Por Fernando Mejía 05/04/2018 

El empleo y la gestión de contraseñas suficientemente fuertes es un tema retomado continuamente, debido a que el usuario y/o administrador de un sistema es el responsable directo del acceso a los datos y  restringir la información a través de la identificación, lo que sin duda puede trasladarse a ámbitos laborales y personales.

Es importante que el administrador y usuario comprendan no solo la trascendencia de establecer contraseñas fortalecidas, sino el método para generarlas. En muchos sistemas es común que el estándar de facto para establecer contraseñas sea mayor a ocho caracteres y menor a dieciséis. Esta regla es por sí misma obsoleta, debido a que herramientas orientadas a ataques basados en diccionario, en fuerza bruta o en tablas rainbow prácticamente pueden descubrir una contraseña con estas características de longitud en un tiempo relativamente ínfimo.

El uso de Caracteres Especiales

Al agregar caracteres especiales (#, $, %, &, etcétera), números, y aumentando la longitud de la contraseña, se incrementará exponencialmente el tiempo para obtenerla. Sin embargo, surge un nuevo problema: al incluir todos estos caracteres e incrementar la longitud, el usuario tendrá complicaciones al generar y aprender diferentes contraseñas complejas, por ejemplo, una típica contraseña robusta sería “ajñ91kwclB455)%hDY@?+#”, pero una cosa es cierta, no habría quien logre memorizarla a primera vista y, lo que es peor, habría que renovarla cada 30 días en ambientes críticos. Surge entonces el dilema que invariablemente nos destina al conocido “triángulo de la seguridad”, en el que las puntas corresponden a la seguridad, la funcionalidad y la facilidad, y donde únicamente podríamos satisfacer dos de esas tres características.

Según un estudio [1], de tres millones de contraseñas de longitudes variadas 70% incluye solo letras minúsculas (siendo la letra A la más usada), 20% tiene un número o más (siendo el número 1 el más común), alrededor de 10% incluye al menos una letra mayúscula (con la A como la más usada) y alrededor de 1% incluye al menos un carácter especial (siendo @ el más recurrente). En el mismo estudio propone, asimismo, que una contraseña debe tener las siguientes tres características:

  1. Fácil de recordar.
  2. Difícil de adivinar para un usuario ajeno.
  3. Longitud mayor a catorce caracteres.

Las contraseñas ¿deben ser como la ropa interior?

Los expertos recomiendan que una contraseña sea como la ropa interior: solo tú sabes qué te pones, no la muestras a nadie y, por lo tanto, te acuerdas de ella fácilmente.

Las anteriores condiciones pudieran parecer al principio difíciles de asimilar, ya que se podría pensar que el punto uno y el dos son contradictorios. No es así.

Por ejemplo, si se desea asignar una contraseña al equipo personal se podría comenzar pensando en nuestro equipo favorito de béisbol: Boston Red Sox. Si se escribe el nombre del equipo todo junto quedaría “bostonredsox” (12 caracteres). Para agregar mayor complejidad se podrían considerar caracteres numéricos, caracteres especiales y letras mayúsculas, lo que podría llevar a contraseñas como “BostonRedSox” o “&&BostonRedSox&&” (16 caracteres).

Más robusta podría ser una contraseña como “miequipofavoritoesbostonredsox” (de 27 caracteres) o incluso una contraseña como “Esteaccsesoloempleoparamicorreopersonal” (37 carcateres) genera una entropía totalmente fuera de cualquier diccionario o ataque de fuerza bruta. Incluso sin considerar caracteres numéricos, especiales y mayúsculas, contraseñas como las anteriores, rompen absolutamente el molde convencional para establecer un acceso, ya que supera por mucho la longitud tradicional, evolucionando una contraseña de una palabra o una cadena de caracteres difícil de recordar a una frase fácilmente memorizable. Considerando que la Ley Moore, según la cual la capacidad de computo se duplica cada dos años, esta técnica se adapta fácilmente a la generación amigable de contraseñas.

 

 

[1] Burnett, Mark. Kleiman, Dave. (2006). Contraseñas perfectas: Selección, Protección, Autenticación. Syngress de la UE.