3 Pasos hacia contraseñas más seguras
Si algo positivo tuvo el incidente del fin de semana, fue precisamente la paranoia por la seguridad que dejó en muchos internautas, renovando sus claves esa misma noche.
Sin embargo no basta cambiarlas: para sernos útil, una contraseña debe cumplir requisitos mínimos de extensión, calidad, y uso. De hecho los expertos aconsejan tener una por sitio web, de 14 intrincados caracteres como mínimo y rotarlas cada 2 meses… claro, precauciones tan efectivas como poco realistas.
¿Qué hacer? A continuación les doy 3 simples pasos a seguir para crear un entorno seguro alrededor de sus casillas de correo, redes sociales, blogs, tiendas y sitios financieros, sin devanarse los sesos.
Tomen acción ahora… antes de que alguien lo haga por ustedes (y si buscan datos para webmasters, Eduardo también propone algunos tips interesantes).
1) Divide tus sitios web en (al menos) 3 grupos
Usar un password por cada sitio sería demencial, sin embargo podemos definir grupos a los que confiar una clave, lo que nos permitirá limitar el daño en caso de que sea vulnerada.
Por ejemplo, usa una contraseña masiva para tus sitios más prescindibles (suscripciones a boletines, foros, registros, etc). Otra para los sitios que portan tu identidad (redes sociales, comunidades, blogs, etc) y una tercera acotada a tus sitios más críticos (correo, tiendas, servicios, etc).
Adicionalmente, deberías crear una 4º contraseña única para tu banco. No sólo porque una intrusión tendría las peores consecuencias, sino porque en Chile muchos de ellos -irónicamente- sólo aceptan contraseñas de baja calidad (hasta 8 caracteres, sólo letras y números).
2) Crea contraseñas fuertes
Una buena clave debe evitar al máximo 2 situaciones: poder ser adivinada por alguien o poder ser descifrada (crackeada) por un programa especializado.
Esto depende directamente de la longitud y tipo de caracteres que utilicemos: una clave numérica de 7 dígitos puede ser vulnerada en sólo 5 minutos, mientras que una de igual extensión pero con letras y números puede tardar entre 6 a 18 días. Hace una diferencia, ¿eh?
Así, una contraseña fuerte debe:
» Tener un mínimo de 8 caracteres (el ideal es sobre 10).
» Usar letras, números y símbolos (cuando son admitidos).
» Alternar entre mayúsculas y minúsculas.
» JAMAS basarse en fechas de cumpleaños, nombres, direcciones, teléfonos, secuencias de teclas o cualquier otro dato ‘adivinable’.
Microsoft ofrece una herramienta en línea bastante útil para probar la fortaleza de tus passwords (y no, no se queda con ellos). Como comprobarán, es muy exigente en cuanto a extensión y caracteres utilizados, por lo que parece imposible satisfacerla sin ingresar una sencuencia ininteligible de teclas.
Entonces, ¿cómo creamos una contraseña tan difícil que no pueda adivinarse pero lo suficientemente sencilla para recordarla? Vamos a eso…
3) Usa la mnemotecnia
No. No es un concepto de Robotech ni del maestro Yoda, sino una técnica para recordar largas secuencias como fórmulas, siglas y por supuesto, contraseñas.
Se basa en tomar los primeros caracteres de una frase -a veces adaptándolos- para crear un acrónimo del que sólo su inventor pueda comprender (y recordar) el significado.
Por ejemplo pensemos en la estrofa de la canción de un artista al azar como… eh… uh… Laura Pausini:
Culpa de un verano, del perfume de una noche de un momento que
Si dejamos sólo los primeros caracteres, pasamos a digitos los números y conservamos la coma, podemos tener algo así:
Cd1v,dpd1nd1mq
Listo. Una clave de fortaleza máxima creada en base al poder del amor ♥
Desde luego no es necesario usar siempre canciones. Piensa en libros, lugares e incluso en otros sistemas como invertir números de teléfono, reemplazar letras por números (L0sTr3s) o cualquiera que te acomode.
Publicado el 13.07.2009 @ 01:14 | 
Categorías: 
PaBLoX
13.07.2009 @ 01:53
Otra idea para crear passwords, que creo es bastante buena porque mezcla varias de las cosas que sugieres es… como decirlo… crear passwords “mecanográficos”. Es decir, que lo que memorices sean los movimientos de la secuencia más que los caracteres en sí. Como en ese caso no memorizas caracteres, es fácil mezclar mayúsculas, numeros y símbolos. Realmente quedan claves ininteligibles que dudo mucho que se puedan adivinar.
Y lo mejor es que ¡ni siquiera te sabes tu propia clave! Por lo que no puedes darla si te la preguntan :P.
PS.- Y eso ha sido lo único que me dio el máximo de seguridad en tu link de MS =P
Camila
13.07.2009 @ 02:16
¡Ese es mi lema!
El amor puede todo.
:) siempre supe que pensabas lo mismo.
Dantsec
13.07.2009 @ 02:49
Buen articulo y es cierto lo de la paranoia, me hizo mucha gracia q un amigo cambiara sus contraseñas luego de leer la noticia de el ataque a betazeta.
yo por lo menos uso siempre varias contraseñas, la de mi correo por ejemplo tiene 15 caracteres y según el link de microsoft esta en “best” aunque no confió mucho en ellos…
Ojala q todos lo lean y entiendan lo importante y fácil q es tener una contraseña segura.
saludos.
Ariel Guerrero
13.07.2009 @ 08:35
¡Gracias por el dato de las passwords! No lo sabía.
Ricardo Carcassón
13.07.2009 @ 10:09
Genial el artículo, y con lo visto ante el ataque que sufrió la red BetaZeta es que he decidido mejorar la seguridad y nivel de encriptación de las contraseñas de mis sitios delicados y dejar una genérica para los no tan importantes y para ello he utilizado la técnica de encriptación basada “en el poder del amor” como tu lo dijiste y me quedo una contraseña, que según el verificador de passwords de MS, es BEST
Ojala que la situación no se vuelva a repetir en otros sitios y que la gente de FayerWayer tome las precauciones necesarias y no les vuelva a suceder.
Alejandro[FV]
13.07.2009 @ 10:13
bueno el dato de splashID…
beq
13.07.2009 @ 10:22
Muy buenos datos!
También se puede usar como administrador de contraseñas KeePass, el cual tiene clientes para Windows y Linux.
Otra sugerencia, es agregar ciertas modificaciones al nemotécnico para tener contraseñas faciles de recordar y diferentes para cáda servicio, por ejemplo:
Twitter:
Cd1v,_TwiTter_dpd1nd1mq
Gmail:
Cd1v,_Gmail_dpd1nd1mq
etc.
Criscar
13.07.2009 @ 10:35
Super buenos datos.
Hace tiempo aprendí algunas cosillas simples con un hackeo que me hicieron a un sitio en Wordpress que tengo. No esta de más compartirlas:
1- Al momento de instalar Wordpress en el archivo wp-config.php donde dice que creará una abreviación “wp_” en las tablas de la base de datos, cambienlas por otras menos obvias, onda w0drpr3ss_ o lo que sea..
2. Con software Ftp verifiquen los permisos de la carpetas del sitio, si están en 777 eso significa que le estás dando toda la pasá’ para que entren y modifiquen los archivos, traten que sean 755 o inferior, según el caso.
3- Esto se hace en la base de datos, si su server tiene un gestór de bd como Phpmyadmin, cambien el usuario admin de wordpress, por otro menos obvio. Igual esta demás decir que intenten colocarle una clave a parte a la BD, que sea distinta al Ftp.
4- Respalden siempre la base de datos, con algún plugin que lo haga diariamente. Si ya los hackeados, y creen que sólo le cambiaron la index, por lo que tienen acceso a la base de datos, no confien mucho en ella, ya que a veces (como me pasó a mi) dejan usuarios creados u otros códigos, que generen otro hackeo, lo recomendable es usar la base de dato que tengan respaldado antes de hackeo.
5- Aunque puede ser un arma de doble filo, es mejor tener siempre actualizado Wordpress.
De todas forma creo que existe un plugin WP que hace una especie de listado de como está la seguridad en tu sitio.
Javier
13.07.2009 @ 11:33
Y sobre todo, tener sentido común.
Puedes tener el password más seguro del universo pero si no sabes usar sentido común te van a cagar. Es un tanto obvio decirlo pero el password es personal.
Me recuerda a este cómic:
http://xkcd.com/538/
Daniel
13.07.2009 @ 11:39
Hay una pequeña aplicación que se complementa con firefox y que resulta ser prácticamente la solución casi definitiva para este problema, se llama Passwordmaker, con ella uno crea una contraseña maestra y configura cada uno de los sitios que visita de manera que para cada uno se crea una contraseña MUY fuerte mezclando tu nombre de usuario del sitio con tu contraseña maestra y algunos más parámetros que son opcionales. Luego al entrar a un sitio los campos de inicio de sesión se llenan automáticamente, solo hace falta que al iniciar firefox ingreses tu contraseña maestra. Sin embargo lo mejor de todo es que passwordmaker no guarda en ninguna parte las contraseñas que crea, el programa las genera en tiempo real, por lo tanto no existe forma que roben tu repositorio de contraseñas y lo descifren por fuerza bruta u otros medios.
Para mi este programa a sido lo mejor que hay, porque la verdad las soluciones propuestas las encuentro en verdad inviables, son demasiado incómodas para una Internet moderna donde casi todos los sitios pide que te registres, no puedes crear una contraseña para cada uno, hacerla complicada y más encima cambiar cada cierto tiempo. Pese a que la solución que propones es buena Cristian hay que entender que son demasiados los sitios, yo estaré registrado en por lo menos unas 30 páginas de diverso tipo, hoy en día cada vez que quieres obtener contenido necesitar registrarte.
Este programa que menciono es algo difícil de configurar al principio y quizás por eso se ha hecho un poco desconocido, pero creanme que vale la pena usarlo.
http://passwordmaker.org/
Cristóbal
13.07.2009 @ 12:33
Yo lo que hago para crear contraseñas fuertes es tomar el nombre del servicio quitarles las vocales y agregarles una secuencia de carácteres secreto al final separándolos por un punto, y lo único que cambio es la secuencia de caracteres cada cierto tiempo. Por ejemplo, si la secuencia de caracteres es 1234 (puede ser cualquier cosa como el mnemotécnico que propone FT) para este sitio tendría una contraseña del estilo:
lfrnctrdr.1234
Saludos!
Freeman
13.07.2009 @ 12:33
La gente me mira raro cuando entro a mi correo en algun sitio público; sienten el tecleo de mi password de 18 caracteres de largo. Aunque varios de esos caracteres son números que me significan algo personal, están desperdigados en lugares al azar entre las letras, las cuales son acrónimos que varían de acuerdo a la url del sitio al que ingreso. Hice la prueba en el sitio que recomendaste, y me arrojó “Best”.
Pero cuando le expliqué el sistema en detalle a mi ex, en vez de felicitarme me calificó de nerd sin remedio. .___.
filex
13.07.2009 @ 12:45
También hay alternativas como roboforms (de pago) y lastpass (gratis, con publicidad) que hacen que sólo recuerdes una contraseña y ellos conservan todo encriptado.
Es mejor tener una contraseña por cada sitio, por una simple razón, si usan una, será fácil entrar a cada sitio para ver en donde funciona; si tienen 2 ó 3, la mayoría usar claves similares y se parecen; al final no es mucho trabajo para quién quiera obtenerlas, ya que el algoritmo MD5, es muy débil y fácil de romper por cualquiera; incluso hasta google ayuda, cosas que me ha mostrado un hacker, robandome una password de un foro.
Por último, sino pueden memorizar tantas, hagan una exclusiva para el mail, facebook, etc; cada sitio importante debe tener su propia con traseña y así no caen todo de golpe en caso de robo. ;)
filex
13.07.2009 @ 12:48
Olvidaba algo, usen asteriscos ***; eso incrementa la seguridad y al menos un número; no será difícil saberla pero si se tardará mucho tiempo quién lo quiera hacer, si se cambia cada 2 meses, lo tendrá imposible si tiene mas de 15 caracteres de todos tipos.
Aquí una herramienta para generarlas y la guarden los que usan firefox (con contraseña maestra claro esta): http://www.safepasswd.com/
MLKtoSCL
13.07.2009 @ 13:10
En el paso 3) Usa la mnemotecnia | Favor no usar poemas de Pablo Neruda.
nespejo
13.07.2009 @ 13:42
Los nemotécnicos de frases comunes ya están todas en los diccionarios. No sirve “udv-ubvdu”.
Lo mejor es generarla al azar y después buscar la forma de recordarlas.
Javier
13.07.2009 @ 14:40
No tiene mucho que ver, pero les ha pasado que van a entrar a su correo/foro/etc con su contraserña de 200 caracteres megasegura, y en la parte donde va el correo/user/etc ponen la contraseña?
Freeman
13.07.2009 @ 15:49
He visto casos peores; Cierto personaje ultra paranoico (y le llama paranoico un sujeto cuya contraseña es de 18 caracteres) se estaba creando una cuenta en una página. Ingresó su nombre de usuario deseado normalmente, pero llegado el momento de ingresar la contraseña, agarra el teclado, o gira, lo oculta de la vista de todos e ingresa la contraseña con los pulgares. Apreta enter, deposita el teclado en el escritorio, y todos vemos la página que decía “¡Gracias por su registración! Su nuevo nombre de usuario es “Pinocho” , y su contraseña es “trustno1!” .”
batubn
13.07.2009 @ 16:19
aveces me ha sido util usar de contraseña objetos que tengo al frente.
por ejemplo el monitor que tengo es samsung, saco las consonantes, le sumo el año y un par de signos.
tonces uso de contraseña smsng!2009,,
varias veces he usado claves por el estilo “obiamente no con la misma nomenclatura” y casi nunca las olvido ( a exepcion de cuando olvido de que parte de mi escritorio saque la clave ).
Daniel
13.07.2009 @ 16:32
Insisto que lo mejor es usar un programa que genere y administre las contraseñas, por más ideas que se les ocurran siempre estarán expuestos al uso de diccionarios, la contraseña debe ser una secuencia de caracteres sin sentido alguno, el lo más seguro.
Javier
13.07.2009 @ 16:45
No encuentro tan mala la idea de guardarla en un papel en mi casa. ¿Que hacker podría tener acceso a ellas? :P
El ataque a Betazeta y medidas para mejorar la seguridad | OneSide
13.07.2009 @ 16:58
[...] fuerte: Podría escribir aquí mismo algunos consejos para mejorar tus contraseñas, o podría referirte a un post de Francotirador al respecto. Mejor lo [...]
Freeman
13.07.2009 @ 18:24
Javier; Algo peor que un hacker podría tener tu contraseña si la anotas en un papel; Tu madre.
Fredy
13.07.2009 @ 19:06
yo tengo varias contraseñas escritas en un papel, eso si son la de los foros y paginas sin importancia, en las cuales no me registro con datos reales.
Generalmente yo uso el nombre del sitio en el que me registro y un par de números, o el mismo nombre de usuario.
Si es un sitio en el que expongo mis datos, uso números, letras y caracteres.
Ricardo
14.07.2009 @ 00:40
Interesante los datos de las contraseñas. Sin duda es crucial para mantenerte a salvo. Saludos.
Kureno Asakura
14.07.2009 @ 00:55
Buena información. La verdad es que esto de las contraseñas sí que es algo un poco tedioso, pero todo sea en aras de la seguridad =3.
Otra herramienta para verificar la fortaleza de las contraseñas (y que me da más confianza que la de Microsoft) es la que hay en http://www.passwordmeter.com/. Hasta porcentaje de fortaleza muestra :).
Y se quiere un buen generador de contraseñas y se está bajo un sistema *NIX, lo mejor que me he encontrado para es es APG, un programita de consola y muy bueno. Yo en Debian lo tengo en los repos. Supongo que en otras distros está también.
Felipeiglesias.cl
14.07.2009 @ 04:20
Super buenos tips. Igual, extrañamete he seguido instintivamente esas premisas.
Pero creo que el tip más importante de todos es: No usar sus fechas de nacimiento.
Respecto a lo del papel: Se puede poner en una caja de seguridad en un banco o puede ser un anagrama en algún escrito X :)
Saludos, El Cerdo
Aparato
14.07.2009 @ 09:27
Saliste en LUN, pagina 12
hablando de copias :S
Benjamin
14.07.2009 @ 10:27
jo…. cuando trabaje en una empresa de telefonia celular, de la cual no dare el nombre pero empieza con M…… la mayoria de los servers internos tenian como contraseña el nombre la la compañia.
pLOp!!!!—–
servidores solaris con acceso por falla “f root”…….. etc… “cualesquiera” falla oye..
mis contraseña siempre han sido por decirlo menos cabronas. Mas de alguna vez hasta a mi se me han olvidado. No pocas veces me hecho amigo del formulario de “Recuperar Contraseña”
Saludos.
Francotirador
14.07.2009 @ 10:42
Qué impresionante lo de LUN. Gracias por el aviso :/
http://url.ie/21wo
Ignacio Rodríguez
14.07.2009 @ 11:43
El tener claves difíciles hace más lento pero no imposible los ataques via fuerza bruta. Hace bien agregar medidas de seguridad a niveles más bajos, por ejemplo filtrar por IP, usar una dirección IP en una subred diferente y sin nombre de dominio, y crear un modelo de acceso sobre una VPN, de manera que la entrada a la interfaz de login para el CMS (o para el e-mail o lo que sea) no sea encontrable y/o accesible en la ‘net “abierta”.
Contemporaneo
14.07.2009 @ 12:26
El sitio: http://www.passwordmeter.com
Revisa en vivo y directo las falencias de tus contraseñas, siendo muy detallado en que estás equivocándote a la hora de tipear tu contraseña. También aparecen requrimientos minimos. (el sitio no almacena nada, además no sabe en que sitio probar la contraseña)
Lo mejor es nunca escribir números, letras o caracteres especiales que sean consecutivos.
Ejemplo: &L5a#M=7t_
cOala_
14.07.2009 @ 18:30
Solo falto poner alguna especie de tip’s de como no car en la paranoia para no crear contraseñas que después se te olviden. Por lo demás interesante el articulo.
Saludos!
Pedro
14.07.2009 @ 22:30
Este link esta muy chistoso http://tinyurl.com/lv74nj lo que hace el ocio
kei_kun
14.07.2009 @ 22:54
Mis contraseña son, si es que no obvias, muy fáciles.
Pero nadie en la vida me las ha descubierto… ¿Como?
Fácil… NO CONTAR SU VIDA PERSONAL.
Si me meto a ver Facebook de alguien, claramente voy a ver que la clave puede estar relacionada con polola, amiga, universidad, etc etc…
Si la ingeniería social como llaman es la fuente de la sabiduría como llaman.
Je, por eso mi esposa y yo tenemos cuentas en facebook, pero no nos tenémos de contactos, porque… nos vemos todos los días en casa.
Freeman: Doy fe que en el año 1999 te VI ingresar una contraseña de aprox 16 caracteres…. con cuea me se algun número de celular y este individuo se acuerda de casi 3 nº de celu….
Saludos
Freeman
14.07.2009 @ 23:43
¡Y lo peor de todo es que todavía no me aprendo la dirección de mi casa! XD
Jonathan Carreño Ilufi
15.07.2009 @ 21:37
No es muy dificil conseguir acceso a maquinas remotas en Chile… buena parte de los routers y maquinas dedicadas funcionan con las contraseñas por defecto del fabricante (cosa que habla muy mal de los administradores). De ahi a sacar info de las tablas de rutas, pillar un trusted host, haces una intrusion ARP, un shell code y estas dentro.
Creo que lo mejor (ademas de robustecer las claves y cerrar todos los huecos) es encriptar los datos privados.
juan
16.07.2009 @ 19:55
Concuerdo con Jonathan..lo mejor es encriptar datos, además de tener un programa que administre las claves.
vladimir prieto
17.07.2009 @ 17:18
bueno el sitio que dió @Contemporaneo #32
PaBLoX
18.07.2009 @ 00:42
Jaja… según passwordmeter.com mi clave da 100% xD. No me lo esperaba =P
Juan José Mieres
13.09.2009 @ 14:45
Bueno, pues según passwordmeter la password que uso para mi correo tiene un ptje de 0% (17 caracteres entre minúsculas, mayusculas, números y un símbolo). En cambio, mis passwords menos seguras que uso para cualquier otra cosa tienen 76% y 23% (8 caracteres, minúsculas, mayúsculas y números). Por esta razón, me merece bastantes dudas el programa.