¿Cuándo es Buena una Contraseña?; Las contraseñas existen desde hace mucho tiempo, pero ¿son lo que necesitamos para preservar la seguridad de nuestros sistemas? No, la verdad es que no. Las contraseñas funcionaban bien cuando la tecnología no era omnipresente y sólo los profesionales de la tecnología tenían que acceder a los sistemas informáticos, y sólo a un número limitado de ellos. Las cosas cambiaron, y ahora las contraseñas son un legado que está haciendo más daño que bien.

¿Cuándo es Buena una Contraseña?

Cuándo es Buena una Contraseña

Cuándo es Buena una Contraseña y Cuando no es Segura

Una contraseña es considerada buena cuando es difícil de adivinar para alguien que no tenga acceso legítimo a tu cuenta, pero fácil de recordar para ti. Por el contrario, una contraseña no es segura cuando es predecible o susceptible de ser descifrada fácilmente mediante métodos de fuerza bruta o mediante el uso de información personal conocida o fácilmente accesible. Aquí hay algunas características de una contraseña buena y de una contraseña no segura:

Buena contraseña:

  1. Larga longitud: Cuanto más larga sea la contraseña, más difícil será para un atacante adivinarla mediante métodos de fuerza bruta. Se recomienda una longitud mínima de al menos 12 caracteres.
  2. Complejidad: La contraseña debe contener una combinación de letras mayúsculas y minúsculas, números y caracteres especiales, como símbolos de puntuación.
  3. Aleatoriedad: Evita usar palabras comunes, nombres propios, fechas de nacimiento u otra información personal que pueda ser fácilmente deducida o encontrada en un diccionario.
  4. No relacionada con información personal: No uses información personal como nombres de mascotas, nombres de familiares, fechas importantes o palabras relacionadas contigo en tu contraseña.
  5. No reutilización: Utiliza contraseñas únicas para cada cuenta o servicio en línea para evitar que un compromiso de seguridad en un sitio web ponga en riesgo tus otras cuentas.

Contraseña no segura:

  1. Corta longitud: Las contraseñas cortas son más fáciles de adivinar mediante ataques de fuerza bruta o diccionario. Las contraseñas de menos de 8 caracteres son especialmente vulnerables.
  2. Predecibilidad: Evita usar contraseñas obvias o predecibles, como «123456», «contraseña», «abc123», etc., que son comunes y fáciles de adivinar.
  3. Simplicidad: Las contraseñas que consisten en una sola palabra o una combinación de caracteres simples (por ejemplo, «password», «qwerty», «111111») son extremadamente débiles y fáciles de comprometer.
  4. Información personal: Las contraseñas que contienen información personal como nombres, fechas de nacimiento, direcciones, etc., son más susceptibles de ser descubiertas mediante ataques de ingeniería social o al obtener acceso a información personal.
  5. Reutilización: Usar la misma contraseña en múltiples cuentas aumenta el riesgo de que todas tus cuentas se vean comprometidas si una sola contraseña se ve comprometida.

Ejemplos de buenas contraseñas

Aquí tienes algunos ejemplos de buenas contraseñas que siguen las recomendaciones de seguridad:

  1. P@ssw0rd!2024: Esta contraseña combina letras mayúsculas y minúsculas, números y caracteres especiales, y tiene una longitud significativa. La inclusión del año actual al final también agrega una capa adicional de seguridad.
  2. Tr0p!c@lSunset: Esta contraseña es fácil de recordar y tiene una combinación de letras mayúsculas y minúsculas, así como caracteres especiales. La palabra «Trópico» seguida de un símbolo y «Sunset» es una forma creativa de generar una contraseña única.
  3. **$ecur1tyR0ck$: Una combinación de letras, números y caracteres especiales, esta contraseña es fuerte y no contiene palabras comunes o fácilmente predecibles.
  4. B3@utiful*Day: Esta contraseña utiliza una combinación de letras, números y un carácter especial. La palabra «Beautiful» seguida de un símbolo y «Day» es una forma de crear una contraseña fácil de recordar pero difícil de adivinar.
  5. L0ngP@ssphr@se4Cyb3r: Esta es una frase de contraseña larga que combina letras mayúsculas y minúsculas, números y caracteres especiales. La longitud de la frase aumenta significativamente la seguridad de la contraseña.
  6. J@zz!nTh3Park: Otra contraseña que utiliza una combinación de letras, números y caracteres especiales, junto con una palabra fácil de recordar seguida de un símbolo y una ubicación.

La paradoja de las contraseñas

La mayoría de la gente dirá que una contraseña tiene que ser compleja, lo que significa que tiene que ser larga y contener letras, números y símbolos para ser segura. ¿Qué longitud debe tener una contraseña? El conocimiento general sugiere que las contraseñas deben tener ocho caracteres; en otros casos, se sugiere que ocho caracteres ya no son suficientes.

En general, los expertos del sector coinciden en que no debemos utilizar la misma contraseña en más de un sistema para evitar un efecto dominó si (¿debo decir «cuando»?) uno de esos sistemas se ve comprometido. Esto significa que debemos tener docenas de contraseñas diferentes para poder acceder a la multitud de sistemas que utilizamos a diario.

Otra buena práctica bien establecida recomienda que cambiemos nuestras contraseñas con frecuencia porque las filtraciones de datos que implican contraseñas son comunes y queremos limitar el periodo en el que somos vulnerables.

Para minimizar el éxito de los ataques de diccionario -que utilizan palabras en lugar de probar todas las combinaciones posibles de caracteres-, no queremos que nuestras contraseñas tengan significado. El nombre de tu perro está fuera de la mesa, a menos que tu perro se llame JuYxxp67lkm8MmP$#33F y cambies el nombre de tu perro cada dos meses.

También es sabido que, a menos que tengas una caja fuerte donde guardar tu cuaderno de contraseñas, no es buena idea anotar tus credenciales o tener un archivo con todas ellas. Desde luego, no es buena idea escribir la contraseña en una nota adhesiva debajo del teclado. Esto significa que una contraseña debe ser fácil de memorizar. En realidad, el Instituto Nacional de Estándares y Tecnología (NIST), en sus Directrices de Identidad Digital, identifica la complejidad como una vulnerabilidad, reconociendo que es más probable que los usuarios escriban sus contraseñas, o las almacenen electrónicamente, de forma insegura cuando se ven obligados a memorizar secretos de autenticación muy complejos.

¿Cuándo es Buena una Contraseña?, La paradoja es clara: las contraseñas no pueden ser complejas, no tener significado, ser diferentes para cada sistema, cambiarse con frecuencia y, simultáneamente, ser fáciles de memorizar.

¿Qué pasa con los gestores de contraseñas?

Los gestores de contraseñas son prácticos. En lugar de memorizar docenas de contraseñas complejas, un gestor de contraseñas nos da un lugar donde almacenarlas todas y nos aseguramos de tener credenciales fuertes para proteger el acceso a ellas. Suena razonable.

Sin embargo, al igual que cualquier otro software, los gestores de contraseñas tienen vulnerabilidades que los atacantes pueden explotar. Ha habido situaciones en las que la explotación se ha producido realmente, diferentes empresas han sido «fulminadas» por culpa de los gestores de contraseñas.

Sabiendo esto, ¿realmente quieres poner todos tus huevos en una sola cesta?.

Mejores prácticas de contraseña para los usuarios

Hay, al menos, dos maneras diferentes de ver las mejores prácticas en materia de contraseñas: la perspectiva del administrador del sistema y la perspectiva del usuario. El usuario siempre está limitado por los parámetros definidos por el administrador y, por esa razón, puede que nos encontremos con que tenemos que trabajar alrededor de un conjunto de reglas, en lugar de elegir la contraseña que mejor nos funcione.

En Máster en Ciberseguridad online escribiremos otro post sobre las mejores prácticas de contraseñas para los administradores de sistemas y hablaremos de los parámetros que deberían imponer a sus usuarios. Por ahora, centrémonos en Cuándo es Buena una Contraseña en función a los usuarios.

  • Utilice frases, no palabras.

    Las contraseñas no se guardan exactamente como usted las crea. Una representación de su contraseña se almacena en una base de datos. Los atacantes guardan listas de miles de millones de secuencias de representaciones de contraseñas que luego utilizan cada vez que tienen en sus manos bases de datos filtradas que contienen contraseñas.

    Sin embargo, como el coste computacional de calcular esa representación aumenta con el número de caracteres, esas listas suelen abarcar sólo secuencias de caracteres más pequeñas. Al utilizar secuencias largas de caracteres, disminuye la probabilidad de que un atacante encuentre su contraseña, incluso si hay una filtración de datos en ese sistema. Al mismo tiempo, las secuencias de caracteres más largas son muy difíciles, si no imposibles, de descifrar mediante ataques de fuerza bruta (cuando el atacante prueba todas las combinaciones posibles de caracteres) o ataques de diccionario (cuando el atacante prueba todas las posibilidades de una lista de palabras probables). Además, las frases son más fáciles de recordar que las secuencias de caracteres más largas.

    Si el sistema que utilizas no te permite usar espacios, utiliza el guión bajo en su lugar.

  • Nunca compartas las respuestas para recuperar tu contraseña.

    Los cuestionarios online compartidos a través de las redes sociales se han convertido en una divertida tendencia. Por ejemplo, si respondes a unas cuantas preguntas en uno de estos cuestionarios online, tus resultados te dirán qué tipo de personalidad tienes, cuáles son las características de tu alma gemela o qué superhéroe de DC se parece más a ti. Responder a esas preguntas es una forma divertida de pasar un rato y es un buen post para compartir con los amigos, ¿verdad? Pero, ¿has considerado que algunas de las preguntas que estás respondiendo podrían ser también tu ficha de recuperación en algún sistema? Una pregunta como «¿cuál es tu moto favorita?» dice mucho sobre tu personalidad, pero también podría ser lo único que se interponga entre un atacante y tu contraseña.

  • Utilice diferentes nombres de usuario.

    Es fácil, y probablemente sea su preferencia, utilizar una contraseña fuerte y el mismo nombre de usuario en los distintos sistemas que frecuenta. Si un atacante está tratando de hackear su cuenta, las contraseñas asociadas a ese nombre de usuario, aunque se hayan filtrado hace mucho tiempo, son el lugar por donde empezar.

    Imagina que eres un hacker que intenta atacar la cuenta del usuario minombredeusuario y sabes que este nombre de usuario ha utilizado contraseñas antiguas como ¡FelizNavidad1!, ¡FelizNavidad2! y ¡FelizNavidad3! No hace falta ser un genio para encontrar el patrón aquí. Está claro que estas contraseñas no son elecciones acertadas, pero si están asociadas a tres nombres de usuario muy diferentes, no habría forma de conectarlas con minombredeusuario. Por lo tanto, si tu sistema te permite elegir tu nombre de usuario, sé creativo.

  • Guarda un cuaderno en una caja fuerte.

    Puedes comprar una caja fuerte para guardar en tu casa por menos de 100 euros y merece la pena la inversión. Si vas a seguir las reglas y tienes diferentes frases para diferentes sistemas, vas a olvidarlas. La idea de que nunca debemos escribir una contraseña sólo es válida si estamos guardando el registro en un lugar inseguro. Y NO, tu casa no es un lugar seguro. No quieres que te roben en tu casa y, encima, tener que preocuparte por la seguridad de tus sistemas online. ¿Cuándo es Buena una Contraseña?, Guarda un registro en tu caja fuerte. Te ayudará a llevar la cuenta de tus nombres de usuario y contraseñas y te será útil más adelante.

Manténgase a salvo

Las contraseñas funcionan mejor si se combinan con un factor diferente: ya sea algo que el usuario tiene (un smartphone, una tarjeta de acceso, etc.), o algo que el usuario sea (autenticación biométrica).

Vídeo: Chema Alonso: ‘Las contraseñas no son nada seguras, hay que erradicarlas’ – ¿Cuándo es Buena una Contraseña?

No es probable Extremadamente probable
AUDIBLE

¡Si te ha gustado la publicación «¿Cuándo es Buena una Contraseña?», te animamos a estudiar un Máster en Ciberseguridad Online para convertirte en un verdadero experto de la seguridad en internet! ¡Dale al Like y comparte, los futuros reclutadores contrastarán que sigues contenido de calidad especializado en tu nicho profesional!