¿Realmente tenemos que forzarnos a crear una contraseña complicada?

Sí, es importante usar contraseñas seguras y diferentes para cada una de tus cuentas. No es necesario poner números y caracteres especiales en él para nada.

Todo el mundo te dice: necesitas una contraseña "segura". Tiene que ser larga, tiene que contener caracteres especiales, letras mayúsculas y números. Algunos sitios ni siquiera te dan la opción de escapar de estos requisitos.

Te puede interesar: Recomendaciones para mantenerse seguro en internet

Sin embargo, estarías bien: al hacer tu contraseña básica más compleja, y nunca la recuerdes. ¿Techn1c0g33k? ¿Techn1c0-G33k? t3chn1cog33k? ¿Cuál era mi contraseña? Para empezar, siga nuestro tutorial para crear una frase de contraseña simple y eficaz.

Entonces tienes que entender por qué te obligas (y te ves obligado) a usar contraseñas seguras. Piensa en tu contraseña como la cerradura de la puerta principal de tu casa. Si la cerradura es demasiado básica, un ladrón no tendrá ningún problema en usar un ganchillo o forjar una llave en el tamaño correcto. Por otro lado, si es única y compleja, tendrá que encontrar otra manera, mucho menos discreta, de abrir la puerta. En Internet, hay excelentes ganchillos de contraseñas, y necesitas protegerse de ellos.

POR QUÉ TU CONTRASEÑA DEBERÍA SER IMPOSIBLE DE ADIVINAR

Cuando un criminal va a buscar la contraseña de una de sus cuentas, pasará por varios pasos.

Adivinando lo obvio

Primero, la evidencia. El hacker intentará las contraseñas más simples como "123456", o su fecha de nacimiento. A veces, no hay necesidad de utilizar métodos complejos, sólo apelar a su intuición (y la pereza del objetivo). Así es como un investigador holandés afirma haber adivinado la contraseña de Twitter de Donald Trump, pocos días antes de las elecciones presidenciales de 2020. Según él, la palabra en el relato @realDonaldTrump ampliamente utilizada por el presidente saliente era "maga2020!" Aunque tenía números, letras y un carácter especial, el investigador simplemente... Conjeturado. Sin embargo, si hubiera tenido una letra mayúscula sobre la "G", el investigador seguramente se habría perdido.

Ataque de fuerza bruta

Una de las técnicas más utilizadas por los hackers es el ataque de fuerza bruta: implica probar todas las combinaciones de contraseñas posibles, hasta que encuentres la correcta. Es particularmente eficaz si el atacante conoce, de una manera u otra, la longitud de la contraseña. Aquí es donde el uso de mayúsculas y caracteres especiales se vuelve muy interesante. Tomemos un ejemplo:

  • Greis creó una contraseña de 6 dígitos, el mínimo solicitado por el sitio. Si utiliza sólo letras diminutas entre las 26 del alfabeto, entonces un hacker tendrá que probar 26-6 (es decir, 26x26x26x26x26x26x26), o más de 300 millones de combinaciones para asegurarse de encontrar la contraseña. Este número parece gigantesco, pero con las capacidades computacionales actuales, es cuestión de unos minutos como máximo. Ahora añade mayúsculas a su contraseña, y duplicas el número de posibilidades para cada combinación: el hacker tendrá que probar 52-6, o más de 19 mil millones de combinaciones, para estar seguro de encontrar tu contraseña. Extender la contraseña por 4 caracteres, y el criminal tendrá que probar 52-10, o miles de millones de combinaciones, para asegurarse de que tienen la contraseña.

En otras palabras, cuanto más larga sea una contraseña, mayor será el número de posibilidades para cada personaje y menos efectivo será el ataque de fuerza bruta. Después de un cierto umbral, el cálculo será demasiado largo, y el ataque ni siquiera será posible.

Para contrarrestar este tipo de ataque, la mayoría de los sitios bloquean los intentos de inicio de sesión después de una serie de errores. Pero hay escenarios en los que esta protección se puede omitir debido a errores o vulnerabilidades.

El ataque del diccionario

Dado que el ataque con fuerza bruta puede convertirse rápidamente en laborioso, los hackers utilizan otra técnica más astuta: el ataque al diccionario. Los diccionarios de contraseñas son listas de las contraseñas más utilizadas, clasificadas según ciertos criterios (longitud, país de usuario, requisitos de sitio, etc.). Hay listas gratuitas, como la de Have I Been Pwned, pero los mejores hackers crean sus propias listas personalizadas a partir de las filtraciones de datos que han recopilado.

Así que en lugar de probar miles de millones de combinaciones para iniciar sesión en la cuenta, el atacante sólo probará las pocas cientos de miles de contraseñas más utilizadas para este caso en particular. A pesar de un pequeño número de intentos, cubrirá, estadísticamente, una gran parte de todas las contraseñas utilizadas. En estas listas, encontramos contraseñas largas, que utilizan muchos caracteres, pero que no son únicas, porque son demasiado obvias en su construcción. Si tienes una contraseña lo suficientemente fuerte y, por lo tanto, única, ni siquiera debería aparecer en la lista y estarás fuera del alcance del ataque. Como suele ocurrir en seguridad, los atacantes preferirán dirigirse a los objetivos más vulnerables que atacar las cuentas mejor protegidas.

Al igual que el ataque de fuerza bruta, el ataque del diccionario se puede contrarrestar limitando el número de intentos de conexión al sitio... siempre que esta protección funcione correctamente.

INCLUSO UNA CONTRASEÑA SEGURA Y ÚNICA TIENE SUS LÍMITES

Tener una contraseña segura, es decir, una excelente cerradura en la puerta de su cuenta, por desgracia no es suficiente en todas las situaciones.

  • Su contraseña puede verse comprometida. Algunas empresas no protegen sus servidores correctamente y su contraseña puede ser robada. Es como si a tu cerrajero le robaran un duplicado de tus llaves. O podría quedar atrapado por un phishing, y dar su contraseña usted mismo a un criminal. Para contrarrestar estos posibles errores, la mayoría de los sitios ofrecen activar la autenticación dual. Esta protección consiste en colocar una segunda cerradura en su cuenta, de modo que incluso si un hacker consigue una manera de abrir la cerradura principal, todavía no será capaz de abrir la puerta a su cuenta.
  • Reutiliza la contraseña en otro sitio. Incluso si esta contraseña es fuerte, aumenta el riesgo de fugas con cada reutilización. Esto hace que sea más fácil para los criminales trabajar: sólo tienen una cerradura para enganchar para abrir todas las puertas.

Publicar un comentario

0 Comentarios