Publicidad

Artículo

El hombre que creó las populares reglas para crear una contraseña online segura se arrepiente y te pide que las olvides

El hombre que creó las populares reglas para crear una contraseña online segura se arrepiente y te pide que las olvides
Daniel Caceres

Daniel Caceres

  • Actualizado:

Cambia tu contraseña cada 90 días. Añade tanto minúsculas como mayúsculas. Pon caracteres especiales como * o ! o ?. E incluye al menos un número”.

Todos nos conocemos al dedillo los consejos básicos para crear una contraseña que sea segura en Internet. El problema es que ahora Bill Burr, el creador de estos trucos, se arrepiente de la guía que confeccionó en 2003. Burr no solo admite que los trucos en la actualidad son inútiles sino que además nos pide perdón por los quebraderos de cabeza que nos ha comportado aprenderlos y aplicarlos.

En el año 2003, Burr, por aquel entonces gerente del Instituto Nacional de Estándares y Tecnología (NIST según sus siglas en inglés), creó una guía de ocho páginas sobre cómo crear contraseñas seguras. El documento se llama “NIST Special Publication 800-63. Apéndice A”. Ni tú ni yo lo hemos leído pero tooooodos los trucos sobre contraseñas que encontrarás en la red son una síntesis de ese documento.

GFI224-strong-passwords1

¿Todo lo que siempre te han dicho sobre las minúsculas, lo de poner números…? Bill es responsable de todo ello.

El problema es que Bill desconocía cómo funcionaban las contraseñas en el año 2003. Tampoco era un experto en seguridad. Simplemente escribió el manual sin saber las repercusiones que tendría.

“Me arrepiento mucho de lo que hice”, declara Burr para The Wall Street Journal. Y es que mucha de su documentación para crear ese manual provenía de informes de los años 80, antes del nacimiento de la red actual. Además, “la lista de pasos que escribí fue posiblemente muy complicada para que la gran mayoría pudiera entenderlo, y encima no lo hice bien”.

¿Cuál es el problema con los trucos básicos para crear una presunta contraseña segura? Hay un cómic muy popular del dibujante Randall Munroe que lo resume muy bien.

password_strength

El sistema creado por Bill de 2003 es fácil de descifrar: un programa que realice mil pruebas por segundo tardará como máximo 3 días en descifrar una contraseña que siga su proceso. ¡Y encima al usuario le costará un montón recordar esa contraseña!

En cambio, existe otro sistema que consiste en crear una contraseña a partir de cuatro palabras normales aleatorias. Un programa que realizara mil pruebas por segundo para descifrar una contraseña tardaría unos 550 años en descubrirla. Y encima es un sistema más fácil de recordar para el ser humano ya que somos muy buenos creando asociaciones de palabras.

Incluso el consejo de “cambia tus contraseñas cada 90 días” es inútil porque todos hacemos lo mismo, es decir, alterar levemente la contraseña original. Cogemos la contraseña “m0nkey_1” y la convertimos a “m0nkey_2”, un cambio fácil de deducir por parte de un hacker o por un crackeador de contraseñas.

La conclusión del cómic lo dice todo: “A través de 20 años de esfuerzo, hemos entrenado a todo el mundo para que use contraseñas que son difíciles para los humanos de recordar pero fácil para los ordenadores de adivinar”.

password-security

Por eso Bill se arrepiente de habernos instruido a crear ese tipo de contraseñas. Ahora bien, ¿deberíamos culparle? Hace quince años, no existía tanta documentación o información sobre contraseñas o información de Internet. Bill lo hizo lo mejor que pudo, al igual que el inventor de los anuncios pop-up o el inventor de tener que poner doble barra en las URLS. ¿Qué tienen en común estos dos inventores con Bill? Que todos ellos se arrepienten de tomar esas decisiones, ¡pero era lo mejor que podían haber hecho en ese momento!

La tecnología es como la vida: funciona mediante el ciclo de ensayo-error. Hemos probado de hacer las contraseñas de cierta forma y hemos tardado lo necesario en darnos cuenta de que quizás existen mejores métodos.

Los expertos en seguridad ya hace tiempo que se dieron cuenta de que el manual de Bill no era infalible:

“Cualquier cosa publicada bajo la NIST tiende a ser influenciable, así que estas guías estaban destinadas a tener un impacto a largo plazo”, explica el profesor Alan Woodward, de la Universidad de Surrey. “Pero sabemos desde hace tiempo que esta guía tiene un efecto desafortunado. Por ejemplo, cuánto más pedimos que se cambie la contraseña, más débil suele ser la contraseña nueva. Además, la complejidad de las instrucciones provoca que mucha gente reutilice la misma contraseña para múltiples cuentas, algo que no es nada seguro“.

El Centro de Ciber Seguridad Nacional Británico creó su propia guía en 2015. Esta guía recomienda, por ejemplo, el uso de gestores de contraseñas.

Password-Managers

La propia NIST sacó una nueva guía el pasado mes de junio a cargo del asesor técnico Paul Grassi. Muchos de los consejos de Burr han desaparecido. “Casi que hemos empezado desde cero”, ha explicado Grassi. “Pero creo que Burr ha exagerado con los efectos negativos de sus consejos. Escribió un documento de seguridad que ha aguantado 10-15 años. Solo espero que ahora tengamos un documento que también pueda aguantar tanto”.

El nuevo documento hace hincapié en que vivimos en un mundo con gestores de contraseñas, con sistemas de verificación en dos pasos y con listas de distribución regular con las contraseñas más usadas y, por lo tanto, las que debemos evitar. Apuesta más por el sentido común, en otras palabras.

Así que ahora ha llegado el momento de cambiar de hábito. Puedes seguir las indicaciones del cómic de más arriba y crear una contraseña a partir de cuatro palabras comunes pero decididas de forma aleatoria. Para ello puedes usar herramientas como el Generador de palabras aleatorias“.

En mi caso con una prueba rápida me han salido las palabras: “verso”, “tiburón”, “querer”, “sierra”. Y para recordar una contraseña como “verso-tiburón-querer-sierra” puedo memorizar la frase “El tiburón de dientes de sierra quería componer un verso”.

La otra opción es utilizar un gestor de contraseñas como Last Pass. Este tipo de programas crean y recuerdan por ti todas las contraseñas. Tu único esfuerzo con un software así sería crear y recordar la contraseña maestra, la que gestionar el programa. Asegúrate de que es una buena contraseña y no tendrás nada de lo que preocuparte.

¿Qué método usas para crear tus contraseñas?

Fuentes: The Wall Street Journal, The Verge, BBC, Gizmodo, Threat Post

Daniel Caceres

Daniel Caceres

{ "de-DE": "", "en-US": "I learned how to read thanks to Monkey Island Insult Sword Fightning. I love to write fiction, meditate, and spy on strangers on bars and restaurants. I have an unfinished games backlog. I practice NPL and Impro-theater.", "es-ES": "Aprendí a leer gracias a los duelos de insultos de Monkey Island. Adoro escribir ficción, meditar, espiar a desconocidos en bares o restaurantes, dejar juegos sin acabar... Práctico PNL (cuando quieras te hago unos anclajes reshulones) y me estoy formando como actor de impro-teatro.", "fr-FR": "", "it-IT": "", "ja-JP": "", "nl-NL": "", "pl-PL": "", "pt-BR": "", "social": { "email": "daniel.caceres@softonic.com", "facebook": "", "twitter": "https://twitter.com/lorddevries", "linkedin": "", } }

Lo último de Daniel Caceres

Directrices editoriales