Qué hace una contraseña segura

La mayoría de la gente entiende que la “fuerza” de la contraseña está determinada por la variedad de tipos de caracteres en una contraseña. Pero mientras que los formularios de registro pueden pensar que la complejidad es seguridad, los atacantes no están de acuerdo. La complejidad ya no defiende contra un modelo de amenaza moderno. ¿Qué hace que las contraseñas sean seguras? Primero debemos examinar el modelo de amenaza real que enfrenta la mayoría de la gente.

La complejidad de la contraseña pierde el sentido

La “fuerza” de la contraseña a menudo es solo una función de la complejidad, o la cantidad de aleatoriedad en una contraseña, medida por el uso de símbolos, números y mayúsculas y minúsculas. Pero agregar algunos caracteres diferentes a su contraseña no aumenta significativamente su “fuerza”, a pesar de lo que sugiere la engañosa barra verde de “fuerza” junto a su contraseña. La complejidad aumenta la dificultad de un ataque de fuerza bruta, pero ese tipo de ataque es poco común.

En cambio, el robo de credenciales ocurre en robos masivos de datos o filtraciones de grandes organizaciones. La seguridad de la contraseña no le ayudará si los atacantes tienen su contraseña en texto sin formato.

Utilice contraseñas únicas

La mayoría de la gente es enormemente vulnerable a algo llamado “relleno de credenciales”: las credenciales comprometidas se prueban en plataformas populares para explotar la tendencia humana a la reutilización de contraseñas. Ese es un peligro mucho mayor que una contraseña “débil”. Después de todo, una contraseña “superfuerte” completamente aleatoria reutilizada en cada plataforma se volvería desastrosa después de una filtración.

En lugar de pensar en la seguridad de la contraseña como una propiedad singular, debemos pensar en la fortaleza de su sistema de autenticación. Las contraseñas modernas crean ese sistema y deben considerarse como tales. Usar contraseñas únicas es mucho más fácil con un administrador de contraseñas, así que comience con uno hoy si aún no lo ha hecho.

La longitud es más importante que la complejidad

Durante años hemos sido entrenados para pensar en la complejidad como el factor más importante de una contraseña. Y aunque sabemos que los ataques de fuerza bruta son raros, la complejidad ni siquiera es la mejor defensa contra el craqueo por fuerza bruta: la longitud es mucho más importante.

Fortaleza de la contraseña en 2019 Xkcd Comic
XKCD muestra que la longitud de la contraseña es lo que importa.

La longitud de la contraseña tiene una relación exponencial con el tiempo de craqueo, por lo que los aumentos moderados en la longitud pueden producir aumentos masivos en el tiempo de craqueo. La complejidad, por otro lado, tiene una relación más lineal con el tiempo de agrietamiento.

Tome este ejemplo: una máquina de craqueo de alto rendimiento puede romper una contraseña de aspecto complejo como *nRyU86) en tan solo ochenta minutos. Aumentar la longitud en una sola letra mayúscula extiende ese tiempo a casi treinta y seis horas, mientras que cambiar una letra a un símbolo no proporciona un cambio significativo en el tiempo de craqueo.

Aprovechemos al máximo las potencias exponenciales de la longitud. ¿Qué tal una frase de contraseña de cuatro palabras, usando palabras conocidas del diccionario y con un total de dieciséis caracteres de longitud? Incluso cuando se tienen en cuenta los ataques de diccionario (ataques que utilizan una base de datos de palabras conocidas para adivinar contraseñas en lugar de generar conjeturas al azar), se necesitarían noventa mil millones años para descifrar la contraseña.

Fortaleza de la contraseña en 2019 Tabla de tiempo de craqueo

Olvídese de la complejidad. Las mejores contraseñas son en realidad pass-frases. Nunca podría recordar una contraseña compleja similarmente fuerte. Pero a los cerebros les encantan las historias divertidas y las imágenes sorprendentes. Si genera una historia absurdamente memorable para una frase generada al azar, tendrá dificultades para olvidarla.

La generación de contraseñas verdaderamente aleatoria es fundamental. Elegir palabras relacionadas con usted mismo, como su mes de nacimiento, hará que la frase de contraseña sea más fácil de adivinar. Utilizar Dados de contraseña de EFF para generar frases de contraseña aleatorias de forma segura.

Encienda todos los sistemas de autenticación de dos factores

Todos los sistemas tienen fugas. La seguridad de la contraseña no te salvará. Entonces, ¿cómo puedes defenderte? Los sistemas de autenticación de dos factores (2FA) proporcionan una capa adicional de seguridad. 2FA solicita dos tipos de credenciales: algo que saber (es decir, su contraseña) y algo que tener (es decir, su teléfono). En la mayoría de los sistemas 2FA, estos códigos los genera un servidor remoto. El servidor envía el código activo al usuario en el momento del inicio de sesión.

Fortaleza de la contraseña en 2019 Autenticación de dos factores

Desafortunadamente, los atacantes pueden interceptar códigos SMS con relativa facilidad mediante la clonación de tarjetas SIM. Para evitar estas escuchas, genere códigos en su dispositivo móvil con una aplicación 2FA como Authy, Autenticador de Google, o un administrador de contraseñas con soporte 2FA como 1 contraseña.

Conclusión

La “fuerza” de una sola contraseña es una pista falsa. Un sistema de autenticación sólido es más importante. Las fugas y el robo de datos ocurren inevitablemente. Las contraseñas únicas mantienen el daño contenido. La autenticación de dos factores puede reducir a cero el daño de las credenciales robadas.

¿Es útil este artículo?

¡Compártelo en redes!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *