Por qué su contraseña no es tan segura como usted cree

Catorce años después de publicar lo que se consideraba la biblia de la creación de contraseñas, el autor del documento revisó su posición en una entrevista con el Wall Street Journal.

En 2003, Bill Burr aconsejó en un apéndice a un documento publicado por el Instituto Nacional de Estándares y Tecnología (una agencia estadounidense responsable del desarrollo de estándares tecnológicos) que creara una contraseña con letras mayúsculas y minúsculas, números y signos de puntuación y que la cambiara regularmente (cada 90 días).

Combinaciones demasiado complicadas para recordar

Pero este consejo no fue tan sabio al final. Por una sencilla razón: tales contraseñas no sólo son difíciles de recordar para los usuarios…. sino también muy fáciles de romper por parte de potenciales hackers. De hecho, innumerables usuarios de Internet eligen una palabra sencilla, que modificarán ligeramente y/o completarán con caracteres especiales para convertirla en su sésamo.

Ejemplo? Por ejemplo, un entusiasta de pangolin podría elegir asegurar su cuenta con la contraseña «$Pang0l1N$! Sin embargo, a pesar de su aparente complejidad, esta secuencia de caracteres sigue siendo fácilmente rompible por un ataque híbrido que combina diccionario y fuerza bruta (ver dibujo abajo).

«Lamento mucho de lo que he escrito», dijo Bill Burr, ahora retirado, al periódico estadounidense. También admite que su asesoramiento no se basaba en datos empíricos y que estaba bajo presión porque tenía que completar su documento rápidamente. «Al final», concluye,«enloqueció a la gente y les hizo elegir las contraseñas equivocadas». «

Una idea mejor: la larga frase

El pasado mes de junio, por lo tanto, el documento fue totalmente reescrito por Paul Grassi, experto en seguridad del NIST, que modera los reproches del jubilado. «Escribió un documento que duró de 10 a 15 años. Espero poder hacer lo mismo. »

Ahora, el NIST aconseja usar una frase larga y fácil de recordar, como se muestra en la tira cómica del incalificable Randall Munroe a continuación. Según sus cálculos, sólo se necesitarían tres días para encontrar la contraseña de Tr0ub4dor&3 a una velocidad de 1000 intentos por segundo, en comparación con…. 550 años para la sentencia «correcthorsebatteryestable»!

En lugar de su contraseña imposible de recordar, nuestro fan de pangolin estaría más seguro con una llave como «vivelespangolinsbretonsenliberte» o «pangolinartichautrugbytablette» por ejemplo. Secuencias de palabras que son, además, mucho más fáciles de recordar.

Otro cambio en las instrucciones del NIST: cambie la contraseña sólo si hay una señal de que puede haber sido dañada, no cada 90 días.

Estas útiles instrucciones ahora pueden ir acompañadas de herramientas adicionales para proteger sus cuentas. La doble autenticación que muchas aplicaciones y servicios (Facebook, Apple, Google…) ya ofrecen es una de ellas. ¡Sabes lo que tienes que hacer ahora!

No Responses

Write a response