No, ‘1234’ no es una contraseña segura. Cualquier intento de hackeo por fuerza bruta (probando combinaciones al azar hasta acertar) la adivinará hoy en menos de un segundo. Pongamos que ya sabías esto y utilizas otras combinaciones. ¿Cuánto aguantarán?
La empresa de ciberseguridad Hive Systems ha actualizado su famosa ‘Tabla sobre las contraseñas’ en la que recoge los cálculos de cuánto tiempo se tarda en averiguar una contraseña mediante un ataque de fuerza bruta. La seguridad de un password no solo depende de su longitud, sino también de su complejidad. Por ejemplo, una contraseña de 11 dígitos hecha con números se desbloquea en pocos segundos. Pero si la mezclamos con letras minúsculas, ya se tardan 2 horas. Si añadimos mayúsculas, minúsculas y signos, la cosa se complica mucho más para los cibercriminales.
La resistencia de las contraseñas
Cada vez es más habitual contar con gestores de contraseñas que almacenan de forma segura nuestras credenciales. Y también ha aumentado el número de servicios que se desbloquean con otras tecnologías, como las biométricas. Aunque lo cierto es que la mayoría de usuarios sigue usando contraseñas poco seguras. Según la lista anual de Nordpass, las más usuales a nivel mundial son muy débiles. La primera en esta lista es ‘123456’ y la segunda, ‘123456789’. Combinaciones como ‘qwerty’ y palabras como ‘password’ siguen siendo muy comunes.
Los resultados se repiten en otros informes, como el del Centro Nacional de Ciberseguridad de Estados Unidos, SplashData y Keeper.
¿Cuán seguras son en realidad estas contraseñas? De acuerdo con la tabla de Hive Systems, muy poco. La compañía calcula su seguridad basándose en cuánto tiempo aguantarían un ataque de fuerza bruta llevado a cabo por un ordenador de última generación de 2022. Teniendo esto en cuenta, se deduce que:
- Una contraseña solo de números no es segura. Incluso una que combine 17 cifras, si conseguimos recordarlas, se desbloquea en dos días de media.
- Las contraseñas de solo letras mayúsculas o solo letras minúsculas tampoco son difíciles de hackear, aunque son algo más sólidas que las de solo números.
- La robustez de una contraseña aumenta cuando añadimos complejidad y combinamos números, letras mayúsculas y minúsculas y símbolos.
- La recomendación mínima es una combinación de 11 números y letras en mayúsculas y minúsculas. Tardaría tres años en descifrarse por fuerza bruta.
- Una contraseña de 18 caracteres con números, letras mayúsculas y minúsculas y símbolos tardaría 438 billones de años en hackearse con la tecnología actual.
¿Problemas de seguridad? Tira los dados
Las contraseñas son las llaves del mundo digital. Al igual que no queremos que nuestra puerta de casa se abra con un ligero empujón, no nos gustaría que cualquiera pudiese entrar a nuestros perfiles en redes sociales o espacio de almacenamiento en la nube. Como ya recogimos en este artículo, es importante contar con una buena contraseña larga y compleja para cada servicio o plataforma que usemos y apoyarse en la doble verificación en la medida de lo posible.
Además, podemos apostar por gestores de contraseñas, programas diseñados para ser seguros en los que se almacenan todas las credenciales de usuario protegidas bajo un password maestro. Aun así, en muchas ocasiones nos vemos en la necesidad de escoger una nueva contraseña y dudamos. ¿Cómo pensar en algo seguro que después pueda recordarse con facilidad? Existen muchos métodos para hacerlo, pero uno de ellos está en los dados.
El método diceware consiste en designar una palabra o una frase como contraseña segura elegida al azar mediante tiradas de dados normales, como los que forman parte de muchos juegos de mesa. En esencia, la técnica consiste en tirar un dado cinco veces y, en función de la combinación de números que salga, escoger la palabra a la que hacen referencia los números en la lista de diceware en español, formada por más de 6500 términos. El procedimiento puede repetirse varias veces para obtener diferentes palabras que se pueden combinar en una contraseña más robusta todavía.
Por ejemplo, pongamos que tiramos el dado cinco veces y nos sale ‘25612’. Esta combinación equivale a la palabra ‘Cairo’. Repetimos dos veces la jugada y obtenemos ‘43521’ (‘lento’) y ‘45522’ (‘melva’). Le sumamos mayúsculas y símbolos y ya tenemos una contraseña bastante robusta: Cair0_lento$melvA. Además, si nos cuesta recordarla, podemos anotar los números en alguna parte y luego acudir a la lista diceware si nos falla la memoria.
Aun así, esto es solo una técnica más. Para navegar de forma segura también es importante cambiar la contraseña cada cierto tiempo, no usar palabras o números que puedan identificarse con nosotros o nuestro entorno y utilizar combinaciones únicas y robustas para cada sitio. Si repetimos password, un hackeo en una web puede poner en riesgo la seguridad en el resto de plataformas. Sitios como Have i been pwned? nos ayudan a saber si alguno de nuestros perfiles o servicios han sido hackeados.
Imágenes | Hive Systems, Kaffeebart, Riho Kroll