Contraseñas. Todos las odiamos. Y especialmente las nuestras. Sabemos que son malísimas, pero conseguir que sean más seguras parece muy complicado: usa mayúsculas y minúsculas, números y símbolos; no uses frases, no uses palabras, bla, bla, bla.

Así que te inventas algo como c0nTr@$3ñ@M@3$tr@1967.

¿Quién es capaz de recordar eso?

¿Y si te digo que moralizante glotón legislar monzón reducida autor resultó ser una contraseña más segura que c0nTr@$3ñ@M@3$tr@1967?

Este tipo de clave se denomina «frase de contraseña»: una serie aleatoria de palabras corrientes. Es mucho más fácil de recordar que las «contraseñas convencionales», y no tienes que ser Edward Snowden para crearla: hasta un niño de 11 años puede hacerlo.

Solo necesitas unos minutos y unos dados...

¿Cómo se crean las frases de contraseña?

Crear una frase de contraseña es sencillo, pero no elijas las palabras tú mismo. A los humanos se les da fatal crear elementos auténticamente aleatorios. Nos encantan los patrones y todos nuestros vocablos tienen significado, de modo que es doblemente difícil para nosotros generar frases de contraseña al azar.

Es mejor recurrir a Diceware, un método para generar frases de contraseña que ha desarrollado un tío mucho más listo que yo: Arnold Reinhold. Utiliza una lista simple de 7776 palabras, cada una de las cuales se corresponde con un número de 5 cifras que puedes sacar tirando un dado.

Es mucho más sencillo de lo que parece. Te lo explico paso a paso:

  1. Descarga la lista de palabras de Diceware (se puede abrir con cualquier editor de texto simple).
  2. Tira un dado cinco veces (o cinco dados una vez) y apunta las cifras en orden.
  3. Busca la palabra que corresponda al número y anótala.
  4. Repite el proceso hasta que tengas 6 o 7 palabras.

Y ya está.

Así, por ejemplo, si tiras el dado cinco veces y te salen las cifras 34462, lo buscas en la lista:

34456   jobs
34461   jock
34462   jockey
34463   jody
34464   joe
34465   joel
34466   joey
34511   jog

… y encuentras jockey.

Luego repites el proceso hasta que hayas escogido al menos seis palabras.

Si quieres, puedes añadir símbolos, mayúsculas o números a la secuencia de palabras a fin de incrementar la seguridad de la frase de contraseña. La mayoría de los servicios que se toman en serio la seguridad exigen la presencia de símbolos especiales.

No obstante, ten especial cuidado si se dan estas situaciones:

  • Las palabras son tan cortas que en total no suman 17 caracteres.
  • El resultado final se parece a una frase con sentido.

En ambos casos, empieza de nuevo.

Recuerda que, con este método, son los dados los que deciden la frase de contraseña para lograr que sea aleatoria, así que no te pongas a alterar los resultados por creer que dos palabras quedan bien juntas. Estarías creando patrones.

Hay muchas listas distintas en inglés para elegir y también existen en otros idiomas. Hacer mezclas y buscar correspondencias en otras listas puede hacer que las contraseñas sean más seguras todavía.

Apunta la frase de contraseña en un papel hasta que la hayas memorizado. Tras unos pocos usos, seguro que la recuerdas, pero, si te cuesta, puedes crear historias para que sea más fácil.

Por ejemplo: El moralizante glotón solía legislar durante una temporada de monzón reducida, manifestó el autor.

Esto es lo que hacen los maestros de la memoria. Cuando lo tengas, destruye el papel.

No me gustan los dados. ¿Esto se puede hacer de forma automática?

Sí. De hecho, existe todo un abanico de útiles generadores de frases de contraseña de Diceware y este es uno de ellos.

No obstante, ten en cuenta que, aunque los generadores de este tipo son muy seguros, los PC nunca actúan de modo totalmente aleatorio, con lo cual este método nunca será tan seguro como generar la contraseña tirando tú mismo los dados.

¿Entonces puedo usar esta frase de contraseña en todas partes?

No, no deberías.

Usar las mismas claves o frases de contraseña en diferentes servicios constituye una de las peores prácticas de seguridad. Si te piratean una cuenta, te piratean todas.

Lo ideal es emplear una frase como contraseña principal de un administrador de contraseñas. El administrador después podrá crear contraseñas largas y aleatorias para cada una de tus cuentas y tenerlas todas organizadas. Ahora existe una gran cantidad de administradores de contraseñas gratis o muy baratos, así que no hay razones de peso para no probar alguno.

Si no quieres usar un administrador de contraseñas, puedes adoptar dos medidas adicionales:

  1. Crea una frase de contraseña para las cuentas más importantes y luego añade modificadores.
    Pueden ser simples abreviaturas del servicio o el nombre completo. Siguiendo el ejemplo anterior, podrías crear estas:
    G@G1 moralizante glotón legislar monzón reducida autor
    O esta otra:
    moralizante glotón legislar monzón reducida autor Facebook1@
  2. Crea una segunda frase de contraseña para todas las cuentas «de usar y tirar».
    Pero administrar dos frases de contraseña ya puede suponer un engorro, así que te recomendamos encarecidamente el uso de un administrador de contraseñas.

Y eso es todo. Ahora ya estás dotado de una de las contraseñas más potentes que se pueden crear. Disfruta de Internet...

Pero si quieres informarte más sobre las frases de contraseña y por qué refuerzan la seguridad, sigue leyendo.

Por qué las contraseñas normales nos fallan

Los consejos que se dan normalmente sobre las contraseñas no son exactamente erróneos, pero, sin entrar demasiado en tecnicismos (bueno, sin entrar para nada en tecnicismos), solo son dos los requisitos esenciales para que una contraseña sea segura:

  • Debe ser larga: larguísima. Lo mínimo debería ser 17 caracteres. Si quieres estar preparado para el futuro, es mejor aún que tenga un mínimo de 20 caracteres.
  • Debe ser aleatoria: los hackers son buenísimos reconociendo patrones y programando herramientas para descubrirlos.

Eso es todo.

La adición de mayúsculas y minúsculas, símbolos raros y números tiene la finalidad de reforzar hasta las contraseñas cortas, ya que aumenta el número de posibles combinaciones muchísimo con respecto a las que se pueden obtener con las 27 letras del alfabeto, pero la longitud puede compensar todo esto.

El otro problema que supone la adición de estos símbolos es que a los humanos se les da muy mal crear secuencias aleatorias y peor aún recordarlas, así que, inevitablemente, creamos patrones. Está en nuestra naturaleza.

Volviendo al ejemplo original, c0nTr@$3ñ@M@3$tr@1967 puede parecer una contraseña fuerte, y muchos evaluadores de contraseñas como este dirán que lo es. Sin embargo, no tendría la menor oportunidad ante los hackers de hoy en día por la simpleza de su estructura: dos palabras + una fecha.

No solo se trata de dos palabras muy comunes («contraseña» y «maestra»), sino que, además, normalmente van juntas. La sustituciones efectuadas son predecibles y, por ello, fáciles de descifrar: la «a» se parece a @, la «s» se parece a $, etc. Y cuando la gente añade números a las contraseñas, los suelen colocar al final y tienden a ser un PIN o una fecha, a menudo la de nacimiento.

Los hackers se saben todos estos trucos y es lo primero que suelen probar. Ellos utilizan equipos para hacerlo, mientras que a nosotros nos cuesta recordar qué letra pusimos en mayúscula y dónde estaba la @.

Por qué las frases de contraseña son mejores

A pesar de su longitud, las frases de contraseña son mucho más fáciles de recordar porque no incluyen mayúsculas sin ton ni son, no tienen cosas extrañas ni sustituyen letras por símbolos: están compuestas únicamente por palabras normales y corrientes.

Viñeta Password Chaos de XKCD


Vale, lo entiendo perfectamente. Pero... un momento. Se supone que no hay que usar palabras.

Bueno, sí y no.

El sentido común dice que no hay que emplear palabras porque estas son, por definición, patrones. Los patrones reducen la carga de aleatoriedad a la que se enfrenta un hacker al intentar descifrar contraseñas.

Peor aún, las palabras se suelen utilizar en frases regidas por reglas lógicas y esto supone, por lo tanto, más patrones. Citas famosas, dichos, letras de canciones, nombres, etc., son los peores tipos de patrones porque son los primeros que se prueban.

Si tu frase de contraseña es Fue el mejor de los tiempos, fue el peor de los tiempos, más vale que la cambies por una contraseña convencional.

Lo que hace que las frases de contraseña funcionen es la compensación: usan los patrones suficientes para que se puedan recordar fácilmente, pero lo compensan con la longitud. El quid es que elijas las palabras totalmente al azar. De ahí los dados.

AVG AntiVirus FREE Descarga GRATUITA