El pasado mes de enero la empresa desarrolladora de software de seguridad SplashData publicó la lista de las contraseñas más usadas en 2015. Los resultados eran casi para echarse a llorar: las tres claves más utilizadas fueron «123456», «password» y «12345678». Pero lo peor es ver que esta práctica con las contraseñas no ha mejorado en los últimos años y, excepto pequeños cambios, esas tres han estado siempre en los primeros puestos, con el consiguiente riesgo de seguridad para quienes las emplean. Pero, ¿por qué usaría alguien una contraseña tan fácil? ¿Qué riesgos podría conllevar? En este artículo se intenta solventar estas dudas y se explica cómo se pueden crear claves seguras.
¿Por qué se usan contraseñas débiles?
Si las contraseñas «123456», «password» y «12345678» son tan fáciles de averiguar, ¿por qué siguen siendo las más utilizadas año tras año? La respuesta es sencilla: en general, los usuarios no quieren complicarse la vida, y cuando un servicio para el que se está creando una nueva cuenta les pide una clave, ponen una que resulta fácil de crear y recordar, sin pararse a pensar que tiene que ser lo contrario: ¡difícil!
De hecho, la mayoría de las personas no son conscientes de lo importantes que son y del impacto que una contraseña demasiado fácil puede llegar a tener. Es común pensar que los hackers y los delincuentes informáticos irán a por otras personas, a por quienes tengan más dinero o información interesante. Pero eso no es excusa para proteger las actividades on line y todo aquello que se guarda en Internet.
¿Cómo es una contraseña segura?
Por encima de todo, una buena clave debe tener tres características básicas:
- Longitud. Las contraseñas cortas son vulnerables a los llamados ataques de fuerza bruta, en los que un programa va probando combinaciones de letras y números hasta que da con la clave correcta. Cuantos más caracteres tenga la contraseña, más tiempo llevará este ataque y más difícil será que logren averiguarla.
- Complejidad. Aunque la longitud es quizás la característica más importante, la complejidad no se queda muy atrás. Se trata de no usar solo letras en las contraseñas, sino mezclarlas con números y con otros caracteres alfanuméricos como almohadillas, paréntesis, símbolos tipográficos, etc.
- Ser únicas. Usar claves seguras no es solo cuestión de que sean lo más largas y complejas posible, sino también de que no sea la única contraseña que se emplee para todo. Esta es la peor costumbre relativa a claves que se puede tener, puesto que una vez que alguien averigue esa contraseña, tendrá acceso a toda la información y cuentas on line que se tengan.
Consejos para crear contraseñas buenas
Crear una contraseña segura no es tan complicado. Hay algunos trucos que se pueden aplicar para recordarlas con facilidad, como utilizar una «palabra base» a la que se añaden caracteres (números y letras) relacionados con el sitio web en el que se necesita la clave.
También es buena idea pensar una frase sobre dicho sitio web y usar la primera letra de cada palabra de esa frase. Por ejemplo, si se quiere crear una contraseña para Facebook, se podría emplear la frase «En la red social de Facebook tengo a 10 amigos de la Facultad» y quedaría la clave «ElrsdFta10adlF», lo suficientemente larga y variada.
Lo importante es no utilizar elementos que se puedan averiguar con facilidad, como apodos, nombres de mascotas, fechas de cumpleaños y otros datos que cualquier conocido bien podría saber o incluso obtener de los perfiles de redes sociales.
La mejor forma de asegurarse de que se usan claves fuertes y variadas, una distinta para cada servicio, y que además no se olvida ninguna, es utilizar un gestor de contraseñas. Este programa almacena en una base de datos todas las claves de las cuentas y servicios on line. Esta lista está protegida con algoritmos de cifrado y con una contraseña maestra (la única que será necesario memorizar). Hay varias aplicaciones que cumplen con esta función. Algunas de las más conocidas son LastPass, 1Password, SplashID, Dashlane y KeePass.
Por último, y para una capa de seguridad extra, es aconsejable activar la verificación en dos pasos en todos los servicios donde sea posible, como Facebook, Twitter, Google o Dropbox. De esta forma, cada vez que se quiera iniciar sesión, habrá que introducir, además de la clave correcta, una contraseña única generada de manera aleatoria y que se recibe por SMS en el móvil configurado con anterioridad. Así, y aun habiendo introducido la clave correcta, solo quien tenga el dispositivo a mano podrá finalizar el proceso de inicio de sesión.
- Siga en Twitter a la autora del artículo, Elena Santos: @chicageek