Con motivo de mi trabajo, estoy acostumbrado a que por mis manos pasen montones de contraseñas.
Llevaba ya días, semanas, preocupado por la inseguridad de algunas que, con tanto empeño, algunos creen que son lo suficientemente seguras para proteger el acceso a servicios, a veces, de vital importancia.
Para colmo me he enterado hoy de que ha sido el día de la seguridad en Internet, así que aprovecho la ocasión para hacer mi pequeño análisis y consejos para poder lidiar con éxito en un cibermundo en el que cada vez hay más y más sitios donde necesitaremos un user y password para identificarnos.

Para las pruebas de fuerza de las contraseñas voy a usar una web que es mi favorita: How Secure Is My Password? (¿Cuanto segura es mi contraseña?).  Sirve perfectamente para hacernos a la idea de lo vulnerables que podemos ser.

Comienzo mi análisis planteando una contraseña de lo más habitual, mezclamos letras, con alguna mayúscula y números.  Y pensamos que como nos piden mínimo 8 caracteres, con esos estaremos a salvo.  Demasiado sencillo como os mostraré a continuación.

Contraseña de ejemplo: hulk13ZA

En 15 horas aproximadamente tendrían nuestra contraseña, tremendamente sencillo.

Otro ejemplo bastante habitual, letras y números.  Pero vamos de sobrados y le metemos 10 caracteres, que si ya nos cuesta recordar esto a nosotros, cómo va a ser capaz ningún ordenador de llegar hasta nuestra preciada contraseña, larga y segura.

Contraseña de ejemplo: teruel1955

10 días de cálculos y a cascarla.  Más te vale no haberte enemistado con nadie con ganas de fastidiarte o que tu email caiga en manos de alguien con unos días libres.

Siguiendo un poco con el ejemplo anterior, alargamos la contraseña un poco más, hasta 12 caracteres, letras minúsculas y números.  Tenemos un motivo en la cabeza que nos hará acordarnos siempre de esta combinación.

Contraseña de ejemplo: zaragoza2016

Aparentemente estamos bastante a salvo, 37 años intentando crackear nuestra contraseña es mucho tiempo.  Pero no cantemos victoria tan rápido, el fondo de la web del ejemplo no se ha puesto verde y nos avisan de que estamos usando algo demasiado común...  Estamos usando un patrón de letras y números, y para colmo usamos una palabra que puede aparecer en cualquier diccionario.

Aprovecho para hacer una pausa en mis pruebas y explicar un poco el porque de que esto no sea nada seguro. No me voy a ir por las ramas ni a poner con tecnicismos, a ver si así cualquier mortal es capaz de entender un poquito todo esto.

Generalmente los ataques por fuerza bruta para descifrar contraseñas no se hacen con usando todas la letras (mayúsculas y minúsculas son distinta letra), números y caracteres especiales (como una punto o una exclamación).
Para facilitar las cosas y acelerar el proceso se suele intentar acotar las posibles combinaciones, de esta forma suele hacerse uso de diccionarios con palabras comunes y desde ahí vas complicando las posibilidades añadiendo números, mayúsculas y poco a poco vas sumando complejidad a la palabra.
Esta complejidad podríamos decir que iría directamente ligada al interés que tenga nuestra preciada contraseña.  Seguramente tu correo en hotmail estará a buen recaudo con la contraseña zaragoza2016, son 37 años probando a lo bruto.  Pero como alguien vaya a buscarte, primero probará con el diccionario y los números y esos 37 años se podrían quedar en apenas unos días.

Aprovecho el momento para disculparme ante todos los expertos en seguridad que algún día puedan leer mi breve y simple explicación anterior.

Sigo con las pruebas. Voy a plantearos algo que a algunos les parece lo más complejo en fortaleza de una contraseña, usamos caracteres, mayúsculas, símbolos e incluso el € que es un carácter bastante especial (no se encuentra en todos los teclados) para darle algo más de robustez a nuestra contraseña.  Con semejante galimatías nuestra cabeza no será capaz de ir más allá de los 8 caracteres, así que pensamos que nuestra contraseña mola y es muy segura.

Contraseña de ejemplo: Ao12;€o!

Como se puede comprobar serían 20 días nada más los que necesitaríamos para descifrar esa contraseña mediante fuerza bruta.

Y llegados a este punto nos desesperamos... ¿o no?

Hay una solución sencilla a todo esto, vamos a pensar en una contraseña fácil de recordar, pero que sea larga.  Usaré unicornios.  Unos cuantos, 1900.  Y por aquí se dice mucho co.
Ahora le añadiré algo de complejidad, pero fácil de recordar.  El objetivo es meter letras mayúsculas, minúsculas, números y caracteres especiales. Retocamos un poco la frasecita que tenemos en la mente 1900 unicornios co y nos queda el siguiente ejemplo.  Pongo un punto en el número para separar los millares, añado espacios entre las palabras, pongo los unicornios empezando en mayúscula y el co! aquí lo marcamos como se debe, con una buena exclamación al final.

Contraseña de ejemplo: 1.900 Unicornios co!

Una contraseña que costaría tal cantidad de años descifrar usando la fuerza bruta, que ni se me ocurre con que se puede comparar el tiempo que miden los sextillones de años.

Y hasta aquí llegamos con nuestro cometido.  Nuestra contraseña es bastante segura, y fácil de recordar.

Es el momento de añadir algunos consejos a todo esto (y me dejo unos cuantos en el tintero):
- No uséis vuestras propias contraseñas en la web que os he puesto para verificar su fortaleza, no aseguro que hay detrás de esa página y podrían estar almacenando lo que ahí probamos (teoría de conspiración).
- Usar siempre que sea posible combinaciones de letras en mayúsculas y minúsculas, números y caracteres especiales como espacios, puntos, símbolos (%,$,€,@...).
- Usar lo anterior para montar una frase que os resulte sencillo recordar (lo de los unicornios del ejemplo no se me olvidará jamás).
- Usar contraseñas distintas en cada servicio, o al menos en los que os parezcan más importantes de tener a salvo (tu cuenta de correo personal, PayPal, facebook, etc.).
- Si tenéis muchas contraseñas que recordar, podéis hacer uso de algún programa gestor de contraseñas.

Como esta página se me ha alargado bastante más de lo que esperaba, os recomendaré y explicaré en un futuro artículo el gestor de contraseñas que uso yo personalmente.

Espero vuestros comentarios, correcciones, aportaciones, retweets y compartir por facebook, etc., etc.