Artículos

¿Por qué elegimos terribles contraseñas? y cómo solucionarlo – The Conversation #PartidoPirataChile

por

El primer jueves de mayo es el Día Mundial de la Contraseña, pero no compre un pastel ni envíe tarjetas. El fabricante de chips de computadora Intel creó el evento como un recordatorio anual de que, para la mayoría de nosotros, nuestros hábitos de contraseña no son nada para celebrar. En su lugar, ellos esperan usar este día para decir nuestros últimos adios a “qwerty” y “123456”, que siguen siendo las contraseñas más populares.

El problema con contraseñas cortas y predecibles

El propósito de una contraseña es limitar el acceso a la información. Tener una muy común o simple como “abcdef” o “letmein”, o incluso palabras normales como “contraseña” o “dragón”, es casi ninguna seguridad en absoluto, como cerrar una puerta pero no bloquearla.

Las herramientas de cracking de contraseñas de los hackers se aprovechan de esta falta de creatividad. Cuando los hackers encuentran – o compran – credenciales robadas, es probable que encuentren que las contraseñas se han almacenado no como el texto de las contraseñas en sí, sino como huellas digitales únicas, llamadas “hashes” de las contraseñas reales. Una función hash transforma matemáticamente cada contraseña en una versión codificada de tamaño fijo de sí mismo. Hashing la misma contraseña original dará el mismo resultado cada vez, pero es computacionalmente casi imposible invertir el proceso, para derivar una contraseña de texto claro de un hash específico.

En su lugar, el software de craqueo calcula los valores de hash para un gran número de contraseñas posibles y compara los resultados con las contraseñas hash en el archivo robado. Si hay acierto, el hacker puede entrar. El primer lugar que estos programas comienzan es con valores de hash conocidos para contraseñas populares.

Los usuarios más sensatos que eligen una contraseña menos común pueden seguir siendo presa de lo que se llama un “ataque de diccionario”. El software de craqueo trata cada una de las 171.000 palabras del diccionario inglés. A continuación, el programa intenta palabras combinadas (como “qwertypassword”), secuencias dobladas (“qwertyqwerty”) y palabras seguidas de números (“qwerty123”).

Pasando a la adivinación ciega

Sólo si el ataque del diccionario falla, el atacante se moverá a regañadientes a lo que se llama un “ataque de fuerza bruta”, adivinando secuencias arbitrarias de números, letras y caracteres una y otra vez hasta que uno coincida.

Las matemáticas nos dicen que una contraseña más larga es menos fácil de adivinar que una contraseña más corta. Eso es cierto incluso si la contraseña más corta se hace de un conjunto más grande de posibles caracteres.

Por ejemplo, una contraseña de seis caracteres compuesta por los 95 símbolos diferentes en un teclado americano estándar produce 956 o 735 millones de combinaciones posibles. Eso suena como mucho, pero una contraseña de 10 caracteres hecha de sólo caracteres en minúscula en inglés produce 2610, 141 trillones, opciones. Por supuesto, una contraseña de 10 caracteres de los 95 símbolos da 9510, o 59 quintillón, posibilidades.

Es por eso que algunos sitios web requieren contraseñas de ciertas longitudes y con cierto número de dígitos y caracteres especiales, están diseñados para frustrar el diccionario más común y los ataques de fuerza bruta. Dado suficiente tiempo y poder de cálculo, sin embargo, cualquier contraseña es crackable.

Y en cualquier caso, los seres humanos somos terribles para memorizar secuencias largas e impredecibles. A veces utilizamos mnemónicos para ayudar, como la forma en que “Cada buen chico hace bien” nos recuerda las notas indicadas por las líneas en la partitura. También pueden ayudarnos a recordar una contraseña como “freQ! 9tY! JuNC”, que al principio parece muy confusa.

La división de la contraseña en tres fragmentos, “freQ!”, “9tY!” Y “juNC”, revela lo que podría recordarse como tres palabras cortas y pronunciables: “freak”, “noventa” y “junk”. Las cntraseñas que pueden ser fragmentadas, ya sea porque encuentran significado en los trozos o porque pueden agregar más fácilmente su propio significado a través de mnemónicos.

No reutilizar contraseñas

Supongamos que tomamos todo este consejo en serio y decidimos hacer que todas nuestras contraseñas tengan al menos 15 caracteres y que estén llenas de números y letras aleatorios. Inventamos ingeniosos dispositivos mnemotécnicos, dedicamos algunos de nuestros favoritos a la memoria y empezamos a usar las mismas contraseñas una y otra vez en cada sitio web y aplicación.

Al principio, esto puede parecer bastante inofensivo. Pero los piratas informáticos están en todas partes. Recientemente, grandes empresas como Yahoo, Adobe y LinkedIn han sido violadas. Cada una de estas infracciones reveló los nombres de usuario y contraseñas de cientos de millones de cuentas. Los hackers saben que la gente comúnmente reutiliza contraseñas, por lo que una contraseña agrietada en un sitio puede hacer que la misma persona sea vulnerable en un sitio diferente.

Más allá de la contraseña

No solo necesitamos contraseñas largas e impredecibles, sino que necesitamos contraseñas diferentes para cada sitio y programa que usamos. El usuario promedio de Internet tiene 19 contraseñas diferentes. Es fácil ver por qué la gente los anota en notas adhesivas o simplemente hace clic en el enlace “Olvidé mi contraseña”.

¡El software puede ayudar! El trabajo del software de administración de contraseñas es cuidar de generar y recordar contraseñas únicas y difíciles de crackear para cada sitio web y aplicación.

A veces estos programas tienen vulnerabilidades que pueden ser explotadas por atacantes. Y algunos sitios web bloquean los administradores de contraseñas. Y por supuesto, un atacante podría echar un vistazo al teclado mientras escribimos nuestras contraseñas.

La autenticación de múltiples factores se inventó para resolver estos problemas. Esto implica un código enviado a un teléfono móvil, una exploración de huellas dactilares o un token de hardware USB especial. Sin embargo, aunque los usuarios saben que la autenticación de múltiples factores es probablemente más segura, se preocupan de que sea más incómodo o difícil. Para que sea más fácil, sitios como Authy.com proporcionan guías sencillas para habilitar la autenticación multifactorial en sitios web populares.