top of page

La antigua forma de crear contraseñas debe ser tirada a la basura.

Parece un título 'clickbait' pero es real, aunque el cambio suele ser molesto, no podría haber un momento más apropiado para hablar del tema, ya que recientemente Bill Blurr, quien hace 15 años escribiera las famosas reglas para crear contraseñas 'fuertes' que tan ampliamente se generalizaron, hoy se arrepiente y ha reescrito su manual prácticamente desde cero.


Y es que, seguramente a usted también le ha pasado que al registrarse en ciertos servicios, estos le exigen que la contraseña utilice mayúsculas, minúsculas, números y caracteres especiales, pero, si no es un servicio que utilice con frecuencia, termina olvidando la contraseña y al intentar ingresar nuevamente, debe pasar por el engorroso proceso de autenticación para remplazarla por otra igual de compleja, que seguramente también olvidará.


frustración contraseña

Tratar de recordar una contraseña puede resultar frustrante.


Adicionalmente, de la mano de las reglas de Blurr, no solo los sistemas de seguridad adoptaron estas medidas, también lo hicieron los programas de descifrado, por lo que en realidad las contraseñas con números o caracteres especiales no resultan mayormente molestas para el software, mucho menos cuando se apoya en un hardware mucho más veloz del que teníamos hace 15 años.


Ingeniería social, la gran molestia:

Muchas veces se ha dicho que el principal problema de los expertos en ciberseguridad ha sido desarrollar medidas muy fuertes para combatir malware, pero poco amigables con el usuario; esto es algo que poco a poco está cambiando, pero que aun explica porque las contraseñas actuales son tan inseguras: se ha enseñado incorrectamente a las personas a crear contraseñas que son difíciles de recordar para un humano, pero fáciles de adivinar para una computadora.


Así, la mayoría de usuarios utilizan una misma contraseña para diferentes servicios, basados en sus gustos, aficiones y datos personales; los cuales, a la larga no son difíciles de obtener por un hacker con tan solo un poco de ingeniería social (muchas veces las redes sociales les facilitan mucho más el trabajo); y, si el servicio advierte de una posible filtración, el usuario suele cambiar la contraseña por una similar con modificaciones muy sutiles (como "L4k3rs*93" por "L4k3rs1993*").


Más extenso es mejor:

A pesar de lo anterior, aun hay una regla que se mantiene, entre más caracteres tenga la contraseña más difícil será de descifrar. Por eso la nueva recomendación de Blurr y otros expertos es crear frases largas a partir de palabras comunes elegidas al azar, pero que pueden ser fácilmente recordadas con una regla mnemotécnica.


Contraseña segura

Aunque la ingeniería social sea una molestia, aun se pueden construir contraseñas seguras | Fuente: Genbeta


Por ejemplo, "gatossofadesmayarchocolate" tiene 26 caracteres y puede ser recordada fácilmente con la frase "el gato sentado en el sofá se desmayó al ver una barra de chocolate", así usted nunca haya tenido un gato y sea alérgico al chocolate, siendo ésta contraseña más segura que "N4c10n4l86!" o "B1ll_G4t3s$$$".


Recomendaciones adicionales:

  • No cambiar la contraseña constantemente o cada 90 días como se recomendaba anteriormente, ya que los cambios suelen ser sutiles en función de la recordación; la clave debe ser remplazada únicamente cuando el servicio le alerte que puede estar comprometido o usted sospeche de una posible fuga, y debe ser cambiada por una completamente nueva.

  • No anote las contraseñas ni en papel, ni en la nube, ni en un correo electrónico, ni en Whatsapp, etc. Esta es una practica muy común, sobretodo en equipos de trabajo que necesitan acceder a un mismo servicio, la solución es generar una contraseña con una regla mnemotécnica que sea fácil de recordar para todos y cuya transmisión se haga personalmente; siempre será más difícil acceder a su memoria que a cualquier recordatorio digital o físico.

  • No utilice un gestor de contraseñas (ni las almacene en el navegador) ya que si se viola la seguridad del gestor, el hacker tendrá acceso a todos sus servicios, es "poner todos los huevos en la misma canasta".

  • Utilice contraseñas diferentes y muy rígidas para sus principales servicios, como Facebook o el correo electrónico, ya que a través de estos es que solemos recuperar otros servicio en caso de una violación.

  • Use el doble factor de autenticación siempre que sea posible, esto duplica la seguridad, ya que el hacker deberá acceder a 2 dispositivos en lugar de uno.

  • Desconfíe de correos y páginas de internet que le soliciten contraseñas de otros servicios o parezcan sospechosas; siempre podrá contactarse telefónicamente con estos servicios para verificar si la información que está recibiendo es verídica o si el sitio es confiable.

  • Evite las páginas http:// sobretodo si le solicitan contraseñas, ya que al no utilizar el protocolo de seguridad HTTPS, son mucho más vulnerables a ataques informáticos de terceros, en los cuales se puede ver comprometida su información.

  • No se fíe enteramente de la biometría, nuevas técnicas de seguridad también crean nuevas técnicas de hackeo (ya se ha demostrado que se puede violar el reconocimiento retinal de algunos teléfonos con una fotografía del popietario y lentes de contacto), la biometría si contribuye a la seguridad, pero no puede ser nuestro único factor de autenticación, vuelve a ser "colocar todos los huevos en una sola canasta".

  • La más importante recomendación, eduque a sus usuarios, sean compañeros, subordinados e incluso sus jefes; de nada le sirve a usted convertirse en un experto en seguridad, si en su organización se encuentra rodeado por exploids listos para ser aprovechados por los hackers (que no siempre se encuentran fuera de esta).

SysAdmin atacado contraseña

Es indispensable educar a los usuarios para evitar fallas de seguridad.

Por eso, para mantener a su organización más protegida y ayudarnos a hacer del mundo un poco más seguro, puede comenzar por compartir este artículo con sus compañeros y en sus redes sociales, seguramente se lo agradecerán; también puede contactarnos en cualquier momento, si requiere consultoría personalizada; y no se olvide de suscribirse a nuestro blog para seguir recibiendo más artículos como este y mantenerse al día en lo último en TI para empresas.



Fuente: Genbeta

Tags:

RSS Feed
Publicaciones Relacionadas
Publicaciones recientes
Archivo
Búsqueda por etiquetas
Otros canales
  • Facebook
  • LinkedIn
  • Twitter
Seguir leyendo
bottom of page