Si ha creado una cuenta o dos en los últimos años, es probable que haya notado que muchos de estos sitios lo regañan por usar una contraseña «insegura» bajo ciertas condiciones. A veces, ni siquiera tiene que presionar el botón «Registrarse» antes de que se encuentre con un pequeño mensaje al lado del campo de contraseña que dice que está usando una contraseña débil.
Aunque algunos sitios pueden impedir que te registres con lo que consideran una contraseña débil por completo, otros simplemente te advierten y te dejan hacer lo que quieras por tu propia voluntad de todos modos. Independientemente, estos sitios (en su mayoría) tienen una cosa en común: sus criterios para «contraseñas seguras» no lo mantendrán a salvo.
Forjando malos hábitos
Una de las primeras cosas que notará en la mayoría de los sitios web es que todos parecen tener criterios similares para lo que se consideraría una contraseña «segura». En la mayoría de los sitios, el criterio es el siguiente:
- Un mínimo de 6 u 8 caracteres
- Un mínimo de un número y una letra
- A veces al menos una letra mayúscula.
En este caso, una contraseña como «Ironclad1» es perfecta y cumple con los requisitos de ese sitio web en particular. Dado que la mayoría de los sitios solo tienen estos requisitos, las personas pueden acostumbrarse al hecho de que «Ironclad1», «Sallyepstein4», «Michael1985», etc. son buenas contraseñas. Cualquiera que haya leído las primeras tres páginas de un libro sobre seguridad cibernética sabe que esto es increíblemente inseguro, sin embargo, millones de sitios en la web lo establecen tácitamente como la norma donde la seguridad es una idea de último momento que vale cinco líneas de código.
Un pirata informático podría simplemente usar un ataque de diccionario para descifrar su contraseña y eso es todo.
Algunos servicios web (como Google) también requieren que se use un símbolo (como “!” o “$”) para crear una contraseña. Esto solo hace que cosas como «$allyepstein4» sean contraseñas válidas, y los ataques de diccionario se han vuelto más sofisticados a lo largo de los años.
¿Qué es un buen hábito de contraseña?
Hay un montón de debate sobre qué es una buena contraseña, pero en lugar de explicar todos los matices, solo veremos algunas de las cosas con las que todos están de acuerdo. una buena contraseña
- Incluye una amplia gama de variaciones alfanuméricas como letras mayúsculas, números y letras minúsculas
- Tiene símbolos en lugares impredecibles («@shley» es menos seguro que «@$_hley» porque hay un guión bajo en medio de la palabra, donde un ataque de diccionario normalmente buscaría «@» reemplazando «a» y «$» reemplazando «s»)
- Contiene espacios (como «I @te a S4nDw1ch»)
- Alcanza el límite superior de los límites de caracteres razonables («I l0v3 LuC#Y» es menos seguro que «Th1S p4ssword sH_oulD b3 h@rd to cr@ck»)
- Contiene una falta de ortografía poco convencional de palabras (p. ej., «schuld» en lugar de «should», «beffe» en lugar de «beef», «inszteda» en lugar de «instead», «mektekezier» en lugar de «maketecheasier», etc.)
Por supuesto, una de las mejores contraseñas que podría tener no es muy fácil de guardar en la memoria (por ejemplo: “ifjecBucE083$&&8c ociefjC*#&$6c iof0e0($*#“). Tenga en cuenta que el ejemplo proporcionado está completo galimatías haciendo uso de todas las reglas anteriores, incluida la introducción de espacios. Esto es muy poco convencional incluso para los ataques de diccionario más sofisticados. Siempre que la base de datos que almacena el hash para su contraseña sea segura y las claves de cifrado se administren correctamente, haría su cuenta vale menos la pena para que un hacker la descifre.
Naturalmente, no todos los servidores son seguros, y uno de los servicios que utiliza puede sufrir una violación que revele su contraseña. Esta es la razón por es importante tener una contraseña diferente para cada servicio.
Pero realmente no puedes memorizar 15 contraseñas, y mucho menos la que proporcioné como ejemplo de «una de las mejores contraseñas que podrías tener». Para contrarrestar esto, puede usar un servicio de inicio de sesión único altamente seguro (también conocido como «administración de identidad») que controla sus contraseñas para que no tenga que memorizarlas. Aunque existen desde hace varios años, el concepto sigue siendo un territorio desconocido (al menos en mi opinión profesional), así que pise con cuidado. Haga su propia investigación y busque en Google el nombre de un servicio seguido de la palabra «brecha» para averiguar si alguna vez ha sido pirateado.
Cómo se puede resolver el problema
El problema que estamos tratando de resolver aquí es lograr que la gran cantidad de personas que crean cuentas en la Web comprendan cuáles son las mejores prácticas para la creación de contraseñas. Esto suena como una tarea monumental, ¿no?
En realidad, es tan fácil como proporcionar la información en alguna parte. Google hace un buen trabajo en esto con su pautaspero no va lo suficientemente lejos.
A pesar de los elogios, creo que sería mejor incluir un enlace a estas pautas junto al campo de la contraseña, para que el usuario pueda acceder fácilmente durante la fase de registro de la cuenta. Si alguien ignora esto, es su propia prerrogativa, pero nadie en ese momento podría decir que nunca tuvo la oportunidad de leer algún material educativo sobre el tema.
La única parte difícil de esto es convencer a los millones de sitios web que tienen bases de datos de cuentas para que empleen esta práctica. Sin embargo, dado que la mayoría de estos sitios web utilizan software de caja grande (como WordPress o Drupal), probablemente sea una mejor idea comunicarse con los desarrolladores de este software para proporcionar este tipo de cosas en sus futuras actualizaciones. ¡Tan pronto como los sitios web actualicen su software, obtendrán automáticamente estas pautas en sus páginas de registro!
¿Qué más crees que podemos hacer para difundir el conocimiento de las buenas contraseñas? ¡Discutamos esto en los comentarios!