Cómo crear una contraseña segura

Hoy en día, nos vemos enfrentados a cientos de servicios tecnológicos que requieren de autenticación. Para ingresar a nuestro correo electrónico, a nuestra cuenta de Facebook o Twitter, a los sitios web de nuestros bancos o incluso a los cajeros automáticos.

Es por esto que cada vez se hace más importante aprender a manejar contraseñas seguras y a lidiar con el "cómo diablos me acuerdo de tanta contraseña".

¿Qué es una buena contraseña?

Una buena contraseña es aquella que cumple, al menos, con cuatro criterios:

Debe ser fácil de escribir

Una buena contraseña no debería ser tan compleja de escribir que me tome varios segundos intentando encontrar los caracteres que debo utilizar. Si bien es recomendable utilizar caracteres especiales ($, %, &, -, _, ), etc) no es tan necesario, como veremos a continuación.

Debe ser fácil de recordar

No hay peor contraseña que la que se te olvida al minuto de crearla. Una buena contraseña debería ser fácil de recordar. Para ello, podemos utilizar palabras que nos recuerden al servicio que estamos utilizando, o bien frases que podamos asociarlas con éste. Es mucho más fácil recordar una frase como "yoteníadiezperritos" que un complicado conjunto de números, letras en minúscula y mayúscula y caracteres especiales, como "5T_h%-j1".

Debe ser dificil de adivinar

No debe ser fácil para otra persona adivinar mi contraseña basándose en información personal. Por esta razón, JAMÁS utilices datos personales como nuestro nombre, dirección, nombre de una mascota, número de teléfono, etc.

Debe ser dificil de "crackear"

Este es el último punto, pero no el menos importante. A una computadora, programada para ello, se le debe hacer MUY dificil descifrar (o crackear) mi contraseña por algún método de fuerza bruta. Esto es, probando todas las combinaciones posibles hasta encontrar la correcta.

Los métodos utilizados para esto son simples pero muy efectivos. Una forma común es utilizar diccionarios de contraseñas, que no son nada más que miles de palabras "comunes" utilizadas como contraseña, por ejemplo y sorprendetemente, una de las más utilizadas: "password".

Otra forma, más común, pero más "torpe" es probar todas las combinaciones posibles, caracter por caracter. Asumamos lo siguiente:

La contraseña tiene más de 4 dígitos y puede contener letras mayúsculas, minúsculas, números y caracteres especiales. Esto es al rededor de 120 caracteres posibles. Entonces, el computador irá probando, cada combinación de caracter posible. Parte, por ejemplo en 0000, luego 0001, 0002.... y así, hasta probar todas las combinaciones posibles de 4 dígitos, luego seguirá con las de 5 dígitos y así sucesivamente. Con estas características, a un computador de escritorio, común y corriente, le toma menos de un segundo (0.15 segundos aproximadamente) adivinar una contraseña de 4 caracteres. Si aumentamos a 6 caracteres, le toma cercano a una hora. Lo interesante es cuando superamos los 8 caracteres: con esas características a un computador le toma más de 13 años creackear una contraseña de 8 caracteres y más de 2.000 años una de 9 caracteres. Esto se debe al principio de la entropía, que determina la incertidumbre de las posibles combinaciones. Para determinar (en parte) la entropía de una contraseña, debemos saber cuántas posibles combinaciones existen, tomando para ello el total de posibles caracteres que puede tener cada dígito y elevándolo a la cantidad de dígitos de ésta.

En el caso de una contraseña de sólamente números, la cantidad de combinaciones posibles, para un largo de 8 caracteres es de 10^8 (100.000.000) versus una contraseña con letras minúsculas, mayúsculas, números y caracteres especiales que es (no exacto) 120^8 que ya es un número bastante más grande (42.998.169.600.000.000), por ende su entropía es mucho mayor y tomará más tiempo descrifrarla.

¿Y cómo creo una buena contraseña, entonces?

Ya lo dijo muy bien XKCD: "... Le hemos enseñado a la gente a crear contraseñar que son dificiles de recordar para los humanos, pero fáciles de adivinar por un computador."

Supongamos que mi contraseña es "password". Esa contraseña le tomaría menos de una milésima de segundo a un computador para descrifrarla. Ahora, uno pensaría que una contraseña como "5T_h%-j1" es mucho más dificil de descrifrar, pero no tanto, esa contraseña sería descrifrada en 3 días por un computador de escritorio, pero nos cuesta enormemente recordarla. Para crear una buena contraseña, segura pero fácil de recordar, debemos tener presentes los cuatro criterios que debería cumplir.

Como ya vimos, mientras más larga sea la contraseña y más caracteres posibles tenga, mayor entropía. Ahora bien, caracteres como signos de puntuación o caracteres especiales son más dificiles de intercalar con letras que una frase normal. Por ende, una buena receta es utilizar palabras con letras, de la "a" a la "z" y más de 8 dígitos. Por ejemplo: "yoteniadiezperritos". Esto le tomaría 6 billones de años a un computador para descifrarla.

Pero sigamos ampliando la entropía

Ahora, si queremos hacer una contraseña realmente segura, es recomendable utilizar caracteres especiales (tilde, por ejemplo) y al menos una mayúscula. Una buena forma de incluir mayúsculas es usar la notación del camello donde cada primera letra de cada palabra se escribe en mayúscula. Por ejemplo, "YoTeníaDiezPerritos". Un computador de escritorio se tardaría un septillón de años en descrifrarla.

Ahora bien, una cosa es que sea dificl de descrifrar, pero eso no implica necesariamente que será fácil de recordar. Una forma sencilla de recordar la contraseña asociada a un servicio es incluir algo que la relacione con ese servicio. Por ejemplo, si estamos creando una contraseña para Twitter, podríamos utilizar alguna variación de la palabra Twitter para asociarla. Por ejemplo, si nuestra contraseña era "Yoteníadiezperritos", podríamos cambiarla por "Yotuitiédiezperritos". Simplemente tengan en cuenta que NO es buena recomendación utilizar la palabra del servicio mismo, por ejemplo "Yoteníadieztwitter" puede no ser una muy buena idea.

Siguiendo este criterio, no deberíamos utilizar información personal o que pueda ligarse con nosotros. Por ejemplo, supongamos que en verdad yo tenía diez perritos, y que además es una frase que ocupo constantemente, cuando cuento la historia de mis diez perritos y cómo fueron desapareciendo uno a uno por causas misteriosas. Entonces, podríamos cambiar la palabra "perritos" por otra cosa menos obvia, por ejemplo, "Yotuitiédiezgatitos".

Yéndonos a los extremos

Ya hemos cumplido con los tres criterios anteriores, sin embargo, podemos seguir mejorando la contraseña, agregando más entropía. Por ejemplo, podemos incluir números. Reemplacemos la "i" en "diez" por un "1", quedando en "d1ez". Entonces terminamos con una contraseña muy segura "Yotuitiéd1ezgatitos", que un computador de escritorio tardaría más de 3 septillones de años en descrifrar, no contiene información personal, y es relativamente fácil de recordar.

Otros criterios a considerar

Debe ser privada

Tu contraseña no deberías compartirla. Nunca se sabe en manos de quién puede caer y con qué propósitos la usarán. Si vas a compartir una contraseña, aunque no es recomedable, procura que sea una contraseña que no ocupas en otros servicios.

Debe ser única

Nunca utilices la misma contraseña para todos los servicios. Si usas la misma contraseña para tu cuenta de twitter, tu facebook y tu email, basta con que logren obtenerla desde alguno de esos servicios y tendrán acceso a todas tus cuentas.

Debe ser temporal y desechable

Es una buena recomendación cambiar las contraseñas seguido (una vez al año, dos veces al año, o hasta 5 veces al año si eres los suficientemente paranóico).

This article is my 11th oldest. It is 1207 words long