Como crear una contraseña segura

0

Es muy común hoy en día y lo hacemos sin pensar, de forma automática: ya estemos creando una contraseña segura para el trabajo o para una Apple ID, sabemos (deberíamos) que esta debe tener al menos “x” caracteres, al menos un número, un símbolo y no tratarse de nuestro nombre de pila, apellido, etc. Estos requerimientos los vemos a diario. ¿Sabes realmente si tu contraseña es segura?

Como crear una contraseña segura rápidamente

Después de navegar mucho por la red hemos llegado a la conclusión de lo variados que resultan los requisitos en función del sitio donde nos registramos.

Cómo crear una contraseña segura

Algunas webs nos piden contraseñas de no menos de 3 caracteres mientras otras nos fuerzan a un mínimo de 8. Algunas piden símbolos, otras no. Algunas de ellas bloquean nuestro nombre o anteriores contraseñas para su uso, otras no. Y uno se pregunta: ¿cuál es la contraseña definitiva?

Investigando un poco al respecto, podemos destacar dos cosas relacionadas con el “craqueo” de una password: la primera es la fortaleza de la contraseña. La segunda a tener en cuenta es la fortaleza del cifrado que hace el “hash” (segmenta) la contraseña cuando esta es almacenada.

Una cosa está clara, el concepto de seguridad de una contraseña y su cifrado es puramente matemático, existiendo numerosos estudios al respecto. Uno de los mejores que he leído es Este de 2011 escrito por Carnegie-Mellon.

Comprobar la seguridad de la contraseña

Antes de entrar en lo que significa una contraseña segura, vemos como respondería nuestra contraseña a un craqueo ficticio. Para ello emplearemos la útil web PassFault:

Comprobación de fortaleza de contraseñas con PassFault

Aunque esté en inglés es muy sencillo. Bastará con escribir la contraseña en el campo de texto y pulsar Analize. Tiene 2 opciones que están escondidas por defecto, las mostraremos presionando Show Options. Veamos que significan. 

Opciones de PassFault. Como crear una contraseña segura

Realizando una primera prueba sobre una contraseña considerada “segura” comprobamos que podría ser descifrada en ¡1 día! 

  • Cracking hardware se refiere por defecto a un atacante que cuenta con un presupuesto similar en tecnología para descifrar contraseñas. También nos dan la opción de escoger un presupuesto de 180000 dólares, lo cual no está al alcance de cualquiera.
  • El desplegable Password Protection nos permite escoger el tipo de encriptado de nuestra contraseña. El sistema de Microsoft ofrece la más vulnerable, eso no es una sorpresa. Después tenemos Punto de Acceso Wireless WPA, UNIX SHA1, Blowfish y por último 100 rondas de SHA1.

Tiempo necesario para descifrar la contraseña insegura

¿Qué hace segura a una contraseña?

Es un resultado realmente alarmante. Después, escogiendo entre métodos de cifrado más seguros (UNIX Blowfish y 100 rondas de SHA1) comprobamos satisfechos como el tiempo aumentaba: 1 año y 7 meses para Blowfish y 2 meses y 2 días bajo 100 pasadas de SHA1. Sin embargo, escogiendo el atacante con medios por valor de 180000$ el tiempo bajaba hasta 11 y 3 días respectivamente. Lo bueno de esta herramienta es que podemos conseguir algo mucho más seguro sin tener que pensar demasiado. Veamos que podemos hacer con una contraseña de 9 caracteres y un símbolo.

Aquí es donde el estudio que mencionamos al comienzo arroja algo de luz sobre el problema. Básicamente, su conclusión es que a mayor longitud de contraseña, más seguridad. Esto no quiere decir necesariamente que una contraseña más larga tenga que estar plagada de símbolos o números, simplemente ha de tener cierta longitud. Con 16 caracteres sería más que suficiente, siempre y cuando no empleemos palabras del diccionario únicamente.

Para comprobarlo, en la web introdujimos una frase de 16 caracteres que fuese fácil de recordar: “quieromuchoamama“. Después seleccionamos el atacante con un presupuesto más elevado (180000) y escogimos el método de cifrado más débil: Windows. Resultado: 

Resultados con presupuesto de 180000$

¡1 mes y 29 días! Esto es algo mucho más recomendable. Entonces, aparentemente, si tu contraseña es más corta, necesitarás incluir más símbolos, letras aleatorias o números para hacerla segura. Si es larga, como en el ejemplo, no será necesario preocuparse por esos detalles. Con una contraseña larga, podemos emplear palabras de diccionario sin que deje de ser segura.

Obviamente una contraseña como “holaholaholahola” seguirá teniendo 16 caracteres, pero su seguridad caerá de forma importante: 

No debemos emplear palabras muy identificablesEl problema aquí está claro, estamos repitiendo 4 veces una palabra que se puede encontrar en el diccionario. 

Ahora veamos que sucede sin colocamos delante de nuestra frase “quieromuchoamama” un símbolo de exclamación “¡” y un número al final (1):

Contraseña de alta seguridad. Como crear una contraseña segura

Recordad la importancia que puede llegar a tener una sola frase en nuestra vida, os animamos a probar esta herramienta. ¿Conocéis algún mecanismo similar o mejor para crear contraseñas seguras?

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR