A propósito de la Semana de la Seguridad Informática, una de las quejas más recurrentes de los usuarios acerca del manejo de las contraseñas, es cómo lograr una combinación lo suficientemente robusta que sea fácil de recordar. Apoyados en las matemáticas, encontramos que si utilizamos una combinación de caracteres lo bastante larga obtendremos una contraseña más segura.
La semana pasada, el servicio de citas Cupid Media sufrió un incidente que expuso información de alrededor de 42 millones de personas: nombres, direcciones de correo, contraseñas y fechas de cumpleaños. Del total de usuarios afectados, 34 millones de usuarios utilizaban cuentas de Yahoo!, Hotmail o Gmail, por lo que cabe la posibilidad de que un porcentaje de estos usuarios utilizaran la misma contraseña en todos sus servicios.
En muchos casos, las contraseñas robadas están cifradas, por lo que los atacantes utilizan ataques de fuerza bruta para descubrir la contraseña y utilizarla con algún fin malicioso. La respuesta a la pregunta de cómo podemos construir contraseñas lo suficientemente robustas que sean sencillas de recordar, para que en caso de una fuga de información las nuestras no sean descubiertas, se encuentra en un sencillo juego de probabilidades.
Para construir una contraseña, un usuario puede utilizar cuatro tipos de caracteres: minúsculas, mayúsculas, números o caracteres especiales. Por otra parte para tener una contraseña segura ante un ataque de fuerza bruta, se sugiere que tenga por lo menos 10 caracteres mezclando cada uno de los cuatro tipos. Memorizar una contraseña de estas características algunas veces puede resultar engorroso, y más si utilizamos una diferente para cada servicio.
Pero ¿qué tan complicada de descifrar es una contraseña muy extensa que tenga solamente un tipo de caracteres contra una contraseña más corta que tenga de los cuatro tipos de caracteres? Por ejemplo, cuál de estas dos contraseñas creen que es más difícil de descifrar utilizando un ataque de fuerza bruta, partiendo de una lista de hashes:
- madfapdfecabhdratreq
- Ga!9z3rm@u&6
En el primer caso tenemos una contraseña que utiliza solamente letras minúsculas y tiene una longitud de 20 caracteres. Existen por lo menos 19928E+24 de combinaciones posibles.
En el segundo caso tenemos una contraseña con 10 caracteres y que mezcla números, símbolos y letras minúsculas y mayúsculas. Utilizando esta extensión y todos los tipos de caracteres existentes la cantidad de combinaciones posibles no excede los 475E+21.
Resulta entonces que para el primer caso hay un espacio más amplio de posibilidades, lo que la convierte en una alternativa estadísticamente menos probable de adivinar.
Si bien para este caso, ambas contraseñas resultan ser seguras en términos prácticos, estadísticamente la primera alternativa es más segura a pesar de utilizar solamente letras minúsculas. Y teniendo en cuenta que la primera opción está construida con la primera letra de las primeras 20 palabras del libro 100 Años de Soledad, puede ser más fácil de recordar.
A continuación dejamos una tabla con la cantidad de combinaciones posibles utilizando diferentes opciones de longitud y de combinaciones entre grupos de caracteres:
Más allá del tipo de contraseña utilizada, lo más recomendable es no usar palabras o expresiones que se encuentren en un diccionario. Elegir un sistema como las primeras o últimas letras de las palabras de una canción, libro o poema, mezclando incluso mayúsculas puede dar como resultado una contraseña difícil de adivinar.
Así que la decisión está en cada uno de nosotros para empezar a utilizar contraseñas realmente robustas, aprovechando además los factores de doble autenticación que ofrecen muchos de los servicios actualmente en Internet.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research