Como en cada final de año, Nordpass (el administrador de contraseñas de los creadores de NordVPN) publicó su lista con las contraseñas más comunes de 2021, con nada erótico resultado: el top 10 lo forman secuencias de dígitos correlativos, seis unos o palabras como "qwerty" o [redoble de tambores]... "password". En el caso de España, se suman palabras locales como "barcelona", "España", "alejandro", "cristina" o [redoble de tambores y golpe al platillo]... "tequiero".
Sirva esta chanza para introducir las múltiples ídems que generan año sí año también este tipo de listas. "Hay que ser tonto para usar una contraseña así" es el comentario promedio que suscitan estas publicaciones en los peores casos. En los mejores, se tornan en consejo: "Por favor, usad contraseñas seguras, no como las de esta lista". En ambos casos, pese a la buena intención final, apuntamos solo de forma parcial.
Hora de mirar a las empresas
Si transmitimos a amigos y familiares poco duchos en tecnología, de los que sabemos que usan contraseñas débiles y a veces hasta tienden a olvidarlas, que lo ideal es hacerlas tan complicadas como podamos usando un gestor que las recuerde por nosotros, estaremos poniendo de nuestra parte. Ahora bien, tampoco estaría de más empezar a pedir responsabilidades a las empresas que toleran estas contraseñas, que son las que tienen la sartén por el mango.
Twitter, por ejemplo, requiere al menos ocho caracteres, nada más que eso. Igual que Spotify, que simplemente añade como capa de seguridad el veto a escoger algunas demasiado simples, como "12345678". Netflix pide entre 6 y 60 caracteres y que no se incluyan tildes. LinkedIn se conforma con 6 caracteres.
Otras empresas elevan los requerimientos de seguridad. Steam pide ocho caracteres como mínimo que incluyan al menos una letra y un número. Apple igual, pero añadiendo tanto al menos una letra mayúscula como otra minúscula, ni usar el mismo carácter tres veces seguidas, igual que Adobe.
Estas empresas tienen que manejar una cuestión de equilibrio: poner un umbral mínimo de seguridad que conviva con evitar sensaciones hostiles hacia el usuario por exigirles demasiada complejidad. Con 16 caracteres alfanuméricos y con varios símbolos estaríamos más seguros que con "pepito96", pero en servicios de millones de usuarios, se correría el riesgo de complicar experiencias, sobre todo a quien no usa un gestor de contraseñas.
Quizás un punto intermedio sea subir los requisitos de seguridad para las nuevas contraseñas y mostrar en la pantalla en cuestión algunas recomendaciones o trucos para hacer más fácil su manejo. Ya sea usar un gestor o ya sean trucos más sociales, como reglas mnemotécnicas que faciliten la memorización pero no caigan en fragilidades.
Atendiendo a lo que tarda un cracker en descifrar una contraseña por fuerza bruta en función de la longitud y tipología de la misma, una buena contraseña incluye números, mayúsculas, minúsculas y símbolos y tiene al menos 12 o 13 caracteres. Esta cantidad de tiempo es la máxima en función de las combinaciones disponibles, así que con algo de suerte puede ser bastante menor.
La fuerza bruta no solo es efectiva, sino que hay hardware específico para ella desde hace muchos años, y mientras que la mayoría de contraseñas tienen su nivel de seguridad inalterado desde hace tiempo, la potencia de procesamiento de estos terminales ha ido creciendo. Mejor curarnos en salud, y sobre todo, mejor exigir a las empresas que nos piden un registro que también cuiden a quienes no son conscientes del peligro de usar un "tequiero" o un "123456" a la ligera.
Ver todos los comentarios en https://www.xataka.com
VER 27 Comentarios