Qué hace una contraseña segura

La mayoría de la gente entiende que la “fuerza” de la contraseña está determinada por la variedad de tipos de caracteres en una contraseña. Pero mientras que los formularios de registro pueden pensar que la complejidad es seguridad, los atacantes no están de acuerdo. La complejidad ya no defiende contra un modelo de amenaza moderno. ¿Qué hace que las contraseñas sean seguras? Primero debemos examinar el modelo de amenaza real que enfrenta la mayoría de la gente.

La complejidad de la contraseña pierde el sentido

La “fuerza” de la contraseña es a menudo una función de la complejidad, o la cantidad de aleatoriedad en una contraseña, medida por el uso de símbolos, números y mayúsculas y minúsculas. Pero agregar algunos caracteres diferentes a su contraseña no aumenta significativamente su “fuerza”, a pesar de lo que sugiere la engañosa barra verde de “fuerza” junto a su contraseña. La complejidad aumenta la dificultad de un ataque de fuerza bruta, pero ese tipo de ataque es poco común.

En cambio, el robo de credenciales ocurre en robos masivos de datos o filtraciones de grandes organizaciones. La seguridad de la contraseña no le ayudará si los atacantes tienen su contraseña en texto sin formato .

Utilice contraseñas únicas

La mayoría de la gente es enormemente vulnerable a algo llamado “relleno de credenciales”: las credenciales comprometidas se prueban en plataformas populares para explotar la tendencia humana a la reutilización de contraseñas. Ese es un peligro mucho mayor que una contraseña “débil”. Después de todo, una contraseña “superfuerte” y completamente aleatoria reutilizada en cada plataforma se volvería desastrosa después de una filtración.

En lugar de pensar en la seguridad de la contraseña como una propiedad singular, debemos pensar en la fortaleza de su sistema de autenticación. Las contraseñas modernas crean ese sistema y deben considerarse como tales. Usar contraseñas únicas es mucho más fácil con un administrador de contraseñas, así que comience con uno hoy si aún no lo ha hecho.

La longitud es más importante que la complejidad

Durante años hemos sido entrenados para pensar en la complejidad como el factor más importante de una contraseña. Y aunque sabemos que los ataques de fuerza bruta son raros, la complejidad ni siquiera es la mejor defensa contra el agrietamiento por fuerza bruta: la longitud es en realidad mucho más importante .

XKCD muestra que la longitud de la contraseña es lo que importa.

La longitud de la contraseña tiene una relación exponencial con el tiempo de descifrado, por lo que aumentos moderados en la longitud pueden producir aumentos masivos en el tiempo de descifrado. La complejidad, por otro lado, tiene una relación más lineal con el tiempo de agrietamiento.

Tome este ejemplo: una máquina de descifrado de alto rendimiento puede descifrar una contraseña de apariencia compleja *nRyU86)en tan solo ochenta minutos . Aumentar la longitud en una sola letra mayúscula extiende ese tiempo a casi treinta y seis horas, mientras que cambiar una letra a un símbolo no proporciona un cambio significativo en el tiempo de craqueo.

Aprovechemos al máximo las potencias exponenciales de la longitud. ¿Qué tal una frase de contraseña de cuatro palabras, usando palabras conocidas del diccionario y con un total de dieciséis caracteres de longitud? Incluso cuando se tienen en cuenta los ataques de diccionario (ataques que utilizan una base de datos de palabras conocidas para adivinar contraseñas en lugar de generar conjeturas al azar), aún se necesitarían noventa  mil millones de años para descifrar la contraseña.

Olvídese de la complejidad. Las mejores contraseñas son en realidad frases de contraseña . Nunca podría recordar una contraseña compleja similarmente fuerte. Pero a los cerebros les encantan las historias divertidas y las imágenes sorprendentes. Si genera una historia absurdamente memorable para una frase generada al azar, tendrá dificultades para olvidarla.

La generación de contraseñas verdaderamente aleatoria es fundamental. Elegir palabras relacionadas con usted mismo, como su mes de nacimiento, hará que la frase de contraseña sea más fácil de adivinar. Utilice los dados de contraseña de EFF para generar frases de contraseña aleatorias de forma segura.

Encienda todos los sistemas de autenticación de dos factores

Todos los sistemas tienen fugas. La seguridad de la contraseña no te salvará. Entonces, ¿cómo puedes defenderte? Los sistemas de autenticación de dos factores (2FA) proporcionan una capa adicional de seguridad. 2FA solicita dos tipos de credenciales: algo que sepa (es decir, su contraseña) y algo que  tenga (es decir, su teléfono). En la mayoría de los sistemas 2FA, estos códigos los genera un servidor remoto. El servidor envía el código activo al usuario en el momento del inicio de sesión.

Desafortunadamente, los atacantes pueden interceptar códigos SMS con relativa facilidad mediante la clonación de tarjetas SIM. Para evitar estas escuchas, genere códigos en su dispositivo móvil con una aplicación 2FA  como Authy, Google Authenticator o un administrador de contraseñas con soporte 2FA como 1Password .

Conclusión

La “fuerza” de una sola contraseña es una pista falsa. Un sistema de autenticación sólido es más importante. Las fugas y el robo de datos ocurren inevitablemente. Las contraseñas únicas mantienen el daño contenido. La autenticación de dos factores puede reducir a cero el daño de las credenciales robadas.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario