Páginas

1 de diciembre de 2013

Cómo hacer contraseñas seguras

Sí hoy va contraseñas, ese muro con el que se topan muchos usuarios de a pie (y muchos que se denominan "técnicos" también). Espero daros SEIS simples trucos para hacer vuestras contraseñas fáciles de recordar y a la vez muy difíciles de "adivinar" por algún enemigo.

Cuando cualquiera en un departamento de I.T. abandona la empresa o cambia de servicio, suele suponer un enorme trauma pues obliga a cambiar las contraseñas de todos los dispositivos (switches, servidores, firewalls, proxies, servicios, cuentas...) implicados en el departamento que son muchos y unas veces por motivos de seguridad, otras por incompatibilidad (distinto usuario, límite en el número de caracteres) no corresponde que todos tengan la misma pareja de usuario y contraseña.

Un auténtico desaguisado pues a todos nos toca volver a lidiar con una contraseña que debes poder usar de un modo relativamente rápido y procurando no confundirte, pues bloquear un usuario administrador puede no suponer nada o la parada total del servicio.


Los administradores de redes y sistemas solemos tener una buena memoria pero, desde luego, olvidaros de supermemorias o gente como esa que recuerda miles de decimales del número pi. Una cosa está clara, y de esto partimos: la memoria es un músculo y cuanto más la uses, más "potencia" dará, con lo que la práctica ayuda muchísimo a mejorarla. Pero salvo milagros (que no existen) y/o auténticos profesionales, todos andamos por un nivel bastante aceptable.

Es más, los que por motivos profesionales o personales tenemos que recordar muchas contraseñas (o números de teléfono, o nombres...) tenemos que acabar poniendo en práctica técnicas para seguir la ley del mínimo esfuerzo, reduciendo el impacto en la memoria de recordar simplemente "tiras" de números o palabras. Para ello os voy a intentar explicar mis métodos, aunque seguro que habrá más que funcionen.

Pero primero, debemos establecer qué es una contraseña segura.

Premisas para una contraseña segura:

  • Al menos 8 caracteres de longitud
  • Debe tener letras y números
  • Debe tener algún símbolo de puntuación (.,;@#:-_^*=&...)
  • Si puede tener letras (caracteres) mejor que al menos una sea mayúscula
  • Si puede tener letras mayúsculas, mejor si no son todas y son al menos dos y no son inicio de palabra
  • Mejor que no sean nombres familiares ni nada que un amigo, conocido o asesor pudiera conocer de uno mismo
  • No usar jamás una contraseña en diferentes servicios (correo, redes sociales, cuentas de webs...)

Ahora pasaremos a mis truquitos. Lo que suelo hacer es juntar al menos dos de ellos para que sea más complicado.

Transliteración de letras en números

Es muy sencillo, se trata de sustituir letras que tienen un número que gráficamente se le asemeja. Por ejemplo la E parece un 3 del revés (al menos, en las viejas calculadoras Casio). Para algunas, reconozco que le echo mucha imaginación. Y así:
0 - O(o)
1 - I (i)
3 - E(e)
4 - A(a)
5 - S(s)
6 - Q(q)
8 - B(b)
Y de esta forma, la palabra "abdiquemos" quedaría "48d16u3m05". Como veis es muy sencillo, una vez nos hacemos la "forma" de las letras (convertidas en números) en la cabeza, realizar combinaciones realmente complicadas de adivinar para el "malo" que quiera entrar en nuestra cuenta.

Escritura tipo "sms"

Es sumamente sencillo para los que hayáis copiado el sistema de los jóvenes para escribir ahorrando letras de los mensajes. Yo no soy en absoluto partidario del uso de este tipo de escritura de SMS. Hay que cuidar el lenguaje. Pero reconozco que a veces me valgo del sistema cuando la prisa es mucha, y me resulta útil para realizar contraseñas todavía más crípticas.
Siguiendo con el ejemplo anterior, partiendo de "abdiquemos" quedaría "abdikemos", y si unimos el método de transliteración de letras en números y el de sms, quedaría "48d1k3m0s".
Se va complicando la cosa ¿verdad?

Unión de palabras

Dos son más que una, y recordar una frase, aunque parezca mentira, es más sencillo que recordar una única palabra. Nuestro cerebro está más preparado para ello. Pero claro, la frase tiene que tener algún sentido para nosotros. Aquí recomiendo seguir el contrario de lo que nos apetezca poner. Por ejemplo, si somos republicanos, nunca recomendaría usar algo como "abdiquemos Juan Carlos". Más bien al contrario, esta frase sería la recomendada para un monárquico. Al republicano algo como "dictadura solución" sería un buen comienzo para empezar a generar su contraseña. Recordemos que los "malos" utilizan nuestros gustos precisamente para adivinar lo que podemos estar usando.

Si seguimos con el ejemplo anterior, como también es bueno reducir palabras, seguiríamos con algo como "abdiquemos Juanca". Ahora nos toca eliminar espacios (que no son válidos en general para las contraseñas) y podemos aprovechar para poner algún símbolo que es más que recomendable: "abdiquemos€Juanca". Como también es recomendable que la mayúscula no aparezca a principio de palabra: "abdiquemos€juanCa", y ya aplicamos las técnicas del SMS y la transliteración, quedándonos algo como "4bd1k3m0s€juanK" ¿a que queda chulo?

Transcripción fonética

Esta me la invento totalmente, y la uso a veces, sobre todo para palabras en inglés. Si no la tengo en la contraseña, la "meto" (a veces con calzador, eso sí) como pueda. Así, siguiendo el ejemplo con el que estamos, metería "abdiquemos Juan Carlos, por favor", traduciendo una palabra, quedaría "abdiquemos Juan Carlos, please". A la palabra inglesa, le hago una transcripción fonética a mi manera (es decir, escribirla tal y como suena en español, a lo "gomaespuminglis"), quedando en "plis" Y siguiendo todas las normas anteriores, nos queda una contraseña ya difícil difícil: "4bd1k3m0s€juanK,pl15". ¿A que esto ya no se lo salta un torero?
Fijaros que he mantenido la coma, para aumentar la dificultad de la contraseña que, por cierto, ya tiene 20 caracteres de longitud casi sin darnos cuenta.

Una para todos

Sí, ya sé que una de las premisas (y si cabe, la más importante de todas) es que no usemos la misma contraseña para varios servicios y, creedme, yo sigo esta teoría al pie de la letra. No es muy normal, pero a veces ocurre, que entran en un foro o cualquier otro tipo de web y roban todas las contraseñas de los usuarios junto con sus datos (correo, nombre, fecha de nacimiento...). Lo primero que van a hacer es intentar entrar con vuestra dirección de correo y contraseña en todos los servicios posibles (hay software "robot" para ello y cientos de miles de ordenadores "zombies" en alquiler que harán el trabajo por el malo sin moverse de casa (si, el tuyo puede ser uno de ellos y tú sin darte cuenta, pero eso es un asunto para otro post). Pero para esto también hay trucos, y se trata de usar una contraseña de "raíz" para las demás.

Podéis usar lo que queráis como el nombre del servicio: gmay para gmail, feisbu para facebook, o josmay para hotmail. Aquí la imaginación es nuestra gran ayuda. Pero ante todo, una recomendación: usar siempre el primer "invento" que se os venga a la cabeza, pues será también el primero que os venga cuando queráis recordar qué contraseña pusisteis en qué servicio.

Podéis usar este nombre de servicio al principio o al final, con o sin carácter de separación (es muy socorrido usar la arroba (@) para hacerlo pues significa "en", y debemos, como siempre, aplicarles nuestras reglas de oro de construcción de contraseñas: j05may, gm41l, f315bu...

Seguimos con nuestra contraseña de marras, que quedaría ahora: "gm41l@4bd1k3m0s€juanK,pl15".

Este método lo uso sobre todo en los sitios más delicados (correo, redes sociales, lugares de compras o manejo de dinero como Paypal o eBay...). Para las webs normales no siempre lo uso, y dejo la contraseña "raíz" solamente, pues estas webs es donde normalmente no se permiten contraseñas muy largas. Pero mi "truco" es que para las webs en las que no hay servicio de venta o compra, utilizo mi segunda contraseña raíz. Así, yo sólo tengo que recordar dos contraseñas o, hablando más apropiadamente, dos "frases".

Reducciones

Claro está que nuestra contraseña ahora es extremadamente difícil para los demás, aunque sigue siendo perfectamente recordable para nosotros e incluso nos damos el lujo de tener una contraseña para cada servicio pero, claro está, ahora es muuuy larga (26 caracteres) y puede que algún servicio nos diga que nos hemos pasado. Para eso, nos sacamos de la manga reducir la contraseña. Imaginemos ahora que la página web de, pongamos, Vodafone, nos obliga a limitar nuestra contraseña a 10 caracteres. Si usamos "Voda" como base (particularmente, la convertiría en "Yoda" por el personaje de StarWars para recordarlo más fácil), siguiendo todas las instrucciones anteriores llegaríamos a "Y0d4@4bd1k3m0s€juanK,pl15" pero claro, esto casi multiplica por tres la longitud máxima que nos permite el servicio. Tenemos que reducirlo. Pues aquí cada cual se saca de la manga un método de reducción que debe usar SIEMPRE. Es muy importante que usemos siempre el mismo método personal, para no confundirnos.

Por ejemplo, podríamos reducirlo a "Y0d4@juanK", que nos cabría perfectamente y siempre tiene total relación con nuestra contraseña, llamemos, "primaria".

Y hasta aquí este post. Hay otros trucos, pero o no los uso tanto o no he sido capaz de usarlos pasado el tiempo. Espero realmente que os sean de utilidad y que le saquéis el mayor provecho posible.