Su contraseña se basa en una palabra, de unos ocho caracteres de longitud. Ha sustituido algunos números por letras ('3' por 'E' y '4' por 'a', etc.), se aseguró de poner mayúsculas en una o dos letras y ha marcado un signo de exclamación para el final, como para enfatizar su adherencia a la lista de verificación inmutable de la fortaleza de la contraseña. Usted respira un suspiro de alivio. Cada mes, más o menos, olvidas esta contraseña (o la recuerdas porque la usas en todas partes). Pero es fuerte ... ¿verdad? Vamos a profundizar en el tema de la seguridad de contraseña para descubrir los mitos, las matemáticas y los métodos que definen este aspecto crucial de la informática..
Como ciudadanos y exploradores del espacio digital, podemos encuadrar esta discusión como una búsqueda. Estamos en busca del santo grial de la seguridad de la contraseña; un medio de construir una contraseña que nos ofrece la máxima protección con la máxima memorización; después de todo, solo somos humanos.
Si la fórmula que describí en mi introducción, la que explica la gran mayoría de las contraseñas utilizadas hoy en día, suena como la ideal, es posible que se sorprenda al saber que no solo genera contraseñas difíciles de recordar (obviamente), sino que También es mucho menos seguro de lo que cabría esperar. Para empeorar las cosas, tener una contraseña segura es solo la mitad de la batalla.
Para entender por qué esto es así, debemos tomar un breve desvío hacia el aterrador mundo de la teoría de la información para equiparnos con un conocimiento básico que nos permita comprender cómo se mide y se compara la seguridad de las contraseñas..
En general, la integridad de una contraseña se discute en términos de pedacitos de entropía, una medida interesante utilizada en la teoría de la información para describir la incertidumbre asociada con el resultado de una variable. Cuanto más incertidumbre, o en otras palabras, cuanto más se desconoce acerca del evento que se mide, mayor será la entropía..
Solo tenemos que recordar que, mientras más bits de entropía tenga una contraseña, más difícil será descifrarla..
Por ejemplo, consideraríamos un lanzamiento de moneda para representar un solo bit de entropía ya que el valor incierto es solo una de dos posibilidades. La fórmula que representa el valor de entropía de una contraseña es espantosa, y no necesitamos entenderla para dar sentido a la entropía en general..
Devolviéndolo a nuestra búsqueda, solo tenemos que recordar que, cuanto más bits de entropía tiene una contraseña, más difícil es descifrarla..
Ahora que conocemos el principio básico de cómo se mide la fortaleza de las contraseñas, debemos examinar a nuestros oponentes en este empeño: los piratas informáticos, los intrusos de contraseñas y otros malhechores digitales que buscan acceso a sus cuentas..
El craqueo de contraseñas es una piedra angular del mundo de los piratas informáticos y, como era de esperar, cuenta con uno de los arsenales más desarrollados del repertorio de piratas informáticos. En general, los métodos de descifrado de contraseñas se dividen en una de dos categorías: desciframiento de patrones y ataques de fuerza bruta.
Descifrar una contraseña es menos difícil de lo que piensas en estos días Si ha seguido la fórmula de mi introducción, es probable que su contraseña sea muy susceptible a los métodos de craqueo basados en patrones. Estos vienen en varias versiones, desde el ataque de diccionario básico hasta las variantes más sofisticadas que explotan técnicas comunes de creación de contraseñas..
Cuando son aplicables, son preferibles los métodos de craqueo basados en patrones porque reducen enormemente la cantidad de posibilidades que un hacker debe probar antes de encontrar la contraseña real..
Si ha seguido la fórmula de mi introducción, es probable que su contraseña sea muy susceptible a los métodos de craqueo basados en patrones..
¿La contraseña de ocho caracteres que tiene, que usa números, letras de varios casos y caracteres especiales? Probablemente tardaría media hora en romperse.
Esta segunda categoría de ataques representa el enfoque bárbaro del pirateo de contraseñas. En esencia, un ataque de fuerza bruta significa que el pirata informático usará una computadora increíblemente poderosa (o red de computadoras) para probar sistemáticamente cada combinación posible de personajes para descubrir su contraseña.
Claramente, esto parece desalentador, ya que cada carácter adicional que agregue a una contraseña requerirá grandes cantidades de posibilidades de contraseña adicionales. Desafortunadamente, dependiendo de la habilidad y el hardware disponible para su agresor, puede esperar que un hacker pueda probar entre varios cientos de miles y aproximadamente un millón de combinaciones de contraseñas posibles. por segundo.
¿La contraseña de ocho caracteres que tiene, que usa números, letras de varios casos y caracteres especiales? Probablemente tiene un valor de entropía de entre 30 y 50 bits. Eso probablemente tomaría tan poco como media hora para abrirse de par en par.
Independientemente del enfoque, descifrar una contraseña requiere la capacidad de probar muchas contraseñas diferentes para encontrar una coincidencia. Aquí es donde entra la otra mitad de la integridad de la contraseña: las medidas de seguridad del proveedor de la cuenta.
Si alguna vez ha encontrado un CAPTCHA en un sitio web (los formularios que requieren que usted descifre los dígitos o las palabras oscuras para poder continuar), es posible que haya llegado a la conclusión de que el sitio web lo odia a usted, a sus ojos y a su tiempo libre. Probablemente este no sea el caso.
De hecho, esos CAPTCHA agravantes tienen un propósito crucial en el mundo de la seguridad de la cuenta: no solo impiden que los robots automáticos completen los formularios de inicio de sesión, sino que también agregan un impedimento adicional que ralentiza la capacidad de un pirata informático para probar las miles de contraseñas por Segundo requerido para realizar un crack exitoso. Por supuesto, no son infalibles, pero son una capa adicional de protección..
Junto con otras medidas de seguridad del lado del servidor, como los tiempos de espera de inicio de sesión automáticos después de demasiados intentos fallidos, los CAPTCHA representan el otro lado de la moneda de protección de contraseña.
A menudo vale la pena explorar qué tipo de medidas de seguridad tiene un servicio en su lugar antes de asignar demasiada información privada a su cuidado, ya que no importa qué tan fuerte sea su contraseña, no importará si la puerta trasera está abierta..
En su mayor parte, nuestra fórmula introductoria para la creación de contraseñas ofrece consejos muy inteligentes. Casos múltiples, caracteres especiales, números; Estas son todas técnicas de sonido para usar como parte de su contraseña..
Hay otras técnicas que probablemente te haya recomendado y que simplemente apestan a mantener tu cuenta segura.
Pero hay algunas pautas que influyen en su efectividad y hay otras técnicas que probablemente le haya recomendado y que simplemente apestan a la hora de mantener su cuenta segura. Examinemos algunas de estas pautas e identifiquemos ejemplos de técnicas de contraseña deficientes.
La plataforma puede parecer apilada en su contra, pero vale la pena recordar que la mayoría de nosotros no vamos a ser los objetivos de los piratas informáticos dedicados. Nuestra prioridad es tomar decisiones informadas sobre los servicios que elegimos confiar con nuestros datos y asegurarnos de que nuestros cuentas tan seguras como sea posible sin causarnos dolores de cabeza innecesarios al recordar cadenas de caracteres oscuras.
Hay varias formas inteligentes de crear contraseñas seguras que se ajustan a estos criterios, pero nos centraremos en dos principales, que no solo son populares, sino que también son extremadamente efectivas y lo suficientemente flexibles para ser utilizadas en cualquier lugar..
Nuestra prioridad es tomar decisiones informadas sobre los servicios que elegimos para confiar con nuestros datos y garantizar que nuestras cuentas estén lo más seguras posible..
Una de las paradojas más fascinantes de la seguridad de la contraseña es el hecho de que, si bien una palabra es muy fácil de comprometer como contraseña, el uso de varias palabras en secuencia constituye uno de los métodos de creación de contraseña más seguros posibles que también nos ofrece el beneficio. de ser mucho más sencillo de recordar que una cadena equivalente de caracteres aleatorios.
Uno de los métodos principales para generar una lista de palabras de este tipo se llama 'Diceware', cuyo nombre se debe a que utiliza un conjunto de dados para generar la contraseña a partir de una lista de palabras, como este ejemplo en inglés..
Por cada palabra en la contraseña (o frase de contraseña, en este caso), tirarías un dado cinco veces. Los números resultantes se unirán, digamos 61345, y luego se selecciona la palabra correspondiente de la lista, en mi caso 'sapo'.
Ahora, como ejemplo, tomemos una contraseña "fuerte" típica: 7YmP @ ni5 (timbales, para usted, gente no musical). Esa contraseña nos ofrece unos 50 bits de entropía. No está mal, pero tampoco es terriblemente memorable. ¿Qué letra se sustituyó con qué carácter o número especial? Cuales letras fueron en mayúscula?
Al terminar una frase de contraseña de 5 palabras usando la lista de palabras de Diceware, se me ocurrió 'toadloafsteamwhackethos'. Eso nos da una línea de base de alrededor de 65 bits de entropía, un desafío mucho más desalentador para los piratas informáticos (cada bit adicional de entropía significa el doble de posibilidades que es necesario ejecutar).
Normalmente, cinco palabras se consideran la longitud mínima viable para una frase de paso de Diceware, y la belleza del sistema es que el valor de entropía se calcula asumiendo que su pirata informático no solo sabe que está utilizando una lista de palabras de Diceware, sino que incluso sepa cuál ha usado y cuántas palabras hay en su frase de contraseña. En otras palabras, si saben algo menos que eso, o se sienten completamente ciegos, la entropía de su frase de contraseña es aún mayor!
Y debido a que es una lista simple de palabras comunes, es mucho más fácil de recordar, especialmente si genera (o inventa) una frase que sea humorística o que refresque su memoria de alguna otra manera: "¡Oiga, escuche!" Es simple para los fanáticos de Zelda. 70 bits de entropía nostálgica allí mismo..
Un método tortuoso y muy eficaz para generar contraseñas seguras implica el uso de frases de una manera poco convencional que sucede para marcar muchas de las casillas de verificación de la creación de contraseñas seguras: reunir las primeras letras y toda la puntuación en una contraseña.
Tomemos, por ejemplo, un poema como The Jabberwocky, de Lewis Carroll. Desde la primera estrofa, tomaremos las dos primeras líneas, que son:
'Twas brillig, y los toves slithy
Giro y gimble en el wabe;
Luego, aplicando este método, terminaríamos con "'Tb, atstDgagitw;". Esa maravillosa pieza de ingeniería de contraseñas representa una asombrosa cantidad de 100 bits de entropía..
Veamos las ventajas: parece, en la superficie, completamente aleatorio y, por lo tanto, es impermeable a los ataques basados en patrones; utiliza letras de casos múltiples y caracteres especiales; tiene más de 12 caracteres (una pauta común); y a pesar de su aparente oscuridad, es imposible de olvidar porque se deriva de una literatura que es intrínsecamente fácil de recordar: un poema!
Suponiendo que no le guste la poesía, puede, por supuesto, utilizar una línea de su discurso favorito, una cita de un libro o cualquier otra frase que probablemente nunca olvidará..
Personalmente recomiendo la poesía por dos razones: una, que suele ser rica en puntuación y mayúsculas, y dos, casi siempre es muy fácil de memorizar (solo piensa en cuántas canciones populares puedes cantar).
La última pieza en el rompecabezas de contraseñas seguras es la variabilidad: no use la misma contraseña en todas partes, es el error más grande que puede cometer. Diez contraseñas débiles son más seguras que una más fuerte utilizada diez veces, porque si se pone en peligro, cada cuenta que tenga también se verá comprometida de inmediato..
No use la misma contraseña en todas partes, es el error más grande que puede cometer..
Usando los dos métodos que describimos anteriormente, puede encontrar fácilmente maneras de mantener las cosas congruentes y tener contraseñas diferentes para diferentes servicios. Cambiar la última palabra en tu lista de Diceware, o usar diferentes versos de las letras de la misma canción, por ejemplo.
Deberíamos hablar brevemente sobre el problema de escribir las contraseñas para recordarlas. Este es un riesgo de seguridad que muchas personas toman, al colocar sus contraseñas cruciales en un cuaderno o en una hoja de papel en su billetera..
Si bien es conveniente, también abre un camino de peligro completamente nuevo: si alguien roba su billetera, normalmente se escaparía con algo de dinero y su identificación. Ahora, también pueden acceder a todas las cuentas para las que hayas anotado una contraseña. ¿Puedes acordarte de ir y cambiarlos todos a tiempo??
Cuando proponemos nuestra solución de contraseña ideal, enfatizamos que debe producir algo memorable precisamente para que no tenga que recurrir a escribir las cosas para recordarlas..
Alternativamente, si la fórmula que usa es algo que puede recordar fácilmente, entonces solo tendrá que escribir recordatorios oscuros que serán inútiles para cualquiera que intente descifrar su contraseña. Si utilizara el método del acrónimo de la poesía, podría escribir una nota que simplemente indique qué verso utilizó para cada servicio: un ladrón no sabría de qué está hablando..
Quién es un pirata informático con mayor probabilidad de atacar: una persona aleatoria o una compañía que se jacta de proporcionar una protección de contraseña segura para millones de usuarios?
En este punto, es posible que se pregunte por qué no debe usar un servicio de contraseña dedicado como LastPass para administrar y generar sus contraseñas seguras..
Como esas son herramientas tanto de buena reputación como flexibles, debe considerar usarlas. La razón por la que vale la pena generar sus propias contraseñas sólidas es que, dado que también son servicios administrados por las empresas, son vulnerables a los ataques por sí mismos, y son mucho más propensos a un asalto a la contraseña que a un individuo solitario. Después de todo, quién es un pirata informático que tiene más probabilidades de atacar: una persona aleatoria o una compañía que se enorgullece de proporcionar una protección de contraseña segura para millones de usuarios?
Ya que se han comprometido a hacer precisamente eso, muchos de estos servicios son dignos de confianza, pero si eres más cauteloso o no quieres tener todo almacenado en una aplicación, o simplemente quieres un medio para cree una contraseña maestra segura para esas otras soluciones, vale la pena saber cómo crear una, y ahora lo hace!
No hace falta decir que las contraseñas más seguras son esos gigantes aleatorios de 20 caracteres para los que puedes encontrar fácilmente un generador en la web. Estos son categóricamente más fuertes que cualquier otro que puedas formular. Pero también son útiles solo para máquinas y personas con una habilidad ridícula para memorizar cadenas de caracteres complicadas, simplemente no son prácticos para el uso diario.
La noción de una contraseña ideal que hemos explorado en este tutorial ha sido una que encuentra un equilibrio feliz entre integridad y memorabilidad. Ahora está equipado para detectar los escollos más importantes de la creación de contraseñas y crear contraseñas seguras, memorables y variables para usted. Así que avanza y aprieta las escotillas de tus valiosos activos digitales.
Mientras lo hace, no se olvide de cambiarlos de vez en cuando: después de todo, es más difícil alcanzar un objetivo en movimiento..
¿Tienes un método mejor? Queremos oír hablar de eso! Las contraseñas son importantes, así que entra en los comentarios y comparte tus pensamientos.
Accentsconagua
Share