Artículos

Las personas entienden cuándo una contraseña es buena, pero aún no las utilizan – Motherboard

¿Sabes qué es una buena contraseña?

A juzgar por las contraseñas que se filtraron como parte de un constante flujo defiltración de datos, ni tú ni nadie más realmente utiliza las mismas antiguas y horribles contraseñas como “123456” o -gulp- “contraseña”.

Como resultado las personas generalmente son buenas, o quizás mejor que lo esperando, al juzgar qué hace que una contraseña sea segura de acuerdo a un estudio publicado esta semana. Estas son buenas noticias. Las malas noticias son que pese a que las personas tienen un sentido decente sobre cuáles son las estrategias para generar buenas contraseñas, todavía tienen malentendidos fatales y no entienden cómo los hackers pueden adivinar o encontrar sus contraseñas.

“Ellos entienden que esta contraseña es más segura que ‘contraseña’ como regla, pero no saben cuán seguro es lo suficientemente seguro” le dijo a Motherboard Lujo Bauer, un profesor en el departamento de ingeniería computacional y electrónica en Carnegie Mellon y uno de los autores del estudio.

El estudio le preguntó a 165 participantes que eligieran uno entre dos contraseñas similares, digamos “contr@señ4” o “cOntraseñA” o “ieatkale88” o “iloveyou88” y dijeran cuál es más seguro. Los investigadores también mostraron contraseñas reales sacadas de las filtraciones de datos, preguntando cuán seguros y recordables eran.

Los participantes también tenían que ponerle nota a la mejores estrategias para crear contraseñas: digamos, evitar utilizar palabras que pueden ser vinculadas con su identidad o utilizar letras mayusculas en la mitad de la palabra, en vez de al comienzo. Finalmente, los participantes debían describir cómo crear buenas contraseñas y cómo ellos creen que alguien puede adivinar o descifrar una contraseña, y quién puede ser esta personas.

En caso que te estrés preguntando, cOntraseñA es más seguro que contr@señ4 porque es más común substituir letras que utilizar letras mayúsculas en la mitad de la palabra. Y resulta que ieatkale88 es más seguro que iloveyou88 porque la palabra “love” y las frases que la contienen son muy comunes. Ninguno de estos es una gran contraseña, ya que son muy cortas.

Pero el principal problema es que las personas no entienden cómo las contraseñas pueden ser atacadas, de acuerdo a los investigadores.

Un método es adivinar intentando posibles combinaciones de caracteres, números y símbolos con softwares de cracking, los que intentan distintas técnicas (como poner los números al final) y palabras (love, por ejemplo) que son comunes en las contraseñas. Este tipo de ataques no funciona por lo general, al menos en servicios que han adoptado buenas prácticas como Google y Facebook, los que se bloquean luego de unos cuantos intentos.

Pero también existen ataques fuera de línea donde los hackers consiguen una gran base de datos de contraseñas, mismas que a veces están encriptadas. En este caso, los cibercriminales poseen todo el tiempo y las posibilidades de adivinar, porque quieren contraseñas reales. En este punto pueden intentar reutilizarlas en otras cuentas.

“Le pedimos a las personas que hagan contraseñas que los atacantes no podrán adivinar, pero muchos participantes no tienen idea de lo que eso significa”, nos cuenta Blase Ur, otro coautor del estudio.

La raíz de este problema es que las personas no saben cómo hacer una buena contraseña. Muchos servicios le dan consejos a los usuarios cuando tienen que crear sus cuentas, pero es incompleto o limitado. Y los muchos lectores de contraseñas que hay en línea e intentan enseñar a los usuarios sobre contraseñas (te estoy mirando CNBC) por lo general son engañosos.

“En estos momentos le estamos dando malas instrucciones a los usuarios sobre cómo crear sus contraseñas, le estamos dando mala retroalimentación sobre si sus contraseñas son buenas y nos sorprendemos que este creando malas contraseñas” dijo Bauer.

Ur dijo un ‘mea culpa’ en nombre de los diseñadores de sistemas, exonerando a los usuarios. La culpa, él dice, reside en el “consejo muy abstracto” que se le da a los usuarios, el que los ha llevado a creer que los dígitos y los símbolos por sí mismos son seguros y que las palabras que no están en el diccionario, como los patrones al azar de teclas presionadas en el teclado son seguras. Los dos no lo son.

Per Thersheim, el fundador de la conferencia de contraseñas, está de acuerdo.

“No culpen a los usuarios por las malas contraseñas” me dijo.

Puedes comprobar tu propio conocimiento sobre la seguridad de las contraseñas en esta pequeña prueba que algunos investigadores y la revista Nature crearon en conjunto. Y recuerda, nuestros cerebros son muy buenos a la hora de recordar contraseñas largas e imposibles de adivinar. Podemos hacerlo mejor que ahora.