Sobre claves y otras yerbas


El presente texto tratará los temas concernientes a la seguridad de las claves elegidas por los usuarios, explicará cómo generar y recordar claves seguras y otros temas similares. Estará orientado a todos aquellos que usen 123456 como clave, o a aquellos que siempre usan la misma clave para todo. Solo pretendo informar sobre la manera de evitar ese tipo de claves, y no de los riesgos que el empleo de las mismas conlleva.


Generando claves seguras

Probablemente jamás se detuvo a pensar cómo generar una clave segura. Partiendo del principio, quizá no sepa exactamente qué es una clave segura; pues bien, una clave segura es una clave que no puede ser adivinada ni puede ser violada mediante el empleo de computadoras.

No hay un estándar que indique el nivel de seguridad de una u otra clave, pero sí se puede decir que una clave segura (mínimamente segura) tiene 10 caracteres y emplea tanto mayúsculas como minúsculas, números y símbolos. Quizá piense que el nombre de su mascota con la primera letra en mayúscula es una clave segura; quizá piense que su número telefónico con un guión en el medio también lo sea. La verdad es que no; ese tipo de claves – aunque de mejor ‘calidad’ que 123456 – tampoco son seguras. Ejemplos de claves seguras podrían ser estos:
• fa5r424sdfIOU
• Jkvb%21(ms.e
• ¿8665tgb1as3-._.ew

Ahora bien, deténgase un momento y trate de memorizar alguna de ellas. ¿Le resulta imposible? No se preocupe, no está demente; verdaderamente resulta imposible – o muy difícil – memorizar una clave de ese estilo. Además, el intento de hacerlo resulta peligroso, ya que basta con que olvidemos un punto, una letra o una mayúscula para que no podamos acceder más a la información protegida.

Hay un método que todos los expertos en seguridad (no, yo no soy ningún experto) recomiendan para generar claves seguras, y básicamente consta de elegir la primera letra de cada palabra de una frase determinada y generar la contraseña de esa manera, aplicando luego ciertas permutaciones e incorporaciones de números y símbolos.

Expliquemos con un ejemplo: partamos de una frase cualquiera, en este momento se me ocurre la siguiente: Mi perro Fido fue un buen amigo. Apliquemos entonces el método: MpFfuba. ¡Tarán! Apareció ante nosotros una clave con buen nivel de seguridad. Claro, aún no alcanza pero es un gran comienzo. Hagamos otra pausa. ¿No les resulta más fácil recordar una frase como aquella, que recordar una serie de caracteres sin sentido? Y con algo tan simple como esa frase obtuvimos una buena clave.

Pero como mencioné, aún no es suficiente. La frase me dio mayúsculas y minúsculas, pero le faltan números y símbolos. El truco para incorporarlos es reemplazar letras por números o símbolos que se les parezcan, como podría ser una ‘a’ por un ‘4’ o un ‘@’, o una ‘o’ por un ‘0’ y así. También podríamos reemplazar una letra por un número cuyo nombre comience con esa letra, como ser una ‘s’ por un ‘6’, ya que ‘seis’ comienza con ‘s’. Debemos generar nuestras propias reglas nemotécnicas, no hay nada establecido ni estandarizado. Es cuestión de usar la imaginación.

Volviendo a nuestra frase, reemplacemos la ‘a’ por un ‘4’ y la ‘p’ por un ‘6’; esta elección es ‘a sentimiento’ – como solía decir un profesor mío – es decir, completamente personal. Apliquemos entonces las modificaciones, y nuestra clave quedaría así: M6Ffub4. Ya va tomando forma, mejorando en cuanto a calidad; y aún sigue siendo fácil de recordar, ya que la frase es muy sencilla. Siempre se recomienda emplear frases con las cuales estemos familiarizados, ya sea porque nos guste o porque la hayamos memorizado para un examen de historia, los motivos no importan realmente.

Bien, ahora solo falta incorporar símbolos. En este caso, nuestra frase no incluía comas ni signos de admiración o de pregunta, así que deberemos incorporarle algún símbolo ‘manualmente’. Normalmente no se recomienda colocar un símbolo sin motivo alguno ya que dificulta recordarlo. Un ejemplo de esto sería ponerle una coma en el medio: M6F,fub4. Si bien podemos hacerlo, nos será más difícil de recordar ya que no contamos con ninguna regla nemotécnica para hacerlo – contrario al caso de los números donde los elegimos por su parecido con las letras –.

Quizá podríamos inventarnos una regla para recordar la posición de la coma, y la misma podría ser que, como tenemos dos ‘f’, una mayúscula y otra minúscula, empleamos la coma para separarlas. Ahora sí, tenemos un buen sustento para emplear la coma en medio de la frase, ya que ahora tiene un fundamento, un motivo, una regla nemotécnica. También podríamos, por ejemplo, abrir (y quizá también cerrar) la frase con comillas dobles, con paréntesis o corchetes. Hay que usar la imaginación, no hay reglas escritas, solo trucos. Otra buena idea sería cerrar nuestra frase con un símbolo, como un punto o cualquiera de los ya nombrados. En este caso, como la clave es corta y no queremos hacerla más difícil, dejémosla como está.

Finalmente, nuestra clave segura concluyó así: M6F,fub4. Posee ocho caracteres, letras mayúsculas y minúsculas, símbolos y números, lo que nos da un nivel aceptable de seguridad, y con gran facilidad de recordar.

¿Pero que pasa si el FBI o la SIDE quieren leer mis mails? Pues bueno, ese tipo de claves no te alcanzarán. De hecho, si de leer mails se trata, ningún tipo de clave alcanzará ya que simplemente deben “pedirle permiso” al servidor y listo, ya tienen acceso total. En ese caso deberías encriptarlos en tu PC, pero a eso no va este texto.

El método mencionado admite infinidad de variaciones, como por ejemplo tomar una letra de cada palabra acorde a la posición de dicha palabra en la frase, partiendo por la primera letra. Aplicándolo a nuestra frase resultaría: Medeuui. ¿Descubriste cómo generé la clave? Fue así: tomé la primera letra de la primera palabra, la segunda letra de la segunda palabra, la tercera letra de la tercera palabra; luego la cuarta palabra solo tiene tres letras, por lo que volví a empezar tomando la primera letra, siguiendo con la segunda letra de la quinta palabra y así sucesivamente. Aplicando números y símbolos, podría quedarnos así: (M3d3uu!]. Esta modificación del método puede parecer más difícil de recordar, pero depende de cada uno. Usen la imaginación para hallar uno que les sienta bien.


Generando claves aleatorias y sobre password’s managers

Las claves aleatorias son generadas por complicados algoritmos matemáticos, embutidos en programas de PC. En verdad, cuando uno dice ‘aleatorio’ quiere decir ‘pseudo-aleatorio’, porque ningún algoritmo es 100% azar. Tecnicismos aparte, ejemplos de claves aleatorias son las siguientes:
• 7W__Epre
• navatuZaxu9489W
• y$4+Su&Tuk
• 8hejecrejeth@BAZ7dew5frAtu2puBruv4kaFudrU8aheb7UdewradeQehuspa3e

Estas claves fueron generadas por un programa de computadora. Son similares a las escritas al comienzo de este texto, con la excepción de que aquellas no eran de ‘tan buena calidad’, ya que simplemente puse mis manos en el teclado y presione las teclas. Este evento provoca que ciertos caracteres tengan más o menos probabilidades de salir. Tema aparte, lo cierto es que existen determinados dispositivos hardware que ayudan a mejorar el azar de los algoritmos. Nosotros no necesitamos de tanta calidad, probablemente tampoco necesitemos una clave al azar de este tipo, y nos conformemos con las generadas por el método ya explicado.

Las claves generadas al azar son muy seguras, pero al ser tan difíciles de recordar, los usuarios terminan anotándolas en un papelito pegado al monitor, y esto no sirve de nada. Anotar claves en papelitos o archivos es totalmente inseguro y no recomendable. Por eso, el secreto aquí es anotar las claves en un programa de PC, genéricamente denominado ‘llavero’ o ‘password manager’ (organizador de claves). Este tipo de programa genera un archivo encriptado bajo una clave única que nosotros colocamos, y nos permite guardar así todas nuestras claves. De esta manera, tenemos anotada de manera segura las inmemorizables claves aleatorias bajo una única clave, que por supuesto deberá contar con un buen nivel de seguridad, pero que tranquilamente puede estar generada por el método ya explicado. También nos sirve para cuando nos obligan a aprendernos claves en nuestro trabajo, por ejemplo. Podemos guardarlas de manera segura bajo nuestra propia clave única.


Formateando claves

El formateo de claves es un método que yo idee para solventar la necesidad del empleo de muchas claves, y todas diferentes. Sumemos: cuentas de email, Facebook, fotolog, foros, blogs, etc. Fácilmente notaremos que debemos recordar al menos unas 20 claves diferentes. Ante esto, la mayoría de la gente emplea una única clave, que es la peor solución al problema, en cuanto hablemos de seguridad. Una buena solución es simplemente generar claves diferentes – al azar o por el método de la frase – y luego emplear un password manager. Esa solución es muy buena, quizá la mejor, pero eventualmente se torna poco práctica ya que es muy molesto tener que acceder a un programa cada vez que se quiera recordar una clave, sin importar lo veloz que sea nuestra PC. Para ello se me ocurrió el formateo de claves.

El mismo consta en emplear un determinado formato para todas las claves de uso diario o común, que no exijan un elevado nivel de seguridad. Como todos los métodos, es cuestión de usar la imaginación para ingeniárnosla. Hay infinidad de formatos que se pueden tomar, como ejemplo usaremos el siguiente formato: Scy0y[textoID]. Como ‘tarea’ mental, les dejo determinar el por qué de la elección de ese texto fijo; una pista: tiene que ver con este artículo. Bien, en este caso, nuestro formato consta de dos partes, un texto fijo (Scy0y) y un texto identificador que representa lo que se quiera proteger, como ser una cuenta de email o una clave para un foro, etc.

Supongamos entonces que con ese formato elegido quiero generar la clave de mi cuenta de Yahoo. Mi clave podría ser Scy0y[yahoo] o también Scy0y[YAHOO] o cualquier otra forma de escribir o representar el nombre de Yahoo, que es mi texto identificatorio.

Aplicando lo mismo para Facebook, mi clave podría ser Scy0y[facebook] o Scy0y[FB] o cualquier combinación que desee y me sea fácil de recordar. De esta manera, aplicando el formato a cualquier clave se puede obtener infinidad de estas y aún así recordarlas todas; o quizá no recordarlas, pero al conocer el método y el formato, podemos fácilmente adivinarla. ¿Cómo era mi clave de Yahoo? No lo recuerdo, pero podría ser Scy0y[YAHOO]. No funciona, quizá era Scy0y[yahoo]. Sí, así era. Con este método resulta sencillo encontrar un formato con el cual nos sintamos a gusto y nos resulte sencillo de recordar.

De más está decir que un experto en seguridad diría que esto no sirve ya que basta determinar cómo es el formato para adivinar fácilmente todas nuestras claves. Si bien esto es cierto, lo mismo ocurriría si alguien descubre nuestra clave del password manager; o peor aún, si usásemos solo una clave para todo. El método nos provee infinidad de claves diferentes y fácilmente memorizables, aunque las mismas no sean de altísima seguridad.


Unidades virtuales seguras

Si bien este tema no está directamente relacionado con las claves, podríamos admitirlo como ‘otras yerbas’, mencionadas por el título del artículo.
Las unidades virtuales seguras son discos rígidos virtuales que cumplen la misma función que los discos rígidos reales, a excepción de que todo su contenido permanece encriptado el 100% del tiempo, y todo nuevo contenido que ingrese en el mismo se encripta de manera instantánea y en tiempo real.

Anteriormente en este texto mencioné la palabra ‘encriptación’, pero ¿qué significa eso realmente? No ahondaré mucho en tecnicismos porque este texto no lo abarca ni es su finalidad, pero básicamente encriptación significa esconder de alguna manera los datos de forma segura, bajo una clave determinada sin la cual el acceso a los mismos es imposible. Una vez más, se trata de complejísimos algoritmos matemáticos. “El cifrado – o encriptación, palabra derivada del inglés ‘encrypted’ – es el proceso de convertir el texto plano en un galimatías ilegible, denominado texto cifrado o criptograma. Por lo general, la aplicación concreta del algoritmo de cifrado (también llamado cifra) se basa en la existencia de una clave: información secreta que adapta el algoritmo de cifrado para cada uso distinto.” (Criptografía, Wikipedia)

Volviendo a lo que nos compete, las unidades virtuales seguras son ideales para almacenar documentos sensibles (léase sensibles con respecto a seguridad informática) con los cuales haya que trabajar diriamente. Cualquier documento o archivo puede ser encriptado fácilmente, con el software adecuado, pero este proceso demora tiempo, dependiendo del algoritmo empleado y de la extensión o ‘peso’ del archivo o documento. Si se requiere trabajar diariamente con el mismo, la pérdida de tiempo se vuelve sustancial, además de la incomodidad de tener que pasar por dicho proceso cada vez. Un buen ejemplo podría ser el código fuente de un programa que estemos haciendo, que requiere de ciertas medidas de seguridad para que nadie nos lo robe, pero debemos trabajar en él diariamente. O un informe o un artículo que estemos redactando.

En esos casos, las unidades virtuales seguras nos vienen como anillo al dedo. Uno de los programas más famosos que encripta archivos y permite crear unidades virtuales seguras es el PGP, que además tiene la ventaja de ser gratuito – posee una versión paga también –. Otro programa, que yo uso mucho, es el Steganos Privacy Suite que incluye, además de las unidades virtuales seguras, un password manager y muchas cosas más, pero no es gratuito y solo viene en inglés o alemán.

Sin importar qué software utilicemos, las unidades seguras nos dan un muy elevado nivel de seguridad, ya que nuestra información siempre se encuentra encriptada. Para abrirlas y acceder a la información hay que colocar correctamente la clave. Entonces aparecerá el ícono en Mi PC como si hubiéramos colocado un pendrive o cualquier disco extraíble. Al cerrarla, la información se vuelve ilegible hasta no volver a abrirla.


Conclusión

Para cerrar este artículo recalcaré la importancia de usar claves seguras como las mostradas, nunca repetir una clave y jamás anotarlas en un papel o en un archivo, a excepción de un passsword manager.
Cuando trabajemos con archivos sensibles, podremos optar por confiar en las unidades virtuales seguras.
Les dejo a continuación un link a una página con tablas y datos sobre las velocidades de recuperación de claves (en inglés): http://www.lockdown.co.uk/?pg=combi&s=articles
Espero que les haya gustado el artículo, que les haya servido o al menos que les haya parecido interesante. Recibo de buen grado críticas u opiniones.