LaResPública Rotating Header Image

Cómo tener una clave segura

Ayer me quedó pendiente un tema fundamental de seguridad informática: las contraseñas. Un problema del estado actual de internet es la cantidad de claves que tenemos que ingresar para distintos servicios. Eso lleva a que la mayoría de las contraseñas sean fáciles de recordar, pero escasamente seguras.

Para entender como hacer una clave segura, hace falta saber como hacen los crackers para entrar a servicios protegidos. Las maneras más comunes son:

  1. Phishing/Ingeniería social: Se arma un sitio o programa que parezca legítimo, pero cuya única finalidad es permitirle al usuario ingresar su contraseña en un campo de texto. La información se envía al cracker, que puede usarla para ingresar al servicio en cuestión.
  2. Keyloggers: Son programas maliciosos que se instalan en nuestra computadora como un virus o un troyano. Graban todo lo que tecleamos, capturan pantallas, y guardan conversaciones de mensajería instantánea e historiales de navegación. Toda la información se envía a una dirección de email del cracker.
  3. Ataques de diccionario: El cracker esconde su dirección IP utilizando proxys. Con un programa, empieza a ingresar claves automáticamente, tomadas de un diccionario que incluye las contraseñas más comunes.
  4. Ataques de “fuerza bruta”: El último recurso de un cracker, es similar al anterior. En vez de tomar claves de un diccionario, el programa las genera automáticamente.

De estos cuatro tipos de ataques, los dos primeros no se pueden solucionar con una contraseña segura: nosotros se la proporcionamos inadvertidamente al cracker. Hay maneras de prevenir la mayoría, pero no tienen nada que ver con mejorar las claves. Para evitar ser infectados por keyloggers, lo ideal es cambiar a un sistema operativo tipo Unix (Linux, BSD, Solaris, Mac OS X), o por lo menos tener un Windows moderno (2000 o superior) actualizado con herramientas antispyware y antivirus, y controlar las fuentes de nuestro software. Para no ser víctimas de phishing… hay que avivarse, y no confiar en nadie.

Los otros dos tipos de ataque, en cambio, son más fáciles de evitar. Los ataques de diccionario pueden prevenirse totalmente. Los de “fuerza bruta” no, dado suficiente tiempo cualquier contraseña puede obtenerse. Lo que sí puede hacerse es, con una clave segura, hacer que el cracker se harte de esperar y elija otro objetivo.

Consejos para tener una clave segura:

  1. No usar palabras del diccionario, ni nombres, como contraseña. Este tipo de clave cae frente a un ataque de diccionario. Buenas listas (en inglés) de claves inseguras pueden encontrarse acá y acá. Tampoco usar una palabra común más un prefijo o sufijo: existen programas que prueban variantes de las claves más usadas.
  2. No hacer claves de menos de ocho caracteres. Muchos sitios piden un mínimo de seis, pero es poco. Ocho tampoco es taaaanto mejor, pero es bastante más que seis.
  3. Usar los cuatro grupos de caracteres: minúsculas, mayúsculas, números y símbolos. La diferencia entre usar un sólo grupo y usar los cuatro es abismal, como lo muestra la tabla de este otro sitio.
  4. No usar la misma clave para todo. Sería como usar la misma llave para todas las puertas de una casa. De esa manera, si alguien consigue una de nuestras claves, no perdemos las demás.

Ahora: ¿como hacer para armar una clave que además de segura sea fácil de recordar? Fácil. Podemos partir de una palabra o frase fácil de recordar, y de ahí derivar hasta llegar a una contraseña segura.

Para dar un ejemplo arbitrario, voy a elegir un elemento de la tabla periódica. Me gusta el rubidio (por varios motivos), así que voy a partir de esa palabra. Son siete letras minúsculas, lo que nos da una expectativa de vida de algunas horas… si un ataque de diccionario no lo encuentra antes. Por eso vamos a ir modificándolo:

  • Agregar mayśculas: Rubidio
  • Reemplazar algunas letras por números: Rub1d10
  • Agregar símbolos de puntuación: Rub1d10??

El resultado es una clave más larga (9 letras) y con todos los tipos de caracteres. Según nuestro sitio de referencia, un cracker con una computadora de escritorio moderna y una conexión normal tardaría 20.000 años en encontrar la clave. La clave no es imposible de descubrir, pero es lo suficientemente dificil como para que la mayoría de los crackers se dediquen a buscar claves de otras personas.

Ejemplos como este hay miles, y cada uno sabrá que puede recordar mejor. Otras buenas claves son:

  • Para nostálgicos de las aventuras gráficas de principios de los 90: **6uyBru$h**
  • Para abogados: 33CN=>implici705
  • Para quienes se ríen de la desgracia ajena: ¢erB0alaB

En fin, hay muchas posibilidades. Existen muchas maneras de transformar una palabra insulsa en una clave más o menos segura. Es más fácil crear una contraseña segura que llorar por no haberlo hecho.

4 Comentarios

  1. MarcosKtulu dice:

    Buenísimo Alexhandros. Cual es tu clave personal?

  2. Alejandro dice:

    1ak1a|/e536urA, por supuesto.

  3. MarcosKtulu dice:

    Alexos, como se puede tener una clave segura en la biblioteca de la fder? 4 digitos y solo numeros.
    cuanto tiempo le tomaria a un hacker hackearla?

  4. Alejandro dice:

    Es cuestión de minutos, si no segundos. O menos, si el sistema guarda las claves “crudas”, sin encriptar. Decí que los más jodido que puede hacer es anotarse en materias para las que no cumplís los requisitos… Pero bueh, pensá que recién este año reemplazaron a los mamotretos IBM con monitor fósforo verde y un teclado disimulado (con las teclas forradas con contact azul y amarillo).

  • Suscribite RSS