Xkcd acaba de publicar un comic muy informativo sobre como escoger una contraseña, probablemente inspirada en este artículo de Thomas Baekdal del 2007.
Resumen
El mejor password o contraseña es una combinación de varias palabras comunes al azar como en el ejemplo de xkcd.
Ejemplos:
correcto caballito zanahorias almuerzo
Es fácil de recordar, ya que como en el comic, uno se puede imaginar la conversación entre el caballo (huelo a zanahorias…) y uno (correcto caballito, vamos a comer zanahorias en el almuerzo), y es extremadamente largo (38 caracteres) y por lo tanto difícil de adivinar tanto para un humano, como para un computador.
Explicación larga
Thomas Baekdal explica muy bien por qué es mucho más seguro ese tipo de contraseñas.
Según él, hay 4 formas de adivinar la contraseña de alguien.
1. Preguntando: Desafortunadamente la gente da sus contraseñas, las pega en el monitor o las deja en un archivo que se llama claves.txt.
2. Adivinando: Cerca del 36% de las contraseñas son un nombre (espos@), una fecha (aniversario, fecha nacimiento) o un lugar (ciudad natal, etc), o combinaciones.
3. Fuerza bruta: Simplemente se pone a un computador a probar todas las posibles contraseñas (a, b, c… z, aa, ab, ac…) hasta encontrarla.
4. Palabras comunes o contraseñas comunes: Se prueban con palabras comunes (amor, dios, password, etc) usando un diccionario con palabras o de contraseñas comunes.
Asumiendo que uno no le dice la contraseña a la gente y que no es obvia, la seguridad de una contraseña se mediría en función de que tan difícil es para un computador adivinarlo, o en otras palabras cuanto tiempo le costaría.
Así, si por ejemplo mi contraseña para una página (redsocialinsegura.com) es sun y un programa intenta adivinarlo, le costaría unos 3 minutos a fuerza bruta (asumiendo 100 intentos por segundo y e intentando solo con las 26 letras del alfabeto) o minutos o unas horas con un diccionario.
La razón por la cual una contraseña larga, con letras, con mayúsculas y con símbolos es más segura, es porque le costaría más tiempo a un computador adivinarla. Si mi contraseña es Adk6& y un programa solo intenta con letras minúsculas nunca la encontraría, si intenta solo letras y números tampoco. Entre más tipos de caracteres se usen y más larga sea la contraseña, el número de intentos para el programa incrementa exponencialmente, haciéndolo en teoría imposible de adivinar, ya que tardaría en algunos casos hasta años.
Por ejemplo si mi contraseña tiene 3 letras y es sun. Si se intenta adivinar con solo números, el “alfabeto” es de 10 (0, 1, 2… 9) caracteres y los intentos serían 10x10x10 = 1000 (que son todas las combinaciones posibles de numeros de 3 digitos). Con todas las letras, serían 26x26x26 = 17576. Con todas las letras minúsculas y mayúsculas, los intentos serían 52x52x52 = 14608. Si le sumamos además los números serían 62x62x62 = 238328 (que número tan bonito). Si le sumamos todos los caracteres del teclado (94 caracteres ASCII) serían 830000 intentos. Como ven, al aumentar los caracteres por 9, aumentan los intentos necesarios por 830.
Una contraseña como Adk6&, de 6 caracteres, le tomaría 218 años a un computador, visitando 100 veces por segundo la página de iniciar sesión (94^6/100/60/60/24/365). Por eso este tipo de contraseñas se dicen seguras, no se pueden adivinar intentando con palabras de un diccionario y a fuerza bruta toma mucho tiempo. El problema es que es difícil de recordar. Para recordarla simplemente la guardamos en el computador, en el navegador o en un archivo, o lo pegamos en el monitor, lo que convierte a la contraseña en el peor tipo de contraseña, la que se puede simplemente “preguntar”.
Si nos piden números, o por lo menos una mayúscula, terminamos poniendo la mayúscula en la primera letra y el número 1 al final de la contraseña. Si nos piden cambiarla cada X cantidad de días, simplemente vamos subiendo el número de 1 en 1 (2,3,4…). Osea, volvemos una contraseña obvia, igual de obvia (password pasa a ser Password1).
¿Por qué varias palabras comunes al azar es tan seguro?
En el caso de la contraseña: “correcto caballito zanahorias almuerzo”. Tiene 38 caracteres, y le tomaría a un programa visitando la página 100 veces por segundo intentando todas las combinaciones posibles, 10 elevado a la 67 años, osea, un 1 seguido de 68 ceros años.
Ahora, digamos que por alguna razón, el hacker tiene una copia de la base de datos con las contraseñas de la página. En teoría, con supercomputador con una tarjeta de video moderna super rápida, podría intentar 3300 millones de contraseñas por segundo (whoa, parece que nos jodimos), lo que le tomaría exactamente 3×10^60 años (), osea un 1 seguido de 61 ceros multiplicado por 3… años (ah, ufff).
Pero, ¿y si intenta con un diccionario? Veamos, calculadora… digamos que usa un diccionario con 10000 palabras y usamos una contraseña de 4 palabras separadas por un caracter que el hacker sabe (puede ser un espacio, un “-” o incluso nada, las palabras pegadas). Tendría que intentar 10000x10000x10000x10000 y se demoraría 35 días usando el super computador con la copia de la base de datos, intentando por internet le tomaría 10^9 (1 seguido de 10 ceros) años. Si tenemos en cuenta que el idioma inglés tiene más de 1 millón de palabras (en vez de solo 10000) y que existen muchísimos idiomas, ni Pensamiento Profundo podría encontrar la contraseña.
En el caso de la contraseña Ad.. (jue** se me olvidó… pongamos otra…), la contraseña Add5$4, al super computador le tomaría 3.4 minutos adivinarla (y a mi en olvidarla).
En conclusión, es imposible adivinar una contraseña formada por varias palabras comunes. El único problema es que tal vez sea demasiado largo para alguien que no escribe rápido, pero con una contraseña con dos o tres palabras al azar es suficiente.
La contraseña “this is fun” es diez veces más seguro que J4fS<2.
“Fluffy is puffy” tomaría 39 millones de años en adivinarse usando diccionarios.
du-bi-du-bi-dub 531 millones de millones de años a fuerza bruta.
En cualquier caso, es preferible tener que escribir mucho que usar las contraseñas que la gente usa ahora. Según un análisis de las contraseñas hackeadas por Lulzsec a Sony, Gawker y otros. 92% usa la misma contraseña en varias cuentas. 25% usa palabras comunes. Las tres más populares, password, monkey y dragon. 14% usa números solamente números. Las tres más populares, 123456, 12345678 y adivinen…. 123456789. 3% usa practicamente el mismo nombre de usuario. Casi el 1% usa patrones del teclado como asdf, qwerty, etc.
Incluso a algunas empresas les disgustan las contraseñas seguras, como Electronic Arts.