En el post anterior comenté que debemos procurar un buen uso de las contraseñas, pues es algo importante para la seguridad y la privacidad. Y una de las características que deben tener estas contraseñas es que sean fuertes, personales e intransferibles.
Sin embargo, cuando le explicas a muchas personas como debe ser una contraseña para calificarla de robusta, y encima les recuerdas que lo ideal es que tengan contraseñas originales y diferentes para cada aplicación o servicio, lo normal es que le empiece a asomar el humo por las orejas. Supongo que porque han visto contraseñas de las que generan automáticamente algunas aplicaciones, y piensan que todas las contraseñas fuertes son un amasijo de caracteres sin sentido y difíciles de recordar. Pero no es tan complicado iniciarse en el asunto; vamos a intentarlo, sin tecnicismos.
Eso sí, antes de seguir una advertencia: las contraseñas, por muy buenas que sean, NO SON INFALIBLES, NO SON 100% SEGURAS (es más, la seguridad completa no existe ni en internet ni «en la vida»: es más bien un referente hacia el que caminar). Los expertos aseguran que incluso llegarán a desaparecer, o a completarse con un sistema de triple verificación:
- Algo que sabes: por ejemplo, un PIN, una contraseña,…
- Algo que tienes: por ejemplo, una tarjeta de crédito o de claves, un token,…
- Algo que «eres» (en el sentido antropométrico): por ejemplo, la morfología, el iris, la huella dactilar,…
Debemos saber que aunque una contraseña sea compleja y única, nos la podrían levantar mediante ingeniería social, mediante «cotilleos varios», mediante sistemas de captura de teclado, mediante ataques al servidor (refinados o de fuerza bruta),… Pero hay que reconocer que esto no es tan habitual, y que además no hay que ponerle el trabajo fácil a nadie, así que como las contraseñas usar hay que usarlas, procuremos que sean robustas para minimizar problemas. Una cosa no quita la otra.
Veamos. Artículos sobre creación de contraseñas fuertes hay muchos por la red: algunos dan consejos en general (aquí uno, o aquí otro, o aquí las del todopoderoso), y otros nos explican trucos para su construcción y recuerdo. En este último aspecto, el límite lo pone la imaginación, aunque son bien conocidos los métodos de la canción favorita (también valdrían libros, películas, etc.), el método PAO y otros más asequibles como la «frase memorable». Estos últimos sistemas tal vez sean los ideales en caso de chavales o personas mayores poco acostumbradas a moverse por la red, al ser algo más sencillos.
Pero sea como sea, lo importante es que uses algún algoritmo personal o algún sistema de codificación sencillo (una especie de encriptación de andar por casa). Una fórmula posible es hacer una mezcolanza con los consejos y métodos citados, buscando construir una contraseña que:
- Tenga una longitud «amplia», pongamos que de 8 caracteres para arriba.
- Combine letras mayúsculas, minúsculas, números, y símbolos (a veces esto da la lata porque algunas apps y webs permiten ciertos caracteres, y otras no).
- En la mente del usuario tenga sentido, pero no sea un significado más o menos común o público (nombres, palabras de cualquier idioma, fechas, etc.).
- Se componga de una parte fija, común a todas las contraseñas del usuario, y otra variable, específica de la app o servicio en concreto.
- Siga un algoritmo privado, un sistema personal, que permita razonarla en caso de que nos olvidemos de ella.
- No implique codificaciones complejas (substituir números por letras, cambiar a las teclas próximas,…).
Dejando claro que hay tantos métodos posibles como personas, veamos como crear una contraseña decente usando un ejemplo chorra, por si es útil para mostrar como proceder en concreto. Haz algo similar a esto:
- Piensa en una frase importante para ti y sólo para ti. P.ej.: mi madre trabajó en el hotel.
- Reduce esa frase usando sólo las iniciales (o las letras finales de cada palabra), y combina mayúsculas y minúsculas (una sí una no, o la primera y la última, o las que toque según ortografía,…). P.ej.: MmteeH.
- Piensa en un número que tenga importancia para ti, o que esté relacionado con la frase elegida. P.ej.: 49.
- Combina el número y la «frase abreviada» empleando algún símbolo, de la forma que tenga más sentido para ti. P.ej.: Mm49-teeH.
- Elige un código que haga referencia a la app o servicio en la que te estás identificando: las primeras letras o las finales, el número de letras del nombre,… P.ej.: gle para Google, ram para Instagram,…
- Combina la contraseña genérica con ese identificador de la app, a ser posible usando otro/s símbolo/s. P.ej.: ram_Mm49-teeH.
Con este ejemplo rápido y poco rebuscado, que podríamos variar y complicar mucho más, obtenemos una contraseña bastante fuerte, y fácilmente recordable y replicable porque tiene coherencia interna. ¿A que parece de esas automáticas y complejas que generan los programitas del servidor? Pues con esta si mañana me estoy registrando o logueando en una página, p.ej. Facebook, sólo tengo que razonar: las tres últimas letras de la app (ook), las separo de la genérica (_), abrevio que mi madre (Mm), que sé cuándo nació (49), realizó una acción (-), que fue trabajar en un hotel (teeH). Conclusión: ook_Mm49-teeH. Ahora puede parecer un rollo, pero en cuanto la escribas unas cuantas veces, los dedos te irán sólos, y no necesitarás ni pensarlo.
Si queremos comprobar cómo de robusta es una contraseña así creada, hay varios servicios web en los que puedes testarla. Dejo enlace a un par de ellas (para probarlas y aprender, prueba a comprobar la calidad de la que inventamos hace un momento, paso a paso o la contraseña final):
- Aquí una que te informa de cuánto tiempo se tardaría en crackearla con la tecnología actual; no le hagas mucho caso a este dato, es sólo una referencia, pero es interesante que veas como varía ese periodo (el color de fondo cambia para entenderlo de forma intuitiva), a medida que escribimos, y en función de qué escribimos
- Esta otra tiene de interesante que, además de otras informaciones, diferencia criterios que suman y restan fortaleza a tu contraseña (calculados en base a las fórmulas allí indicadas).
PD: Si te interesa este post, pertenece a una serie sobre contraseñas: 1, 2, 3.
Imágenes:
Características contraseñas. En artículo de la web de OSI.
Captura de pantalla de Passwordmeter.
Pingback: La contraseña adulta – Escoler
Pingback: La contraseña corporativa (edu.xunta) – Escoler