Contraseñas. Todos las odiamos. Y especialmente las nuestras. Sabemos que son malísimas, pero conseguir que sean más seguras parece muy complicado: utilizar mayúsculas y minúsculas, números y símbolos; no use frases, no use palabras, bla, bla, bla.

Así que se inventa algo como c0nTr@$3ñ@M@3$tr@1967.

¿Quién es capaz de recordar eso?

¿Y si le decimos que moralizante glotón legislar monzón reducida autor resultó ser una contraseña más segura que c0nTr@$3ñ@M@3$tr@1967?

Este tipo de clave se denomina «frase de contraseña»: una serie aleatoria de palabras corrientes. Son mucho más fáciles de recordar que las «contraseñas convencionales», pero a los hackers les resulta mucho más difícil averiguarlas. ¡Perfecto!

Antes de entrar en la mecánica de la creación de frases de contraseña, tal vez se pregunte por qué es necesario todo esto. ¿Tan malas son sus contraseñas actuales?

¿De verdad es necesario que las cambie todas?

Resumiendo: sí. Si usted es como la mayoría de la gente, hay muchas probabilidades de que su contraseña no sea muy buena. Tener una contraseña fácil de averiguar es hacerle el trabajo a los hackers

¿Cómo? Los hackers cuentan con varios métodos:

  • Probar las contraseñas más comunes: los hackers pueden acceder fácilmente a una cuenta probando algunas de las contraseñas más utilizadas, como por ejemplo 123456 o la propia palabra contraseña. Si emplea alguna de estas contraseñas y aún no ha tenido ningún problema, salga a comprar un billete de la lotería porque es una de las personas más afortunadas del mundo. 
  • Ataques de fuerza bruta: si su nombre de usuario y su contraseña quedan expuestos en una fuga de datos, los hackers pueden utilizar ataques de fuerza bruta para descifrar sus datos. Mediante un programa, los delincuentes pueden ir recorriendo todas las contraseñas posibles (probando cientos o miles de posibles opciones) hasta dar con la correcta. Aunque haya utilizado una combinación de mayúsculas, minúsculas y caracteres especiales, la tecnología moderna puede adivinar una contraseña de 8 caracteres en unas dos horas (!).
  • Reciclaje de credenciales: Una vez que un hacker o un spammer tiene el nombre de usuario y la contraseña de una de sus cuentas, puede probar fácilmente las mismas credenciales en sus demás cuentas. Si ha reciclado las credenciales (es decir, si ha utilizado el mismo nombre de usuario y contraseña en otras partes), de repente los delincuentes disponen de las llaves del castillo: acceso a todas sus cuentas que compartan los mismos datos de inicio de sesión.

Entonces, ¿qué hace falta para ganar a los hackers? ¿Qué tipo de contraseña se considerará segura? Por molesto que resulte, lo que hay que hacer es aumentar la longitud y la complejidad de las contraseñas, y utilizar contraseñas exclusivas para cada cuenta.

Pero no se desespere: es más fácil de lo que puede pensar si utiliza frases de contraseña.

¿Qué es una frase de contraseña?

Como se ha comentado, se trata de una colección de palabras comunes, combinadas de forma aleatoria en una frase. Recuerde que un ejemplo de frase de contraseña es algo como moralizante glotón legislar monzón reducida autor.

Las mejores frases de contraseña con aquellas que 1) a usted no le cuesta recordar y que 2) a los hackers les cuesta averiguar. Las frases de contraseña son las mejores contraseñas porque utilizan palabras reales que puede recordar (y no una aglomeración caótica de símbolos y letras) y porque son muy largas, de modo que resulta mucho más difícil romperlas con ataques de fuerza bruta u otras tácticas.

El único inconveniente es que las palabras comunes de la frase deben ser realmente aleatorias para que la contraseña sea segura.

Por suerte, tenemos un método para ello. Solo necesita unos minutos y unos dados.

¿Cómo se crean las frases de contraseña?

Crear una frase de contraseña es sencillo, pero no elija las palabras usted mismo. A los humanos se les da fatal crear elementos auténticamente aleatorios. Nos encantan los patrones y todos nuestros vocablos tienen significado, de modo que es doblemente difícil para nosotros generar frases de contraseña al azar.

En vez de utilizar un generador en línea de frases de contraseña aleatorias, siga los sencillos pasos que presentamos a continuación. Recomendamos utilizar Diceware, un método de generación de frases de contraseña desarrollado por el gurú de la informática Arnold Reinhold. Utiliza una lista simple de 7776 palabras, cada una de las cuales se corresponde con un número de 5 cifras que puede sacar tirando un dado.

Es mucho más sencillo de lo que parece. Se lo explicamos paso a paso:

  1. Descargue la lista de palabras de Diceware (se puede abrir con cualquier editor de texto simple).
  2. Tire un dado cinco veces (o cinco dados una vez) y apunte las cifras en orden.
  3. Busque la palabra que corresponda al número y anótela.
  4. Repita el proceso hasta que tenga 6 o 7 palabras.

Y ya está.

Así, por ejemplo, si tira el dado cinco veces y le salen las cifras 34462, lo busca en la lista:

34456

 

jobs

34461

 

jock

34462

 

jockey

34463

 

jody

34464

 

joe

34465

 

joel

34466

 

joey

34511

 

jog

… y encuentra jockey.

Luego, repite el proceso hasta que haya escogido al menos seis palabras.

Si quiere, puede añadir símbolos, mayúsculas o números a la secuencia de palabras a fin de incrementar la seguridad de la frase de contraseña. La mayoría de los servicios que se toman en serio la seguridad exigen la presencia de símbolos especiales.

No obstante, tenga especial cuidado si se dan estas situaciones:

  • Las palabras son tan cortas que en total no suman 17 caracteres.
  • El resultado final se parece a una frase con sentido.

En ambos casos, empiece de nuevo.

Recuerde que, con este método, son los dados los que deciden la frase de contraseña para lograr que sea aleatoria, así que no se ponga a alterar los resultados por creer que dos palabras quedan bien juntas. Estaría creando patrones (y debilitando la fuerza de la frase de contraseña).

Hay muchas listas distintas en inglés para elegir y también existen en otros idiomas. Hacer mezclas y buscar correspondencias en otras listas puede hacer que las contraseñas sean más seguras todavía.

Apunte la frase de contraseña en un papel hasta que la haya memorizado. Tras unos pocos usos, seguro que la recuerda, pero, si le cuesta, puede crear historias para que sea más fácil.

Por ejemplo: El moralizante glotón solía legislar durante una temporada de monzón reducida, manifestó el autor.

Esto es lo que hacen los maestros de la memoria. Cuando lo tenga, destruya el papel.

No me gustan los dados. ¿Esto se puede hacer de forma automática?

Sí. De hecho, existe todo un abanico de útiles generadores de frases de contraseña de Diceware y este es uno de ellos.

No obstante, tenga en cuenta que, aunque los generadores de este tipo son muy seguros, los PC nunca actúan de modo totalmente aleatorio, con lo cual este método nunca será tan seguro como generar la contraseña tirando usted mismo los dados.

Entonces ¿puedo usar esta frase de contraseña en todas partes?

No, no debería.

Usar las mismas claves o frases de contraseña en diferentes servicios constituye una de las peores prácticas de seguridad. Como se ha dicho anteriormente, si le piratean una cuenta, le piratean todas.

Lo ideal es emplear una frase como contraseña principal de un administrador de contraseñas. El administrador podrá después crear contraseñas largas y aleatorias para cada una de sus cuentas y tenerlas todas organizadas. (Deje de preocuparse por dar con buenas ideas para contraseñas: ¡el programa se encarga de todo por usted!). Ahora existe una gran cantidad de administradores de contraseñas gratis o muy baratos, así que no hay razones de peso para no probar alguno.

Si no quiere usar un administrador de contraseñas, puede adoptar dos medidas adicionales:

  1. Cree una frase de contraseña para las cuentas más importantes y luego añada modificadores.
    Pueden ser simples abreviaturas del servicio o el nombre completo. Siguiendo el ejemplo anterior, podría crear estas:
    G@G1 moralizante glotón legislar monzón reducida autor o esta otra:
    moralizante glotón legislar monzón reducida autor Facebook1@
  2. Cree una segunda frase de contraseña para todas las cuentas «de usar y tirar».
    Pero administrar dos frases de contraseña ya puede suponer un engorro, así que le recomendamos encarecidamente el uso de un administrador de contraseñas.

Y eso es todo. Ahora ya está dotado de una de las contraseñas más potentes que se pueden crear. Disfrute de Internet...

... aunque, si quiere saber más sobre las frases de contraseña y un modo adicional de mejorar la seguridad, siga leyendo.

Contraseñas seguras: el resumen

Los consejos que se dan normalmente sobre las contraseñas no son exactamente erróneos, pero, sin entrar demasiado en tecnicismos (bueno, sin entrar para nada en tecnicismos), solo son dos los requisitos esenciales para que una contraseña sea segura:

  • Debe ser larga: larguísima. El mínimo debería ser 17 caracteres. Si quiere estar preparado para el futuro, es mejor aún que tenga un mínimo de 20 caracteres.
  • Debe ser aleatoria: los hackers son buenísimos reconociendo patrones y programando herramientas para descubrirlos.

Eso es todo.

Así que volvamos al ejemplo original, c0nTr@$3ñ@M@3$tr@1967. Puede parecer una contraseña segura y así se lo indicarán muchos comprobadores de contraseñas, como este. Sin embargo, no tendría la menor oportunidad ante los hackers de hoy en día por la simpleza de su estructura: dos palabras + una fecha.

No solo se trata de dos palabras muy comunes («contraseña» y «maestra»), sino que, además, normalmente van juntas. La sustituciones efectuadas son predecibles y, por ello, fáciles de descifrar: la «a» se parece a @, la «s» se parece a $, etc. Y cuando la gente añade números a las contraseñas, los suelen colocar al final y tienden a ser un PIN o una fecha, a menudo la de nacimiento.

Los hackers se saben todos estos trucos y es lo primero que suelen probar. Ellos utilizan equipos para hacerlo, mientras que a nosotros nos cuesta recordar qué letra pusimos en mayúscula y dónde estaba la @.

Aquí tiene un divertido resumen visual de cómo mucha gente lo hace todo al revés cuando intenta crear una contraseña segura:Estos dibujos muestran lo mal que lo hacemos cuando intentamos crear una contraseña segura.

Así que busque un par de dados y póngase a crear una contraseña realmente segura para proteger sus cuentas.

Cómo aumentar la seguridad todavía más

Después de crear su flamante frase de contraseña, tal vez se pregunte si puede hacer algo más para proteger las cuentas. ¡Pues sí que puede!

Aunque tenga la mejor contraseña del mundo, puede mejorar la seguridad aún más utilizando lo que se denomina identificación de dos factores, lo que requiere un segundo método con el que verificar quién es usted, aparte de la contraseña.

La identificación de dos factores suele utilizar uno de estos tres elementos:

  1. Algo que usted sabe: podría ser un código PIN o cualquier otra cosa, como las respuestas de sus preguntas de seguridad.
  2. Algo que usted tiene: por ejemplo, su teléfono (que puede recibir un código de autenticación mediante SMS) o su tarjeta de crédito física (que puede verificar mediante el código CVV del dorso).
  3. Algo que usted es: datos biométricos, como su huella digital.

En un primer momento puede parecer complicado, pero si es usted como la mayoría de la gente, ya llevará mucho tiempo utilizando la identificación de dos factores. Por ejemplo, cada vez que saca dinero de un cajero automático, combina algo que tiene (su tarjeta bancaria) con algo que sabe (su PIN).

Igualmente, puede habilitar la autenticación de dos factores en la mayoría de las cuentas en línea: tanto su proveedor de correo electrónico como las cuentas de redes sociales y (especialmente) su banco en línea deberían ofrecerle la identificación de dos factores. A menudo, este proceso consiste en que el servicio le envía mediante mensaje de texto un PIN de un solo uso cuando intenta iniciar sesión o realizar una transacción bancaria.

¿Quiere ver cuáles de sus cuentas ofrecen la opción de autenticación de dos factores? Puede consultar esta lista maestra e incluso solicitar a un sitio dado que añada la autenticación de dos factores si todavía no ofrece la opción.

Este método puede requerir algunos segundos extra para iniciar sesión, pero confíe en nosotros: merece la pena.

Armado con su frase de contraseña fácil de recordar, un administrador de contraseñas y la autenticación de dos factores, estará más seguro que una caja fuerte suiza. ¡Tachán!

AVG AntiVirus FREE Descarga GRATUITA