Hoy se celebra el Día Mundial de la Contraseña, pero a decir verdad, han estado entre nosotros desde hace siglos. Muchos antes de que Hotmail, Skype y Netflix te invitaran a crear una combinación segura de caracteres, los romanos usaron claves como forma de transmitir importantes mensajes militares entre tropas. Básicamente, era una forma de proteger la información.
Si nos adelantamos unos pocos miles de años, entra en escena Fernando Corbató, conocido en todos lados como el padre de la contraseña informática moderna.
Él introdujo la idea mientras trabajaba en el Massachusetts Institute of Technology (MIT) en 1960; la universidad había desarrollado el complejo Compatible Time-Sharing System (CTSS), al que todos los investigadores tenían acceso, pero compartían una computadora central común así como un solo archivo del disco.
Para ayudar a mantener los archivos individuales privados, se desarrolló el concepto de contraseña, para que los usuarios solo pudieran acceder a sus propios contenidos durante las cuatro horas a la semana que tenían permitidas. Bueno, en los sesenta el tiempo frente a las computadoras era limitado.
A pesar de que la contraseña estaba lejos de ser perfecta, algo que Corbató es el primero en admitir, se terminó convirtiendo en el método por excelencia de identificación en computación, tanto en la esfera personal como en la corporativa. El principal motivo fue su simpleza, aunque más tarde esta sería su principal debilidad.
Hash, sal y criptología
En aquella edad temprana de la computación, el uso de contraseñas con este fin era bastante limitado, principalmente reducido a personas como Corbató y su equipo, que estaban entre los primeros que realmente exploraron el poder de las computadoras.
"Las tres reglas de oro son: no tengas una computadora, no la enciendas, y no la uses"
Sin embargo, cuando la World Wide Web explotó en los noventa, más y más personas empezaron a usar Internet de manera regular, creando montones de información sensible en el proceso.
Pero incluso antes de que la Web entró en exceso, los primeros informáticos estaban trabajando en una forma de hacer a las contraseñas más seguras. Y, para hacerlo, se basaron en la criptología.
Mientras trabajaba en Bell Labs en los '70, el criptógrafo Robert Morris inventó el hash, es decir, el proceso por el cual una cadena de caracteres se transforma en un código númerico que representa a la frase original.
El hash se adoptó en los primeros sistemas operativos similares a Unix, que se siguen usando hoy en todo el mundo en dispositivos móviles y estaciones de trabajo. macOS de Apple, por ejemplo, usa Unix, mientras la PlaysTation 4 usa Orbis OS, un sistema operativo similar al mismo.
Añadiendo otro nivel de seguridad, las bases de contraseñas modernas pueden usar también la sal, para cifrarlas y añadirles datos aleatorios antes, de manera que la cadena resultante es el hash. De esta forma, la salida de la función derivadora de claves se almacena como la versión cifrada de la contraseña.
Esto, sin embargo, no impide que sea adivinada: el objetivo es evitar que una contraseña filtrada, por ejemplo a raíz de una brecha, sea descifrada y utilizada.
Pero cuando Corbató ideó la contraseña, la seguridad no era un problema tan grande: los ataques que hoy conocemos no aparecieron hasta los '80.
Hoy la historia es diferente: casi todo está online. Desde la banca y las compras, hasta televisión y musica, resguardamos nuestros datos con una cadena de dígitos y letras. Pero ¿cuán segura es? Incluso compañías grandes como Yahoo y LinkedIn han sido atacadas, de manera que se comprometieron las contraseñas de sus usuarios.
Los pros y contras de la contraseña
Hay algunos problemas intrínsecos. Primero, las contraseñas más cortas son las más fáciles de recordar, pero también las más fáciles de adivinar. Segundo, naturalmente, las más largas son más difíciles de adivinar, pero también más difíciles de recordar.
Además, puede ser difícil tener tantas contraseñas diferentes. Piensa en la cantidad de cuentas online que el usuario promedio tiene: home banking, correo electrónico, correo electrónico secundario, Facebook, Twitter, Skype, Spotify, Netflix... la lista sigue de manera infinita, y es por eso que muchos han empezado a sentirse fatigados ante los recaudos que deben tomar para protegerse.
Como consecuencia, los que quieran evitarse dolores de cabeza se limitan a repetir una o dos contraseñas en todos sus servicios. Y ese, por supuesto, es un serio problema: si los atacantes dan con ella, tienen acceso a todo.
Otro problema es la elección de la clave en sí misma. No tan sorprendentemente, las más utilizadas siguen siendo "password" y "123456", por lo que no suele ser demasiado difícil para un cibercriminal acceder a la vida digital de un usuario.
La contraseña está muerta, pero... larga vida a la contraseña
Claro que las contraseñas proveen un nivel de seguridad y, a pesar de que Bill Gates dijo que estaban muertas allá por 2004, la mayoría de las compañías y servicios con portales en línea las usan.
Entonces, ¿qué puedes hacer hacer para que las tuyas sean más seguras? Hay algunas opciones que te mostramos en este simpático video:
Por empezar, cada cuenta debería tener su propia clave para evitar inconvenientes. No sufras: los gestores de contraseñas te evitarán la presión de tener que recordarlas todas.
Claro que deben ser fuertes y robustas, combinando letras y números y evitando información personal obvia; en cuanto a la longitud, se recomiendan al menos ocho caracteres. También puedes usar la estrategia de crear frases, para que te sean más fáciles de recordar. Y si implementas la doble autenticación, tendrás una barrera más para protegerte de los atacantes.
Si todo esto aún te parece demasiado, podrías seguir los consejos del criptógrafo Robert Morris (padre de Robert Morris Jr., autor del gusano Morris). Además de sus contribuciones al hash, tenía una sugerencia un poco más radical:
Las tres reglas de oro para la seguridad informática son: no tengas una computadora, no la enciendas, y no la uses.
Quizá un poco extremo...