Es tan común ahora, que todos lo hacemos sin siquiera pensarlo: crear una contraseña que tenga al menos x caracteres, que tenga al menos un número y un símbolo y no sea su nombre o apellido. Ya sea que esté en el trabajo o creando un ID de Apple, estos requisitos de contraseña para una contraseña «segura» están en todas partes.
Después de crear una nueva contraseña en un sitio un día, comencé a pensar en lo diferentes que eran todos los requisitos. Algunos sitios quieren contraseñas de no menos de 3 caracteres y algunos imponen un mínimo de 8. Algunos quieren símbolos, otros no. Algunos se preocupan por su nombre y contraseñas anteriores, otros no. Entonces, ¿qué contraseña es realmente segura?
Investigué un poco y descubrí dos cosas cuando hablas de alguien que «descifra» tu contraseña: en primer lugar, está la fuerza de tu contraseña y, en segundo lugar, está la fuerza del cifrado que convierte la contraseña en un galimatías cuando se almacena.
Rápidamente me di cuenta de que todo el concepto de una contraseña segura es muy matemático y se han realizado numerosos estudios sobre este tema. El que me llamó la atención y que mencionaré en este post es de un Estudio Carnegie-Mellon 2011.
Pruebe su contraseña primero
Antes de entrar en lo que es una contraseña segura, veamos cuánto tiempo llevaría descifrar su contraseña supuestamente segura. Para verificar eso, usaremos una herramienta en el sitio PassFault:
https://passfault.appspot.com/password_strength.html
Así es como funciona. Escriba su contraseña y haga clic en Analizar. Tiene dos opciones que están ocultas por defecto, pero puedes hacer clic en Mostrar opciones. Expliquemos lo que significan.
Cracking Hardware tiene como valor predeterminado un atacante de contraseña de $ 900, lo que sería posible para un pirata informático legítimo. También tienen la opción de elegir un atacante de contraseña de $ 180,000, que los chinos podrían estar usando si es tan caro. El menú desplegable Protección con contraseña le ofrece algunas opciones para el tipo de cifrado utilizado para almacenar la contraseña. Microsoft Windows System es el más débil, no es de extrañar. Luego tiene un punto de acceso inalámbrico WPA, UNIX SHA1, UNIX Blowfish y 100 rondas de SHA1.
Probé mi contraseña segura que utilizo en un par de sitios y me sorprendió ver que podía descifrarse en 1 día.
Vaya, eso es bastante malo. Entonces elegí las opciones de cifrado más fuertes (Unix Blowfish y 100 rondas de SHA1) y estaba más feliz de ver que los resultados tardarían más de un día: 1 año y 7 meses para Unix Blowfish y 2 meses y 2 días con 100 rondas de SHA1 . Sin embargo, con el atacante de contraseñas de 180.000 dólares, se redujo a 11 días y 3 días, respectivamente. ¡No es aceptable, pensé! Quiero que mi contraseña tarde años en descifrarse incluso con un cracker de contraseñas muy caro. Pero, ¿cuál es la mejor manera, ya que estoy usando una contraseña de 9 caracteres con números y un símbolo?
¿Qué hace que una contraseña sea segura?
Aquí es donde el estudio Carnegie-Mellon arrojó algo de luz sobre todo el asunto. Básicamente, lo que encontraron es que cuanto más larga sea la contraseña, más segura será. Esto no significa necesariamente que la contraseña más larga deba tener muchos símbolos o números, solo tiene que ser larga. Con 16 caracteres, todo lo que tienes que evitar es usar palabras de diccionario súper fáciles.
¿No estás convencido de que sea posible? En el sitio de PassFault, use la siguiente contraseña, que tiene solo 15 caracteres y es muy fácil de recordar:
ilovemywifealot
Luego, para las opciones, elija el atacante de contraseña de $ 180,000 y elija el cifrado más débil (Microsoft Windows) y esto es lo que obtiene:
¡1 mes y 7 días! Eso es mucho mejor que descifrar mi contraseña en 1 día. Entonces, ¿qué pasa con mi contraseña? Bueno, aparentemente, si su contraseña es más corta, entonces necesita usar más símbolos, letras aleatorias y números para fortalecerla. Si es más largo, como más de 15 a 16 caracteres, entonces no tiene que preocuparse por agregar todo tipo de números y símbolos. Con una contraseña más larga, incluso puede usar más palabras del diccionario y seguirá siendo muy seguro. Obviamente una contraseña como Hola hola hola todavía apestaría a pesar de que son 15 caracteres:
Apesta porque va a estar en el diccionario y es la misma palabra tres veces. En mi primera contraseña en la que le profeso mi amor a mi esposa, la oración rápidamente comienza a parecer un galimatías para una computadora y ningún diccionario de craqueo tiene esa frase de 15 caracteres como palabra. Los diccionarios tienen palabras de diccionario, por lo que siempre que evite las palabras directas del diccionario, estará listo para comenzar. Mi contraseña podría haber sido incluso mejor si hubiera usado el nombre de mi esposa o un apodo para ella en lugar de la palabra «esposa». ¿Captar la idea?
Obviamente, si también puede incluir varios símbolos en una contraseña larga, la contraseña se vuelve aún más ridículamente fuerte. Por ejemplo, digamos que puse un signo de exclamación delante de la contraseña de mi esposa y agregué un número al final. Entonces, ¿cuánto tiempo tomaría crackear con las mismas opciones?
¡Santo cielo! ¡Así que pasó de 1 mes 7 días a la friolera de 4 siglos y 1 década! ¡¡Sí siglos !! Esa es una contraseña segura y no es muy difícil de recordar. Por lo tanto, verifique su contraseña con esta herramienta en línea gratuita y si su contraseña se descifra en unos días, podría ser el momento de pensar en algo nuevo, especialmente para su información confidencial como contraseñas bancarias, etc.
Recuerde, muchos de estos sitios en línea son pirateados todo el tiempo, por lo que su contraseña nunca está segura. Sin embargo, si usa una contraseña realmente segura, incluso si el cifrado es muy débil, una supercomputadora tardaría una eternidad en descifrarla. Si probó su contraseña en el sitio mientras leía esta publicación, háganos saber en los comentarios cuánto tiempo tomaría descifrarla. ¡Disfrutar!
