PDA

Ver la versión completa : Mejora tus contraseñas inseguras en cinco minutos



LUK
12-08-2009, 11:43
Slate desvela una técnica infalible para tener a buen recaudo tu ordenador.
Empresas como AccessData demuestran que es muy sencillo descifrar una contraseña.
Empieza por escoger una frase original pero que sea fácil de recordar para ti.

Es difícil resistirse a culpar a la víctima. En mayo, un pirata informático francés entró en las cuentas de correo electrónico de varios empleados de Twitter y se hizo con un botín de anotaciones de reuniones, documentos estratégicos y otros garabatos confidenciales. El hacker acabó pasando la información a TechCrunch (http://www.techcrunch.com/2009/07/14/in-our-inbox-hundreds-of-confidential-twitter-documents/), que a partir de entonces comenzó a publicar notas tomadas en reuniones donde directivos de Twitter trataban sus muy ambiciosos objetivos (http://www.techcrunch.com/2009/07/16/twitters-internal-strategy-laid-bare-to-be-the-pulse-of-the-planet/) (la empresa quiere ser el primer servicio web en alcanzar la cifra de 1.000 millones de usuarios). ¿Cómo consiguió el hacker todo esto?

Mirko Macari (Flickr)Echa la llave y tírala al río.
Como muchas empresas del sector tecnológico que han emprendido el vuelo hace relativamente poco, en Twitter no se usa el papel —gran parte de los asuntos de la empresa se someten a discusión por correo electrónico y a través de documentos compartidos en Google—. Todos estos secretos corporativos se blindan con un material endeble: las contraseñas de los empleados, que el intruso adivinó, puesto que muchos en Twitter usaban las mismas contraseñas para diversos sitios. En otras palabras: Twitter se lo estaba buscando. El problema es que nosotros también.

Vuestras contraseñas no son muy seguras. Incluso aunque penséis que lo son, probablemente no sea así. ¿Usas la misma contraseña o una parecida para distintos sitios web importantes? Si no, date una palmadita en el hombro. Si lo haces, no eres el único: una encuesta reciente reveló que la mitad de los usuarios de Internet accedían a todos los sitios web que requieren contraseña con la misma (http://www.msnbc.msn.com/id/24162478/). ¿Cambias tus contraseñas a menudo? Casi seguro que no: más del 90% de la gente no lo hace. Si una de tus cuentas cae en manos de un pirata informático, ¿eso le bastará para acceder al resto de tus cuentas?.

Para escarmentar, prueba esto: busca en tu correo electrónico algunas de tus propias contraseñas. Es probable que encuentres muchas, bien porque te las has enviado a ti mismo o porque algunos sitios web envían tus contraseñas cuando te registras o cuando les notificas que las has olvidado. Si un hacker se las arregla para entrar en tu correo electrónico, para él acceder a tu cuenta bancaria o a tus sitios de redes sociales es coser y cantar. Eso es justamente lo que ocurrió en Twitter. (Aquí está mi detallada explicación de cómo Twitter se vio comprometido (http://www.slate.com/id/2223478/sidebar/2223540/)).


Todo el mundo sabe que es mala idea usar la misma contraseña para distintos sitios. La gente lo hace de todas formas porque acordarse de distintas contraseñas es una lata. Y lo es más aún acordarse de distintas contraseñas difíciles. Eric Thompson, el fundador de AccessData (http://www.accessdata.com/index.html), una empresa de herramientas de investigación tecnológica de última generación, que desarrolla software para descifrar contraseñas, sostiene que la mayoría de las contraseñas responden al mismo patrón. En primer lugar, la gente escoge una palabra legible como base de la contraseña —no necesariamente una que venga en el diccionario pero sí que se pueda pronunciar—. Entonces, cuando se les presiona para que añadan un número y así la contraseña sea más segura, la mayoría se limita a colocar ‘1’ o ‘!’ al final de esa misma palabra.


La gente escoge una palabra legible como base de la contraseña, y la mayoría se limita a colocar ‘1’ o ‘!’ al final de esa misma palabra.

El programa de Thompson, que se vale de una técnica de 'búsqueda combinatoria o fuerza bruta', prueba con miles de contraseñas hasta que acierta a adivinar la tuya, y así se las compone fácilmente para conocerse el percal. Cuando incorpora tu historial de exploración al algoritmo —todas tus incursiones en Twitter, Facebook, o donde quiera que sea— este programa puede llegar a tener una lista de contraseñas que fácilmente incluya la tuya (no lo usa con fines deshonestos: AccessData normalmente descifra contraseñas bajo orden judicial, con fines militares o cuando las empresas dejan de poder acceder a sus propios sistemas —"el administrador de sistemas es arrollado por un autobús camino al trabajo", cita Thompson a modo de ejemplo—).

El experto en seguridad de sistemas Bruce Schneier, que escribe a menudo sobre contraseñas, destila los hallazgos de Thomson en unas simples reglas (http://www.schneier.com/essay-148.html): elige una contraseña que no contenga un nombre legible. Alterna mayúsculas y minúsculas. Incluye un número o símbolo en el medio de la palabra, no al final. No uses ‘1’ ni ‘!’ y no recurras a símbolos para sustituir a letras, tales como @ en vez de A minúscula (el software para descifrar contraseñas seguramente calará ese truco). Y, por supuesto, crea contraseñas distintas para tus diversos sitios web.

Todo esto suena complicado y parece que lleva mucho tiempo. Pero no tiene porqué ser así. En el apartado de comentarios de Schneier (http://www.schneier.com/blog/archives/2009/07/strong_web_pass.html), descubrí una técnica para crear contraseñas que son prácticamente imposibles de reventar y pese a todo fáciles de recordar. Y, lo mejor: sólo te llevará 5 minutos. ¿Preparado?

Contraseñas difíciles de descifrar, fáciles de recordar
Empieza por escoger una frase original pero que sea fácil de recordar para ti. Vamos a valernos de dos frases para practicar: Me gusta comer donuts en el aeropuerto y Mi primer Cadillac era un cacharro así que me compre un Toyota. La frase puede tener algo que ver con tu vida o puede estar formada por un conjunto aleatorio de palabras: sólo asegúrate de que podrás recordarla. Ésa es la clave. Así no tendrás que apuntarla en ningún sitio. (Y, si no puedes recordarla sin hacerlo, es que no es una buena frase). Esto reduce la probabilidad de que alguien la adivine si accede a tu ordenador o a tu correo electrónico. Y, lo que es más: una frase-pista relativamente sencilla se puede convertir en una contraseña tremendamente complicada.

Lo que nos lleva al paso dos: cambia tu frase por siglas. Asegúrate de incluir algunos números y símbolos, además de letras mayúsculas aparte de minúsculas: Me gusta comer donuts en el aeropuerto se convierte en Mgcdee@ y Mi primer Cadillac era un auténtico cacharro así que compre un Toyota se vuelve M1erCeucaqmCuT.


No hace falta que tengas una contraseña exclusiva para cada uno de los sitios web que visites, cuatro o cinco son suficiente

Eso es todo: ahí la tienes. Estas contraseñas mnemotécnicas son difíciles de olvidar, pero contienen palabras que nadie adivinaría. Incluso puedes crear una contraseña larga para determinados sitios web encriptados con una pista relacionada con el sitio web en cuestión. Una frase como Estamos a 20 grados en febrero, con que uso Gmail te permite establecer una nueva contraseña para Gmail cada mes e incluso así seguirás sin olvidarla: ea90geScquG para septiembre, ea30geMcquG para marzo, etc. (no son temperaturas reales, tan solo el número de mes en cuestión multiplicado por 10).

¿Cuántas contraseñas distintas necesitas? Cuatro o cinco como mucho. No hace falta que tengas una contraseña exclusiva para cada uno de los sitios web que visites (Thompson dice que no importa repetir contraseñas en sitios web que no hace falta preservar tanto). Por poner un caso, puedo usar la misma contraseña para mis cuentas en el New York Times, el New Republic y el The New Yorker, así como otros periódicos o revistas online, porque no me dará más si alguien las descifra y entra (mi frase clave es I like to read snooty publications quite often).

Puede que sea buena idea que uséis contraseñas diferentes para cada una de vuestras cuentas de sitios web de redes sociales: alguien puede jugártela bien entrando en tu Facebook o en Twitter, así que mejor será que sean bien distintas, y aun así siempre puedes idear una simple frase-pista sistemática para protegerlas, como Twitter es mi segunda red social preferida, MySpace es mi tercera red social preferida, etc. Reserva tus contraseñas más potentes y bien diferenciadas para los pocos servicios que son realmente importantes y que te haría realmente polvo que alguien llegara a reventar —tu cuenta bancaria, tu ordenador, o casi todo tu correo electrónico, que con frecuencia contiene las claves del resto de las cosas de tu vida.

Está claro que es un poco más lío que tal como lo haces ahora... pero si sigues así se volverá en tu contra. En los tiempos que corren no paramos de soltar datos personales. Puede que estés convencido de que una contraseña es totalmente imposible de adivinar. Pero tu perfil en Facebook deja claro que eres un fan total de U2 y que terminaste la carrera en el año 2000: Achtung2000 ¿eh? Simplemente ponte manos a la obra y crea unas cuantas contraseñas nuevas seguras ya mismo. Confía en mí: te sentirás mejor.

Enlaces:
http://www.slate.com/id/2223478/
http://www.soitu.es/soitu/2009/08/03/actualidad/1249281210_680310.html