Cómo elegir contraseñas seguras y fáciles de recordar

Para que un hipotético agresor no pueda averiguar las contraseñas, éstas deben ser lo más largas y complejas posible. Ambos aspectos pueden conllevar que sean difíciles de recordar para el usuario, a no ser que utilice alguna solución intermedia, como el passphrase.

En la práctica, cuanto mayor sea la longitud de la contraseña, menor es la probabilidad de que los ataques”por fuerza bruta (*) tengan éxito.

Por ejemplo, si utilizáramos sólo números, una contraseña de dos dígitos permitiría 100 combinaciones, mientras que una de 8 dígitos de longitud aumentaría el número de combinaciones a probar a 100 millones.

En ambos casos, el número de posibles combinaciones no es muy elevado, si tenemos en cuenta que es posible automatizar los ataques. Por ello, siempre es recomendable aumentar los caracteres utilizados, incluyendo combinaciones de letras, números y signos especiales.

Siguiendo la recomendación anterior, utilizando letras minúsculas y dígitos podemos construir una contraseña de 8 dígitos que permite 400 millones de combinaciones posibles.

En un hipotético ataque por fuerza bruta, si estimamos que se necesita 1 hora de proceso para probar todas las combinaciones de una contraseña de 8 dígitos, para hacer lo mismo con la contraseña de la misma longitud que utiliza letras minúsculas y dígitos serían necesarias 65.536 horas.

Además de la longitud y del juego de caracteres utilizados, en la Criptografía formal existen otras características a tener en cuenta como la Entropía, que podríamos resumir como la complejidad de la misma. Así, por ejemplo, es más segura la contraseña 4zM9h-f% que la contraseña oxygen24, además la segunda es más fácil de averiguar basándose en ataques por diccionario (*).

La elección de contraseñas que encierren cierta complejidad hacen que sea complicado recordarlas y terminen por resultar poco prácticas para los usuarios. Por ello, algunas personas optan por una solución intermedia: evitan la complejidad y a cambio aumentan la longitud, es lo que se denomina passphrase, es decir, el uso de frases como contraseñas (como, por ejemplo, vivo en el 32 de la calle Sol).

Aunque desde un punto de vista formal estas contraseñas no tienen una entropía adecuada, a efectos prácticos las frases contraseñas son fáciles de recordar y su longitud las hace bastante eficaces contra las técnicas de ataque más usuales.

(*) Información adicional

¤ Ataque por diccionario: Consiste en que dado un nombre de usuario, ir probando contraseñas que se extraen de un listado. Esta operación suele realizarse de forma automática mediante un programa destinado a tal fin, mientras que como fuente de las contraseñas a probar suelen emplearse las entradas de diccionarios reales, ya que muchos usuarios utilizan palabras comunes.

¤ Ataque por fuerza bruta: Es muy similar al anteriormente mencionado, aunque en vez de utilizar un listado delimitado emplea todas las combinaciones posibles de caracteres. Este tipo de ataques suele ser efectivo cuando la longitud de la contraseña es pequeña, ya que el número de combinaciones posibles a probar es exponencial a la longitud de la misma.

Post Author: Panda Security

Panda Security es una de las principales compañías mundiales que crea y desarrolla tecnologías, productos y servicios de seguridad que mantienen las instalaciones informáticas de sus clientes libres de virus y demás amenazas informáticas con el menor Coste Total de Propiedad.
Para conseguirlo, Panda innova continuamente y trabaja en equipo internamente y junto con sus clientes, proveedores y colaboradores bajo los principios de la Calidad Total o Excelencia.