Si aprovechamos los trucos para que las contraseñas sean más seguras no tendremos que memorizar largas combinaciones de caracteres aleatorios. Es posible mejorar la seguridad de una contraseña al tiempo que se mantiene más o menos sencilla de recordar.
Hemos explicado que para crear una contraseña segura hemos de utilizar letras mayúsculas y minúsculas, números y caracteres especiales (tipo @ # & %) para que a los sistemas automáticos les resulte más complicada averiguarla a base de probar millones de combinaciones al azar.
Muchas veces nos olvidamos de que la letra eñe (ñ) es un carácter muy útil en las contraseñas si somos hispanohablantes. Prácticamente, cualquier servicio aceptará la letra eñe como parte de la contraseña, aumentado la dificultad al tiempo que ayuda a diseñar combinaciones más sencillas de recordar.
Lo mismo ocurre con las vocales con tilde, y otras letras habituales en idiomas diferentes al inglés. Por ejemplo, en catalán o portugués la letra ç (ce con cedilla) es común, en francés tienen æ y œ (ligaduras) y en alemán está ß (eszett).
Vamos a ver cómo se define la seguridad de una contraseñas, y cómo aprovechar las letras propias del español en nuestro favor frente a posibles hackeos. En informática muchas veces se emplean los 255 caracteres básicos (se denominan ASCII) basados en el inglés, y eso nos da una cierta ventaja.
Longitud, juego de caracteres y diccionarios
La seguridad o fortaleza de una contraseña depende, fundamentalmente, del número de combinaciones teóricas que hace falta para averiguarla. A nivel técnico, se denomina entropía y se mide en bits, con una entropía a partir de 64 bits siendo fuerte, y por encima de los 128 bits muy fuerte.
La técnica más rudimentaria (pero la única 100% efectiva) para averiguar contraseñas es el ataque de fuerza bruta, es decir, ir probando los millones y millones de posibles combinaciones. En él intervienen dos factores:
- Longitud: cuanto más larga en la contraseña, más intentos hay que realizar, siendo 10-12 caracteres la longitud recomendada.
- Juego de caracteres: si solo incluimos letras, las combinaciones para averiguar una contraseña son muchísimas menos que añadiendo números y caracteres especiales.
Por ejemplo, la contraseña "vaboqaoipw" (10 caracteres) es menos segura que Y&h%2hR3 (8 caracteres) por el número de combinaciones.
Las 26 letras del alfabeto inglés en minúsculas nos dan cerca 141.167.095.653.376 combinaciones (fortaleza de 47 bits) con 12 caracteres. Mientras que añadiendo mayúsculas, minúsculas y caracteres especiales suben a 576.480.100.000.000 (fortaleza de 49 bits) con 8 caracteres.
Hay que pensar que la tabla ASCII estándar solo tiene 96 caracteres utilizables de los 255 que la componen (los denominados "imprimibles), así que nos da más opciones, pero tampoco tantas:
Una contraseña como Y&h%2hR3 es muy complicada de recordar, y muchas personas optan por palabras reales para que sea más sencillo acordarse. Es posible crear buenas contraseñas con este sistema, pero también muy malas, pues para vulnerarlas existen los diccionarios de contraseñas.
Los diccionarios para hackear contraseñas se basan en la posibilidad de que se empleen palabras del lenguaje común, de modo que se prueban estas combinaciones antes de los ataques de fuerza bruta, lo que ahorra mucho tiempo.
Algunos diccionarios solo incluyen el inglés, así que usar la letra eñe supone un impedimento adicional. En los diccionarios siempre aparecen las malas contraseñas que no debemos usar, como 12345, qwerty, abc123 o password, así que hay que evitarlas por completo.
Además, es bueno comprobar si nuestra contraseña se ha filtrado en un hackeo. No deberíamos compartir contraseña entre servicios, pero es algo habitual, y cuando se filtra en uno de ellos, el resto queda en peligro.
De hecho, hay quien tiene una única contraseña segura, que está asignada al programa gestor de contraseñas del móvil y ordenador. Guardadas en el gestor hay contraseñas únicas para cada servicio, que se introduce automáticamente, de modo que las filtraciones no suponen un problema.
Contraseñas seguras con la eñe
Hemos visto que emplear la letra eñe y las vocales acentuadas añade un poco de seguridad adicional frente a otros caracteres especiales. Sin embargo, al final los factores limitantes son la longitud de la contraseña y nuestra memoria.
Es buena idea basar las contraseñas en frases nemotécnicas, que con las debidas condiciones generan combinaciones muy complejas de adivinar para un ordenador, pero aceptablemente sencillas de recordar para un ser humano.
Por ejemplo, comparemos dos contraseñas muy diferentes:
- Y&h%2hR3 - fortaleza de 49 bits.
- cas8aÑa¿amARÁ,,0toño - fortaleza 128 bits.
La segunda contraseña es extremadamente segura, pero se basa en una idea sencilla de recordar: "castaña amará otoño". A partir de ahí debemos hacer cambios, incluyendo mayúsculas, número y caracteres especiales.
No nos limitaremos solo a cambios sencillos, como sustituir vocales (A por 4 u O por 0), hay que complicarlo. En cualquier caso, el resultado va a ser mucho más sencillo de recordar que una contraseña de 20 caracteres aleatorios.
Por último, en ciertos servicios, las contraseñas aceptan los más de 100.000 caracteres de Unicode, el estándar que abarca todos los idiomas del mundo. Es decir, podríamos emplear las letras de idiomas como el ruso, griego, hebreo o árabe, complicando mucho la contraseña.
Incluso los emojis forman parte de Unicode, así que algunos servicios nos dejarán incluir emojis en las contraseñas, pero no todos.
Una contraseña segura no es razón para dejar de lado otros recursos como la verificación de dos pasos, que nos envía un código adicional de un solo uso (normalmente por email o SMS) en cada inicio de sesión. De cara al futuro, el estándar passkeys pretende que nos identifiquemos directamente con el móvil.
También debemos pensar que si utilizamos teclados físicos no españoles será menos cómodo escribir la eñe y las vocales acentuadas. En estos casos, lo mejor es recurrir a los teclados virtuales en pantalla (también disponibles en Windows y Mac), donde tenemos todos los caracteres, aunque tardaremos más en introducirlos.
En conclusión, emplear la letra eñe y vocales con tilde mejoran las contraseñas, pero siempre que sigamos el resto de recomendaciones que las hacen robustas.
- Ver Comentarios