Materia Oscura

Todos nos encontramos con la problemática de tener que elegir una contraseña en algun momento. De hecho a veces lo raro es el día que no tenemos que elegir una contraseña. Parece un trabajo sencillo bien porque siempre se pone la misma, bien porque ¿qué tengo yo que vayan a querer otros?

En primer lugar, poner la misma contraseña para todo no es una buena idea. Por muy segura que esta sea, no debes poner la misma contraseña en tu cuenta corriente que en el foro que acabasde apuntarte. ¿Por qué? Pues porque no sabes nada de ese foro, y a lo mejor está hecho precisamente para capturar contraseñas.

¿Y qué más me da que tengan mi contraseña? Pues más de lo que imaginas. Con tu contraseña se puede entrar en tu msn y hacerse pasar por ti ante amigos para engañarlos, estafarlos o acceder a su información, además de meterte en un problema. Se puede comprar en tu nombre, darte de alta en tu nombre, acceder a tu banco y acceder a tu ordenador.

¿Y para que iba alguien a querer acceder a tu ordenador? Pues para borrar huellas. Me explico. Quiero entrar en un servidor de forma ilegal, o amenazar a alguien o mandar 10000 correos de publicidad. Si lo hago desde mi ordenador seré detectado y, como mínimo ignorado (baneado) sin que mis ataques sufran efecto la próxima vez, o puedo ser persguido y denunciado. Si lo hago desde tu ordenador y después borro las huellas, el atacante has sido tu, no yo. Y no estoy hablando de ciencia ficción. Es algo que pasa a diario y es peligroso.

Ya sabemos que no es adecuado tener contraseñas fáciles, ahora ¿qué seguridad elegimos? Hay que dejar claro que seguridad se opone a comodidad. Desde luego una contraseña distinta para cada foro/correo/web… del tipo “dsñE*-[)<[ê)4%&" cambiada cada 3 meses es muy seguro, pero no sirve de nada ya que nadie puede memorizar eso, ni acordarse de 20 contraseñas distintas así, además de rememorizar cada 3 meses. Por otro lado, poner la misma contraseña para todo ya hemos visto que tiene sus problemas. Y elegir como contraseña tu nombre, tu fecha o tus apellidos no sirve de nada.

A menudo se insiste en que no se usen palabras del diccionario, y mucho menos el mismo nombre de usuario que contraseña o contraseñas solo numéricas. Los actuales sistemas de comprobación de contraseñas pueden probar decenas de miles de palabras por segundo. Un comprobador de contraseñas prueba primero si la contraseña es igual al usuario, después si es una palabra del diccionario y a continuación empieza con los ataques de fuerza bruta.

Cuando se habla de ataques de diccionario muchos creen que si su palabra no está en el diccionario están seguros, y no es cierto. Estos diccionarios incluyen las palabras del diccionario tradicional, pero también se sazonan con temas específicos de cine, libros, música y un sinfin de terminos. Adicionalmente han sido enriquecidos con contraseñas conseguidas en sistemas, tales como cuando Hotmail comprometió su seguridad. Esos miles de contraseñas son tan originales como muchas de las que puedes imaginar.

Los ataques de fuerza bruta son aquellos que se producen probando con secuencias aleatorias de letras y caracteres. Empieza probando por los números. Una contraseña de 6 caracteres numéricos tiene 1.000.000 de combinaciones posibles. ¿Parece mucho? Son unos segundos de comprobaciones para uno de estos motores con un pentium antiguo, imaginaros con varios puestos en red.

En esta web podéis ver cuanto se tarda en saltar una contraseña. En el primer cuadro se usan solo números, en el segundo las minúsculas, en el tercero mayusculas y minúsculas, en el cuarto numeros minúsculas y mayúsculas y en el quinto todos los caracteres. Se valora el tiempo que se tarda segun un pentium 100 hasta una red de servidoresde alto rendimiento. Las respuestas dan miedo, no obstante se puede apreciar la enorme diferencia entre usar más número de caracteres en la contraseña y usar más caracteres distintos.

No obstante hay algunos programas o servicios que no permiten más que un determinado número de errores (los pin del móvil 3 intentos), en estos sistemas los ataques de fuerza bruta no tienen sentido, siempre que el atacante no pueda robar el fichero de contraseñas y probarlo sin estas restricciones de intentos.

Es la hora de elegir ¿cuantas contraseñas debo tener? La respuesta adecuada sería: cuantas más mejor. Pero eso tiende a ser imposible. Además todos somos humanos y cuando repetimos algo tendemos a crear un patron. Yo distinguiría 3 niveles de contraseña: seguridad más alta para bancos (ojo a que la conexión sea segura) y contraseña de tu ordenador, seguridad alta para tus cuentas de correo electrónico, messenger, dominios cuentas de administrador de foros o aplicaciones,… y un tercer nivel de seguridad más baja para usuario de foros o páginas web.

Lo mejor sería tener más niveles, y para nada esta solución es un sistema ortodoxo, pero mejor un mínimo de 3 o 5 contraseñas que una sola.

La contraseña más segura debería tener 12 caractéres mínimo. En el caso de los bancos, a menudo permiten tan solo 3 intentos, por lo que puede bajarse el número de caracteres, debería incluir mayúsculas, mnúsculas y números y, para asegurarse al máximo, tener algun caracter especial.

La contraseña seguridad media debería rondas los 12 caracteres tambien (10 mínimo). Es importante una cosa. El correo electrónico habitual POP3 (como el del outlook express) envia los datos sin conexión segura. En caso de que puedas distinguir si tu correo es seguro o si no lo es (GMAIL usa conexión segura, así como Hotmail y Messenger) deberías no usar la misma contraseña para las conexiones seguras que para las inseguras.

En el último caso usa contraseñas de al menos 8 caracteres, nunca
menos, que no sean palabras concretas, ni nombres propios.

Hay varias reglas mnemotécnicas para elegir una contraseña segura sin tener que recurrir a generadores automáticos que crean contraseñas inmemorizables. Algunas parten de generar una secuencia aleatoria que es común a todos y poner una palabra delante o detras que es la que varía. Esto tiene un gran riesgo si descubren el truco.

Tengo dos métodos favoritos. Uno es usar contraseñas que consisten en varias palabras del diccionario modificadas para ser inexistentes o que no tienen nada en común. Un ejemplo: ConectadamontPorJondas Es una perversión de “conectado por hondas”, es larga, incluye mayúsculas al principio de cada palabra y se trata de una contraseña dificil. Si le añadiesemos un & entre cada palabra Conectadamont&Por&Jondas la cosa se complica. Me ha salido algo larga, lo cual no es malo, pero es para transmitir la idea.

El segundo sistema consiste en coger de una frase aquellas letras que determinemos. Puede ser la primera de cada palabra, la última, la primera y la ultima, alternadas… cualquier cosa que te ayude a memorizarla. Además puedes poner alguna mayúscula, alternarlas, etc…

Pongamos un ejemplo: UapgatUape es una contraseña que viene de: “Un anillo para gobernarlos a todos. Un anillo para encontrarlos” Podemos modificarla un poco más para complicarla: 1apgat1ape Ahora ponemos una mayúscula de cada tres: 1apGat1Ape y lo enfatizamos con una admiración 1apGat1Ape!! este es un ejemplo, pero cada uno tiene sus frases favoritas, puede usar versos y empezar cada uno con mayúsculas, o cada ultima palabra, o cambiar las comas por $, etc… Si la regla nemotécnica es tuya, después de usar la contraseña media docena de veces te saldrá sola.
Lo importante es que las contraseñas sean como mínimo de 8 caracteres (yo diría que de 10 y pensaría en 14-16 para las de máxima seguridad), que no incluyan el nombre de usuario ni ningun dato personal, usar tantos tipos de caracter como sea posible (mayúsculas, minúsculas, números, caracteres especiales…) y que no lo conformen palabras del diccionario.

Esto no las hará invulnerables, pues con suficiente tiempo y recursos todo se puede saltar, pero si complicará la vida a quien lo intente. Adicionalmente debería cambiarse periódicamente la contraseña. La teoría dice que cada 3 meses, no obstante esto es a veces contraproducente, pues se te agotan las ideas y terminas cayendo en modificar el último digito, por poner un ejemplo. Cambialas al menos 2 veces al año, y si no te supone mucho trastorno, hazlo 4 veces al año.

Por último algo muy importante. Ya tenemos nuestras contraseñas bien definidas, una política de varias contraseñas que cambiamos periódicamente. Pero resulta que estamos de viaje y nos conectamos a Internet en un ciber. En estos casos no uses contraseñas de alta seguridad. Un ciber es un entorno peligroso, al igual que lo es una red WiFi cogida en la calle, la red de un hotel o la red de la universidad. Tienes a más ordenadores en la red que pueden escuchar lo que estas enviando. Incluso, si el ordenador no es tuyo, pueden tener instalado un programa para capturar las contraseñas que se usan en ese ordenador. No me refiero a que lo haga el propio ciber, hotel o universidad, sino a que alguien que también es cliente, lo haga. En el caso de que necesitéis utilizarlo en un ordenador ajeno, cambiar la contraseña tan pronto esteis en un ordenador seguro. En caso de que uses tu propio ordenador, para los temas importantes usa conexión telefónica, GPRS o UMTS, dado que no tienes ordenadores en red contigo, se trata de conexiones más seguras.

Espero que estas indicaciones resulten de utilidad a alguien. No pretendo ser un ejemplo de ortodoxia, y las reglas que comento intentan ser prácticas, no obstante se trata de un sistema que cada vez cobra más importancia y no deberíamos despreciar.

En otros artículos intentaré abordar otros sistemas de protección

Os adjunto otras webes que tocan el tema:

¿Como elegir una buena contraseña? 

Como elegir una contraseña y no morir en el intento
Contraseñas seguras

La Wikipedia también habla sobre ello