Descripción del proyecto

¿Cuándo es Buena una Contraseña?; Las contraseñas existen desde hace mucho tiempo, pero ¿son lo que necesitamos para preservar la seguridad de nuestros sistemas? No, la verdad es que no. Las contraseñas funcionaban bien cuando la tecnología no era omnipresente y sólo los profesionales de la tecnología tenían que acceder a los sistemas informáticos, y sólo a un número limitado de ellos. Las cosas cambiaron, y ahora las contraseñas son un legado que está haciendo más daño que bien.

La paradoja de las contraseñas

La mayoría de la gente dirá que una contraseña tiene que ser compleja, lo que significa que tiene que ser larga y contener letras, números y símbolos para ser segura. ¿Qué longitud debe tener una contraseña? El conocimiento general sugiere que las contraseñas deben tener ocho caracteres; en otros casos, se sugiere que ocho caracteres ya no son suficientes.

En general, los expertos del sector coinciden en que no debemos utilizar la misma contraseña en más de un sistema para evitar un efecto dominó si (¿debo decir «cuando»?) uno de esos sistemas se ve comprometido. Esto significa que debemos tener docenas de contraseñas diferentes para poder acceder a la multitud de sistemas que utilizamos a diario.

Otra buena práctica bien establecida recomienda que cambiemos nuestras contraseñas con frecuencia porque las filtraciones de datos que implican contraseñas son comunes y queremos limitar el periodo en el que somos vulnerables.

Para minimizar el éxito de los ataques de diccionario -que utilizan palabras en lugar de probar todas las combinaciones posibles de caracteres-, no queremos que nuestras contraseñas tengan significado. El nombre de tu perro está fuera de la mesa, a menos que tu perro se llame JuYxxp67lkm8MmP$#33F y cambies el nombre de tu perro cada dos meses.

También es sabido que, a menos que tengas una caja fuerte donde guardar tu cuaderno de contraseñas, no es buena idea anotar tus credenciales o tener un archivo con todas ellas. Desde luego, no es buena idea escribir la contraseña en una nota adhesiva debajo del teclado. Esto significa que una contraseña debe ser fácil de memorizar. En realidad, el Instituto Nacional de Estándares y Tecnología (NIST), en sus Directrices de Identidad Digital, identifica la complejidad como una vulnerabilidad, reconociendo que es más probable que los usuarios escriban sus contraseñas, o las almacenen electrónicamente, de forma insegura cuando se ven obligados a memorizar secretos de autenticación muy complejos.

¿Cuándo es Buena una Contraseña?, La paradoja es clara: las contraseñas no pueden ser complejas, no tener significado, ser diferentes para cada sistema, cambiarse con frecuencia y, simultáneamente, ser fáciles de memorizar.

¿Qué pasa con los gestores de contraseñas?

Los gestores de contraseñas son prácticos. En lugar de memorizar docenas de contraseñas complejas, un gestor de contraseñas nos da un lugar donde almacenarlas todas y nos aseguramos de tener credenciales fuertes para proteger el acceso a ellas. Suena razonable.

Sin embargo, al igual que cualquier otro software, los gestores de contraseñas tienen vulnerabilidades que los atacantes pueden explotar. Ha habido situaciones en las que la explotación se ha producido realmente, diferentes empresas han sido «fulminadas» por culpa de los gestores de contraseñas.

Sabiendo esto, ¿realmente quieres poner todos tus huevos en una sola cesta?.

Mejores prácticas de contraseña para los usuarios

Hay, al menos, dos maneras diferentes de ver las mejores prácticas en materia de contraseñas: la perspectiva del administrador del sistema y la perspectiva del usuario. El usuario siempre está limitado por los parámetros definidos por el administrador y, por esa razón, puede que nos encontremos con que tenemos que trabajar alrededor de un conjunto de reglas, en lugar de elegir la contraseña que mejor nos funcione.

En Máster en Ciberseguridad online escribiremos otro post sobre las mejores prácticas de contraseñas para los administradores de sistemas y hablaremos de los parámetros que deberían imponer a sus usuarios. Por ahora, centrémonos en Cuándo es Buena una Contraseña en función a los usuarios.

  • Utilice frases, no palabras.

    Las contraseñas no se guardan exactamente como usted las crea. Una representación de su contraseña se almacena en una base de datos. Los atacantes guardan listas de miles de millones de secuencias de representaciones de contraseñas que luego utilizan cada vez que tienen en sus manos bases de datos filtradas que contienen contraseñas.

    Sin embargo, como el coste computacional de calcular esa representación aumenta con el número de caracteres, esas listas suelen abarcar sólo secuencias de caracteres más pequeñas. Al utilizar secuencias largas de caracteres, disminuye la probabilidad de que un atacante encuentre su contraseña, incluso si hay una filtración de datos en ese sistema. Al mismo tiempo, las secuencias de caracteres más largas son muy difíciles, si no imposibles, de descifrar mediante ataques de fuerza bruta (cuando el atacante prueba todas las combinaciones posibles de caracteres) o ataques de diccionario (cuando el atacante prueba todas las posibilidades de una lista de palabras probables). Además, las frases son más fáciles de recordar que las secuencias de caracteres más largas.

    Si el sistema que utilizas no te permite usar espacios, utiliza el guión bajo en su lugar.

  • Nunca compartas las respuestas para recuperar tu contraseña.

    Los cuestionarios online compartidos a través de las redes sociales se han convertido en una divertida tendencia. Por ejemplo, si respondes a unas cuantas preguntas en uno de estos cuestionarios online, tus resultados te dirán qué tipo de personalidad tienes, cuáles son las características de tu alma gemela o qué superhéroe de DC se parece más a ti. Responder a esas preguntas es una forma divertida de pasar un rato y es un buen post para compartir con los amigos, ¿verdad? Pero, ¿has considerado que algunas de las preguntas que estás respondiendo podrían ser también tu ficha de recuperación en algún sistema? Una pregunta como «¿cuál es tu moto favorita?» dice mucho sobre tu personalidad, pero también podría ser lo único que se interponga entre un atacante y tu contraseña.

  • Utilice diferentes nombres de usuario.

    Es fácil, y probablemente sea su preferencia, utilizar una contraseña fuerte y el mismo nombre de usuario en los distintos sistemas que frecuenta. Si un atacante está tratando de hackear su cuenta, las contraseñas asociadas a ese nombre de usuario, aunque se hayan filtrado hace mucho tiempo, son el lugar por donde empezar.

    Imagina que eres un hacker que intenta atacar la cuenta del usuario minombredeusuario y sabes que este nombre de usuario ha utilizado contraseñas antiguas como ¡FelizNavidad1!, ¡FelizNavidad2! y ¡FelizNavidad3! No hace falta ser un genio para encontrar el patrón aquí. Está claro que estas contraseñas no son elecciones acertadas, pero si están asociadas a tres nombres de usuario muy diferentes, no habría forma de conectarlas con minombredeusuario. Por lo tanto, si tu sistema te permite elegir tu nombre de usuario, sé creativo.

  • Guarda un cuaderno en una caja fuerte.

    Puedes comprar una caja fuerte para guardar en tu casa por menos de 100 euros y merece la pena la inversión. Si vas a seguir las reglas y tienes diferentes frases para diferentes sistemas, vas a olvidarlas. La idea de que nunca debemos escribir una contraseña sólo es válida si estamos guardando el registro en un lugar inseguro. Y NO, tu casa no es un lugar seguro. No quieres que te roben en tu casa y, encima, tener que preocuparte por la seguridad de tus sistemas online. ¿Cuándo es Buena una Contraseña?, Guarda un registro en tu caja fuerte. Te ayudará a llevar la cuenta de tus nombres de usuario y contraseñas y te será útil más adelante.

Manténgase a salvo

Las contraseñas funcionan mejor si se combinan con un factor diferente: ya sea algo que el usuario tiene (un smartphone, una tarjeta de acceso, etc.), o algo que el usuario sea (autenticación biométrica).

Vídeo: Chema Alonso: ‘Las contraseñas no son nada seguras, hay que erradicarlas’ – ¿Cuándo es Buena una Contraseña?

¿Dónde hacer un Máster en Ciberseguridad Online?

 

 

 

 

No es probable Extremadamente probable

¡Si te ha gustado la publicación “¿Cuándo es Buena una Contraseña?“, te animamos a estudiar un Master en Ciberseguridad Online para convertirte en un verdadero experto de la seguridad en internet!

Inicio/Portfolio/Seguridad/¿Cuándo es Buena una Contraseña? | Máster en Ciberseguridad Online