¿Dejarías las llaves de tu casa al lado de la puerta? ¿Retirarías dinero de un banco en el que no hubiera personal de seguridad? Eso es lo que hacemos al elegir contraseñas débiles para nuestras cuentas de e-mail o Home Banking.
Puede ser que, por años, hayas usado con éxito passwords como “123456”, “1qaz2wsx”, “qwerty” “password”o “contraseña”. Podés dar gracias de haber sobrevivido hasta ahora, pero es tiempo de que pienses una nueva manera de resguardar tu seguridad en la red.
¿Cuál es el problema con este tipo de contraseñas? Se trata de secuencias sencillas y conocidas que pueden ser rápidamente adivinadas por una persona que quiera entrar a tu cuenta. Algo parecido sucede con fechas importantes (cumpleaños o aniversarios), equipos de fútbol, nombres de mascotas, etc. Conocer este tipo de información es cada vez más fácil, puesto que muchos de esos datos son publicados por los mismos usuarios. Hace algunos años, por ejemplo, hackearon la cuenta de Hillary Clinton porque su pregunta de seguridad de Hotmail (¿Cuál es el nombre de tu primera mascota?) se podía responder con datos de su perfil público de Facebook.
Además de estos métodos, que son más lentos y requieren de cierto conocimiento del usuario, existen otros que aplican la fuerza bruta: prueban, con la ayuda de un software, combinaciones de números, letras y símbolos hasta que dan con la adecuada. Como este método es probabilístico, cuanto más variada y extensa sea la contraseña, más tiempo tardará el hacker en acceder a ella. Por ejemplo, si tu contraseña está formada por 6 letras minúsculas, sin importar cuáles o en qué orden, un programa automático tardará 10 minutos en descifrarla. Si, en cambio, tiene sólo una letra más, tardará 4 horas. Acá podés ver el tiempo necesario para hackear contraseñas con distinto nivel de dificultad:
6 caracteres. Todas en minúsculas: 10 minutos
6 caracteres, mezcla de minúsculas y mayúsculas: 10 horas
6 caracteres, minúsculas + mayúsculas + números/símbolos: 18 días
7 caracteres. Todas en minúsculas: 4 horas
7 caracteres, mezcla de minúsculas y mayúsculas: 23 días
7 caracteres, minúsculas + mayúsculas + números/símbolos: 4 años
8 caracteres. Todas en minúsculas: 4 días
8 caracteres, mezcla de minúsculas y mayúsculas: 3 años
8 caracteres, minúsculas + mayúsculas + números/símbolos: 463 años
9 caracteres. Todas en minúsculas: 4 meses
9 caracteres, mezcla de minúsculas y mayúsculas: 178 años
9 caracteres, minúsculas + mayúsculas + números/símbolos: 44530 años
La variedad de letras (mayúsculas y minúsculas), números y símbolos es todavía más importante que la extensión, aunque lo recomendado es la combinación de ambos. Los bancos, por ejemplo, obligan a generar contraseñas de al menos 8 caracteres de al menos tres tipos distintos. ¿Cuál es el problema con estas medidas? Que son tan complicadas que no las recordamos. Esto las vuelve, paradójicamente, más inseguras.
Contraseñas más difíciles pero menos seguras
Veamos el caso de Juan Pérez. Cuando abrió su primera cuenta de e-mail, eligió el usuario “jperez85@hotmail.com”, y el password fue su fecha de cumpleaños “060785”. Con el tiempo comenzó a necesitar nuevos usuarios y contraseñas; para Facebook, para Twitter, para YouTube, para Tinder, para Instagram, para Netflix, para Taringa… Como no podía recordar tantos usuarios y contraseñas diferentes, empezó a repetir el mismo en todas estas redes sociales. Aun cuando usara contraseñas diferentes, podría restablecerlas siempre desde su dirección de e-mail.
Cuando Juan Pérez abrió su cuenta de Home Banking, pudo repetir su usuario, pero no su contraseña: era necesario introducir un password de al menos 8 caracteres que combinara al menos tres de los siguientes tipos: mayúsculas, minúsculas, números, signos tipográficos. Juan tipeó al azar: “2J_nb(9H@”. ¿Cómo haría para recordar este password? Un método, muy inseguro, es anotarlo y llevarlo consigo. El riesgo es que la billetera tiene toda la información que un ladrón virtual necesita: la tarjeta del banco, el DNI que permite identificarlo con un nombre de usuario y el papel con la contraseña que, de tan complicada, se volvió insegura.
Otra manera es confiar en la recuperación de la contraseña: si olvida su password extremadamente complejo, el sistema le enviará un mail de recuperación a su cuenta de Hotmail. Y esta es otra vulnerabilidad, porque la contraseña de su e-mail, como vimos, es muy fácil de hackear (10 minutos, según la tabla de arriba). De esta manera, todo lo que se necesitaría para entrar al banco de Juan es entrar a su cuenta de e-mail.
La clave, entonces, es seleccionar contraseñas fáciles de recordar pero difíciles de hackear.
Consejos para elegir tu contraseña
-Usá siempre una contraseña fuerte y distinta de las demás en tu cuenta principal de e-mail o, al menos, en la que usás para recuperar las otras contraseñas.
-Que contenga al menos 8 caracteres de al menos tres tipos diferentes.
-No repitas la misma en todas tus cuentas. En ese caso alcanza con hackear una para entrar a todas.
-No incluyas información personal ni en la contraseña ni en las preguntas de seguridad.
-No uses palabras, secuencias de tipeo o lógicas, porque son las que primero se emplean al intentar hackear una cuenta.
-No reemplaces vocales por números en palabras existentes. Por ejemplo: “password” por “p255w0rd”. Esta es una técnica ya conocida y es de las primeras que usan los programas de hacking.
Consejos para recordar tu contraseña
-Podés tomar una frase, un símbolo y una fecha y hacer algunas transformaciones siguiendo una regla. Por ejemplo, si elegís tus iniciales, las de tu pareja y su aniversario de casados (JFM, PAJ, 08/12/05) podés alternar una mayúscula y una minúscula, separar las letras de la fecha por un guión y cambiar cada caracter por el que le sigue. Así, la contraseña te queda “KgNqBk-192316”.
-Otro método recomendable es elegir una frase que recuerdes, reducirla a sus iniciales y luego sí reemplazar letras por otro tipo de caracteres que sean cercanos o parecidos. Por ejemplo:
Frase: mi Buenos Aires querido, cuando yo te vuelva a ver
Iniciales: mBAqcytvav
Contraseña: M8Aqc4tu@u
Frase: No culpes a la lluvia, será que no me amas
Iniciales: Ncallsqnma
Contraseña: N[2115q~m2
Si tenés un buen password, que recordás, podés introducir pequeñas variaciones para cada sitio, por ejemplo incluyendo la primera y última letra al comienzo y al final. Una contraseña como “Kj-[9Bso” se puede adaptar así:
Sitio: Facebook
Contraseña: fKj-[9Bsok
Sitio: Twitter
Contraseña: tKj-[9Bsor
-Se pueden guardar por escrito pistas que te ayuden a recordar la contraseña en un lugar seguro de tu casa. Así, por ejemplo, la frase “Iniciales del ex de Laura, fecha de mi renuncia, el precio del comienzo del icecream” no tiene sentido para nadie más que para quien la escribió, que la descifrará como “JFM310312$hel”.
-Podés usar gestores de contraseñas o “password managers”, que son programas que crean contraseñas difíciles y las guardan de manera encriptada. Hay que tener mucho cuidado de usar programas legítimos y no los que diseñan los hackers precisamente para que les digas cuáles son tus passwords.
Rp./Salud – Calidad y Experiencia en Medicina Laboral – CONOCENOS