Info

¿Contraseñas seguras? : Pasá te explico.



Hoy en día, el método más habitual para acceder a la información almacenada en nuestros ordenadores, correo electrónico y otros servicios es mediante contraseña. La contraseña es una información secreta que se nos solicita para acceder a algún tipo de recurso, y que solo debe conocer el propietario del mismo.

Es necesario invertir un poco de tiempo y esfuerzo en generar una contraseña segura. Si un usuario malintencionado consiguiera apoderarse de una contraseña podría acceder a información personal, violando la privacidad, o incluso tener acceso a servicios financieros.



Las contraseñas deben ser secretas

Aunque parezca una tontería, la primera recomendación para que nuestra contraseña sea segura es mantenerla en secreto. Una clave compartida por dos o más personas no es segura.

Es muy importante transmitir esta recomendación a los menores, acostumbrados a compartir las claves con amigos o parejas. Si esa relación se rompe o se produce una enemistad, la otra persona tendrá acceso a toda su información.

Las contraseñas deben ser robustas

Siempre debemos elegir una contraseña robusta: longitud de como mínimo ocho caracteres, que combine mayúsculas, minúsculas, números y símbolos.

No debemos utilizar palabras sencillas en cualquier idioma, nombres propios, lugares, combinaciones excesivamente cortas, fechas de nacimiento, etc. Esto incluye claves formadas únicamente a partir de la concatenación de varios elementos. Por ejemplo, “Juan1985”.



Uno de los problemas de utilizar claves demasiado simples es que existen programas diseñados para probar millones de contraseñas por minuto. La tabla siguiente muestra el tiempo que tarda un programa de este tipo en averiguar una contraseña en función de su longitud y los caracteres que utilicemos.



Las contraseñas deben ser únicas

Debemos utilizar claves diferentes en servicios diferentes, dado que el robo de la clave en uno de ellos permitiría el acceso a todos.

En ocasiones, recordar todas las contraseñas que utilizamos (correo electrónico, redes sociales, mensajería instantánea, foros, etc.) puede resultar complicado. Para facilitar la tarea, podemos utilizar algunas sencillas reglas:

Cambiar las vocales por números. Por ejemplo:

Mi familia es genial → M3 f1m3l31 2s g2n31l

Utilizar reglas mnemotécnicas.

Por ejemplo, elegir la primera letra de cada una de las palabras de una frase que sea fácil de recordar para nosotros:
Con 10 cañones por banda… → C10cpb…

Para hacer más sencillo el trabajo, podemos utilizar claves basadas en un mismo patrón, introduciendo ligeras variaciones para cada servicio. Por ejemplo, tomando como base la contraseña anterior, añadir al final la última letra del servicio utilizado en mayúscula:

Facebook → C10cpb…K
Twitter → C10cpb…R
Gmail → C10cpb…L

Dependiendo del servicio y de su importancia podemos utilizar claves más robustas o menos, para facilitar su memorización. Para los servicios más sensibles, siempre podemos utilizar un generador aleatorio de contraseñas. La mayoría de los gestores de contraseñas ofrecen esta funcionalidad.

Lo mejor es utilizar estas reglas como inspiración para crear contraseñas personales y secretas.

Otra razón para no utilizar la misma clave en diferentes servicios es el hecho de que algunos de ellos no almacenan nuestra contraseña cifrada. En este caso, involuntariamente la estamos compartiendo con estos servicios, por lo que debemos poner una contraseña que no se parezca a ninguna de las otras que utilizamos.

Podemos identificar estos servicios porque al darnos de alta o recuperar la contraseña nos indican cuál era nuestra clave, en lugar de proporcionar un enlace para cambiarla.

Cuidado con las preguntas de seguridad

Algunos servicios ofrecen la opción de utilizar preguntas de seguridad para que, en caso de olvido, podamos recuperar la contraseña.

Sin embargo, muchas de estas preguntas son simples y cualquier persona que nos conozca mínimamente o que disponga de acceso a nuestras redes sociales podría averiguar la respuesta. Por ejemplo: ¿Cómo se llama tu mascota?

Por ello, no debemos utilizar las preguntas de seguridad con respuestas obvias. Podemos facilitar una respuesta compleja o bien una respuesta falsa y sólo conocida por nosotros.

¿Cómo se mide la fortaleza de una contraseña?

Entropia de la constraseña

Es un hecho que una clave de acceso es más segura a medida que su "entropía" es mayor. Al hablar de entropía hacemos mención a un término físico expresado en las leyes de la termodinámica que para efectos de este caso podemos entender como "desorden". Es cierto entonces que una clave de acceso mientras más "desordenada" es, también es más segura. Mientras menos podamos asociarla al concepto de "orden" como por ejemplo a una palabra, a una fecha, a una secuencia numérica o a cualquier otro tipo de cadena de caracteres "ordenada", más segura será. Pero es también un hecho que mientras más entrópica o desordenada sea la clave de acceso, más difícil será de recordar.

Como calcular la entropía en una Contraseña



La entropía de una contraseña cualquiera se determina por la longitud de la cadena por la entropía de cada carácter. Para determinar la entropia de cada caracter se determina por el logaritmo en base 2 por el tamaño del conjunto al que pertenece el caracter. La fórmula es la siguiente:

entropia_x_caracter= log2(n)
entropia_password= longitud * entropia_x_caracter

Donde n es el tamaño del conjunto al que pertenece el caracter y longitud es la longitud de la contraseña. Partiendo de esto podemos calcular la entropía de un conjunto de caracteres como nuestro alfabeto (a-z) como el valor de log2 (26) = 4.7 bits. A continuación mostramos los valores de entropía de bits para cada conjunto de caracteres.

números (0-9): Log2(10)= 3.32
letras minúsculas (a-z): Log2(26)= 4.7
Letras mayúsculas, minúsculas y números (A-Z, a-z, 0-9): Log2(62)=5.95
Todos los caracteres del teclado standard (94): Log2(94): 6.55

Mientras más alto es el valor de la entropía mas segura es la contraseña, así podemos definir baremos para especificar la fortaleza de la misma por ejemplo:

entropía < 28 bits: Muy débil.
entropia <36 bits: Débil.
entropía <60 bits: Razonable.
entropía < 128bits: Segura.
entropía > 128 bits: Muy Segura.

Así por ejemplo una contraseña de longitud 10 de solo números tendrá una entropía de 33.2 Bits que se considera débil.

¿Con la entropía basta? (Texto Propio)

No, con solo medir la entropía de una frase no es suficiente para determinar la fortaleza de la misma para ser utilizada como contraseña. Es muy común encontrarnos con contraseñas que son combinaciones de letras y numeros consecutivos o patrones de teclado por ejemplo qwerty1234 o bien 1q2w3e4r5t6y que son simplemente descifrables y muy inseguras.

Para ello se realizan distintos tipos de aplicaciones para medir la fortaleza de una contraseña determinando si en la misma existen estos factores y asignandoles méritos y deméritos a la puntuación de fortaleza de la contraseña. Un ejemplo de aplicación que pueden observar es en Este Sitio y disponen del código fuente para analizarlo.



Si el post tiene aceptación creo un post con código fuente de una aplicación que determina la calidad de una contraseña en Delphi. Gracias por pasar.








No seas tacaño, dejá tu comentario, recomendá, hacé algo.