28 de enero de 2006 | 
Autor: Actualmente, el número de servicios que se ofrecen en Internet ha crecido exponencialmente. Para poder acceder a muchos de ellos se requiere un identificador y contraseña personales. Una mala elección de la contraseña puede facilitar a hackers la entrada no autorizada a este servicio e incluso a otros diferentes. En el siguiente artículo pretende ser una miniuía para la elección de buenas contraseñas:
Requisitos de una contraseña
- Contraseñas de más de 8 caracteres. Contra más larga sea, más dificil será de romper mediante ataques de hackers por el método de fuerza bruta.
- Usar combinaciones de números, letras y símbolos.
- No usar combinaciones de letras secuenciales o de teclas adyacentes, como abcde, qwerty, 12345, etc.
- No usar palabras con ciertas letras reemplazadas, como P@ssw0rd, c0ntr@seny@, etc. pues los hackers también prueban estos trucos.
- Ha de ser fácil de recordar, pero dificil de adivinar:
- No usar tu usuario, el nombre de algún familiar/mascota, años/fechas de nacimiento, etc.
- No usar palabras del diccionario (de cualquier idioma) pues los hackers utilizan herramientas para adivinar passwords basados en palabras.
- No usar contraseñas demasiado dificiles de recordar, que tengamos que apuntar en un papel para recordar, pues otros podrían encontrarlo y usar las contraseñas escritas en él.
Creación de una contraseña segura y fácil de recordar
A la vista de los requisitos expuestos en la lista anterior, puede parecer dificil encontrar una contraseña que los cumpla todos y sea fácil de recordar. Podemos usar el siguiente truco:
- Piensa una frase que te sea fácil de recordar, como por ejemplo "tanto va el cántaro a la fuente que al final se rompe"
- Coge la primera letra de cada palabra. En el ejemplo anterior quedaría "tvecalfqasr"
- Mezcla mayúsculas y minúsculas de manera que recuerdes donde va cada una. En el ejemplo anterior podemos poner en mayúscula la inicial de las palabras más significativas (va, cántaro, fuente, rompe), de forma que quedaría: "tVeCalFqafsR".
- Sustituye algunas letras por símbolos y números, o insértalos en posiciones que puedas recordar: "tVeC@lFq@f5R"
Manteniendo las contraseñas seguras
No sirve de nada crear un password fuerte como el anterior si no lo utilizamos correctamente. Por ello:
- No le des la contraseña a nadie.
- No escribas la contraseña en ningún lugar; mantenla memorizada.
- Nunca envíes la contraseña por e-mail.
- Cambia la contraseña regularmente cada ciertos meses.
- No uses la misma contraseña para más de un servicio. Si la adivinaran en un servicio, tendrían acceso a los otros.
- No actives la opción de recordar contraseñas del navegador. Si otras personas usaran tu ordenador tendrían acceso a los servicios en los que hayas marcado esta opción.
- Procura que la página donde introduzcas la contraseña use SSL, en caso contrario la contraseña se transmitiría por la red sin encriptar, siendo susceptible de ser interceptada por un hacker mediante un sniffer.
- Asegurate que la máquina en la que teclees la contraseña esté libre de virus, troyanos y keyloggers. Si no fuera así, este tipo de software malicioso podría estar preparado para registrar todo lo que teclees, incluidas tus contraseñas.
Actualizado: añadidos los últimos dos puntos con consejos más para mantener seguras las contraseñas.
Actualización 03/05/2006:Password Recovery Speeds página en la que se indican los tiempos aproximados en “reventar” una contraseña según la potencia del ordenador (o red de ordenadores), donde se puede constatar la importancia de una buena elección de passwords.
(Vía Microsoft)
Publicado en Sin categoría
Comentarios en Facebook
Hola!
Me gustaría comentar el ejemplo usado: no me parece una contraseña fácil de recordar (y mira que estoy especialmente sensibilizado con el tema de las contraseñas) y, además, con el problema añadido de ser lenta de teclear (cuanto más tiempo tardas en teclear, más fácil es mirar xD).
De todas maneras, las indicaciones son correctas (faltaría más), y mucha gente debería aplicarlas (conozco personas con contraseñas lamentables xD).
¡Un saludo!
Estoy de acuerdo, no es fácil de recordar. Las primeras veces que la tecleemos tendremos que seguir los pasos mentalmente para recordarla, pero al final acabaremos tecleandola sin pensar y a mucha más velocidad.
A la hora de escoger la dificultad de la contraseña, se ha de pensar como de importante es para nosotros el servicio que queremos proteger con esta. No es lo mismo proteger nuestra cuenta de correo electrónico (puede contener mucha información personal), que proteger un servicio al cual solo nos registramos para probarlo y que no sería tan peligroso si cayera en manos ajenas.
Hola, a mí me parece un buen sistema para generar contraseñas seguras. Sólo hay que recordar una frase y los caracteres que has de cambiar por números.
Una puntualización que yo veo es el acceso a la máquina debe estar tambien estrictamente protegido, ya que una persona podria instalar software malicioso como keyloggers o troyanos para conseguir todo tipo de passwords usados en esa maquina.
Esta pagina esta de puta madre Kilian.
saludos
Completamente de acuerdo. De nada sirve una contraseña muy buena si la tecleamos en una máquina con l seguridad comprometida; como por ejemplo máquinas con troyanos/keyloggers instalados.
Además, si de verdad queremos proteger nuestro password de ojos ajenos, también hay que vigilar que la web tenga SSL/TLS para que la contraseña viaje encriptada por la red, y de esta forma esté a salvo de sniffers.
Gracias por el comentario; he añadido esta sugerencia al artículo
Hola Kilian,
Felicidades por la página, está muy bien … la he visto al verla en tu nickname del msn.
Pero siento discrepar en dos puntos que a mi entender son contradictorios en si: no apuntar la contraseña en ningún sitio y no repetir contraseñas.
Que ocurre si tenemos más de 10 o 20 (no es muy dificil realmente) accesos a servicios distintos que requieren contraseña ? Resultaria imposible acordarse de todas.
Yo personalmente si que me las anoto. Las guardo todas en una base de datos generada con KeePass (GPL) encriptada en AES. La herramienta en cuestión trae ya un generador de passwords, buscador, expiraciones (para recordarte cambiarlas de vez en cuando), copiar el password al clipboard con autoborrado, ordenarlas por arbol … yo estoy encantado (realmente mi salvación al Kaos de passwords que tenia).
Esto me permite tener que recordar una única contraseña (para acceder a la BD) y el resto también complejas y autogeneradas bien guardaditas pero al alcance de mi mano sin tener que recordarlas.
En fin, es una opinión pero para los que tenemos memoria de pez, pero a la vez nos preocupa la seguridad es mano de santo
Saludos !!
Es cierto que recordar una contraseña diferente para cada servicio al que estemos suscrito puede ser difícil si lo estamos a muchos. Pero también es cierto que el 75% de esos servicios no será de vital importancia, por lo que puedes permitirte "apuntarlos" en un programa como el que mencionas y que yo también uso (incluida la versión para PocketPC).
Es muy recomendable que, si se usan este tipo de programas (gestores de contraseñas), se guarden en un formato encriptado y es muy importante tener una copia de seguridad, para que si se estropea el soporte donde está grabado no perdamos la contraseña de decenas de servicios.
Para los que sean muy importantes sigo recomendando el método expuesto en el artículo.
Yo personalmente , tengo una cuenta en hotmail , y hace tiempo que no la abro yo , sospecho que la esta usando otra persona , no puedo restablecer la contraseña , nada , si existe alguna posibilidad de poder abrirla , le agradecere que me lo haga saber…. Gracia Carolina Rebagliati
Las cuentas de Hotmail caducan cuando se lleva mucho tiempo sin abrirlas. Seguramente la tuya caducara y, por tanto, quedó libre para que otra persona pudiera registrarse con ella. La única posibilidad que veo, es que le envies un email y se lo comentes (aunque dudo que esté dispuesto a cedertela) o esperar a que le caduque a el (si es que le caduca).
De todas formas, lo mejor será que te abras otra cuenta de correo, ya sea en hotmail o incluso en gmail.com, que para mi gusto es mucho mejor.