Fortaleza de las contraseñas

21/11/2019

¿Puede una contraseña ser fuerte y fácil de recordar a la vez?

Continuamente se nos recuerda que una contraseña fuerte debe tener letras, números, caracteres especiales, mayúsculas, que no debemos usar la misma en cuentas diferentes, que no las apuntemos… y cada vez tenemos más contraseñas que recordar y más complicadas. ¿Pero es que no puede una contraseña ser fuerte y fácil de recordar a la vez?

Hace unos días que me decidí a usar un gestor de contraseñas que me permitiera tener todas mis claves a mano en cualquier momento y tener que recordar de memoria una sola: la que da acceso al propio gestor de contraseñas. 

En el proceso de seleccionar un gestor visité varios artículos que hablaban sobre la fortaleza de las contraseñas y las condiciones que tenía que cumplir una contraseña fuerte. Cuanto más aplicamos esas condiciones tenemos una contraseña más fuerte, pero también más difícil de recordar. 

Usar un gestor de contraseñas me permite olvidarme de todas las contraseñas de todos los sitios web, servicios y aplicaciones que uso y hacerlas todo lo complicadas (y difíciles de recordar) que me parezca.

Pero hay una que no se me puede olvidar, la clave maestra del gestor, y tiene que ser muy difícil de adivinar, puesto que da acceso a todas las demás. ¿Qué hago? 

¿Uso una clave del tipo «jrD&;çvw2/ª» ?  No seré capaz de recordarla. Ni de teclearla bien a la primera.  

¿Y una como «4ut08USs» o «C0ntr4S3ñ4*9«? Menos difícil de recordar, pero tampoco es imposible que se me olvide algún carácter especial, alguna sustitución o alguna mayúscula.

¿No puede una contraseña ser fuerte y fácil de recordar a la vez?

En uno de esos artículos que revisé, me encontré con esta viñeta de xkcd:

Imagen bajo licencia CC BY-NC 2.5

La viñeta viene a decir que “Tras 20 años de esfuerzo, hemos conseguido que todo el mundo use contraseñas difíciles de recordar para los humanos, pero fáciles de adivinar para los ordenadores”. ¿Esto es cierto? ¿Llevo todo el tiempo haciéndolo mal?

Buscando un poco encontré que hay muchos sitios que miden la fortaleza de una contraseña y la indican mostrando el tiempo que en teoría tardaría un hacker en descubrirla.

Pongo un ejemplo con uno de ellos que podéis probar online y comparar con otros. No todos funcionan igual.

El resultado indica el tiempo necesario para descubrir la clave según el número de intentos por unidad de de tiempo

Clave: jrD&;çvw2/ª

Resultado:

  • 100 / hora: siglos
  • 10  / segundo: siglos
  • 10k / segundo: 4 meses 
  • 10B / segundo: 10 segundos

Clave: 4ut08USs

Resultado:

  • 100 / hora: siglos
  • 10  / segundo: 3 años
  • 10k / segundo: 1 día 
  • 10B / segundo: menos de 1 segundo

Clave: C0ntr4S3ñ4*9

Resultado: 

  • 100 / hora: siglos
  • 10  / segundo: siglos
  • 10k / segundo: 3 meses 
  • 10B / segundo: 9 segundos

En este último ejemplo uso una frase en inglés (el inicio de “Fahrenheit 451”) porque el sitio utiliza solo diccionarios en inglés y una frase en castellano le parecería más difícil de lo que es, pero los malos tienen diccionarios en todos los idiomas

Clave:  It was a pleasure to burn.

Resultado: 

  • 100 / hora: siglos
  • 10  / segundo: siglos
  • 10k / segundo: siglos 
  • 10B / segundo: siglos

Parece que la clave más fácil de recordar por un humano es la más difícil de adivinar por un ordenador. O al menos en el caso de ataques simples son todas igual de seguras.

No me atrevo a meterme en profundidades matemáticas (buscad si tenéis curiosidad el término ‘password entropy’), pero la seguridad de una clave se puede aumentar bien incrementando el número posible de signos que se utilizan o bien incrementando la longitud de la clave. Una frase o una serie de palabras aleatorias poco usadas forman una contraseña fácil de recordar que puede ser tan segura como una contraseña corta con todo tipo de signos. Que cada cual haga sus pruebas y elija su método. Pero dejad de usar el nombre de vuestra hija o la matrícula de vuestro coche.

Tened en cuenta también que solo hablamos de ataques de fuerza bruta y de diccionario, que no es la única forma de conseguir una contraseña. Cuidado con el phising o el post-it en el teclado. Os remito a una infografía de la OSI que explica diferentes tipos de ataques.

Y plantearos la opción de usar la autenticación en dos pasos como refuerzo de la seguridad de vuestras cuentas.