crear una contraseña resistente a ataques por fuerza bruta como a los ataques diccionario o de palabras comunes.

 

Primero veamos contraseñas comúnes de 6 caracteres de longitud:

 

Contraseñas comunes: 6 caracteres de largo

 

Pueden ver fácilmente que, en estos casos, la complejidad es lo que determina la seguridad de la contraseña. Usar un password con mayúsculas y minúsculas, números y símbolos intercalados, es mucho más seguro que cualquier otra cosa. Usar una palabra común es claramente inservible.

 

Sin embargo esto puede resultar un poco engorroso y difícil de memorizar. Podemos crear contraseñas igual de seguras considerando la opción de utilizar combinaciones de palabras de mayor longitud.

 

Deberemos tener en cuenta palabras que les resulten fáciles de recordar, como una frase armada: tiene que ser simple y que puedan teclear rápidamente. Algo como esto:

 

Contraseñas comunes: más de una palabra

 

Usar más de una palabra incrementa la seguridad de una contraseña substancialemente: de 3 minutos a 2 meses. Pero utilizando una contraseña con 3 palabras en vez de 2, obtendrán una contraseña extremadamente segura.

 

Para adivinar estas contraseñas, se requiere:

  • 1,163,859 años usando el método por fuerza bruta
  • 2,537 años usando el método por palabras comunes
  • 39,637,240 años usando el ataque diccionario

Por lo tanto, podemos decir que es 10 veces más seguro usar “this is fun” como contraseña que “J4fS<2". Y la facilidad de recordarlo no se puede comparar.

 

Si todavía no están conformes y quieren hacer una contraseña demencialmente segura, es recomendable que elijan palabras que sean poco comunes. Por ejemplo,

 

Contraseñas comunes: palabras poco comunes

 

Luego, podemos decir que una contraseña segura no tiene por qué ser complicada. Tiene que ser algo fácil de recordar para el usuario y que esté formada por, aunque sea, 3 palabras.

 

Más allá de las contraseñas

 

Además de elegir una contraseña segura, es recomendable prevenir los ataques siempre que sea posible. Es algo bastante fácil de hacer y no dejará márgenes de error.

 

Todo se centra en prevenir que los scripts automáticos puedan trabajar efectivamente. Para esto, deberán,

  • Establecer un tiempo de retardo entre cada intento de log-in: En vez de dejar que cualquier persona pueda intentar entrar a una determinada cuenta seguidamente, configuren una demora de 5 segundos entre cada intento. Esto es lo suficientemente corto para que no sea molesto (tardas más de 5 segundos en darte cuenta que has introducido una contraseña errónea y teclear nuevamente). Y, en vez de poder hacer 100 intentos por segundo (como habíamos determinado como estándar), sólo podrá hacer 1 intento cada 5 segundos. Bastante menos, ¿no?
  •  

  • Configura un tiempo de bloqueo cada, digamos, 10 intentos de ingreso: De nuevo, esta política afecta seriamente los intentos de ataque. Un hacker puede romper la contraseña “alpine fun” en 2 meses si es capaz de hacer 100 intentos por segundo. Pero, con el tiempo de penalización y el retardo de 5 segundos, el mismo password podrá resistir ataques por 1889 años.

Contraseñas comúnes: misma contraseña con diferentes prevenciones de ataque

 

Conclusión: las contraseñas pueden ser seguras y amigables al usuario a la vez. No porque una contraseña sea fácil de recordar y generar, va a ser fácil de quebrantar.

 

Espero que les haya servido, y… por favor… no usen ninguna de las contraseñas usadas como ejemplo (ya perdieron la gracia).

 

Vía | Baekdal

 

Nuestras recomendaciones

 

Top 7 Software Hacks and Counterattacks - Descarga Gratis!
Top 7 Software Hacks and Counterattacks (¡GRATIS!)
Network Security Staff

Network Security Staff
Small Business Unified Communications For Dummies, Avaya Custom Edition - Descarga Gratis!
Small Business Unified Communications (¡GRATIS!)

 

Te interesó esta nota? Leé más!

3 comentarios en “¿Es tu contraseña realmente segura?

  1. Pingback: Bitacoras.com

Dejar un comentario

Tu email no será publicado. Los campos requeridos son marcados con *

*

Podés usar etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>