Todos los días usamos contraseñas para una amplia variedad de servicios. Algunos servicios en línea incluso requieren especificaciones técnicas al crear una contraseña, según qué caracteres deben aparecer. Longitud, caracteres especiales o cambio regular: TECHBOOK preguntó a los expertos qué es lo que realmente importa.
Las contraseñas protegen nuestras cuentas en los más diversos portales. Pero, ¿qué es realmente una buena contraseña? ¿La longitud? ¿Tantos caracteres especiales como sea posible? ¿Un cambio de contraseña cada pocas semanas? TECHBOOK trabajó con Arno Wacker, Profesor de Protección de Datos y Cumplimiento en la Universidad de las Fuerzas Armadas Federales en Munich, y con Tim Griese de la Oficina Federal para la Seguridad de la Información (BSI) hablado. En primer lugar: muchas de las ideas comunes sobre contraseñas seguras están desactualizadas y no tienen sentido para el usuario.
Cambiar su contraseña regularmente es tan seguro
En realidad, suena bastante lógico: si desea tener una contraseña segura, debe cambiar sus contraseñas a intervalos regulares. Hasta aquí la teoría común. Sin embargo, según el experto en seguridad informática Arno Wacker, esto ya no se aplica de esta forma. La regla tiene su origen en los antiguos lineamientos de la Instituto Nacional de Normas y Tecnología (NIST), sin embargo, la agencia federal de EE. UU. cambió el manejo de las contraseñas en 2017 y finalmente se eliminó el requisito de cambios regulares de contraseña. “La razón de esto es que mientras tanto algunos estudios cientificos hay por ahí que dicen que cambiarlo regularmente hace más daño que bien a la seguridad. Una razón fácil de entender es la psicología del usuario: si los usuarios no tienen que cambiar su contraseña cada pocos meses, es mucho menos probable que elijan contraseñas malas o simples, es decir, es más probable que sigan generando una buena y una contraseña segura”, dice Wacker a TECHBOOK.
Sin embargo, persiste el rumor de que los usuarios siempre deben cambiar sus contraseñas. Sin embargo, cuando TECHBOOK le preguntó, el BSI negó una recomendación sin reservas para cambiar constantemente la contraseña. “Según la experiencia de BSI, los ciberataques exitosos solo se descubren después de más de 200 días en promedio. Por lo tanto, cambiar las contraseñas regularmente puede tener sentido para hacer que las contraseñas robadas sean inutilizables para los ciberdelincuentes, incluso si el robo de contraseñas ha pasado desapercibido hasta entonces”, explica Tim Griese de BSI. En cualquier caso, los usuarios deben cambiar su contraseña si hay indicios de que la contraseña puede haber sido comprometida. El número de inicios de sesión fallidos y la fecha del último inicio de sesión pueden proporcionar información al respecto. Al cambiar una contraseña, el usuario debe asegurarse de elegir una contraseña segura nuevamente.
¿Una contraseña segura se compone de varias palabras?
Una contraseña que consta de diferentes palabras puede tener sentido. “Una frase de contraseña también puede ofrecer un alto nivel de protección, pero no debe ser demasiado corta”, aconseja Griese de BSI. La longitud determina la calidad de una contraseña. Sin embargo, no se recomiendan contraseñas de dos palabras, principalmente porque una contraseña de 20 letras o más se considera segura y dos palabras por sí solas probablemente no alcancen esta longitud. “Pero el enfoque es correcto: si usa una oración completa, es decir, la llamada frase de contraseña, con una longitud total de más de 20 caracteres, ahora puede considerarse segura”, explica Arno Wacker.
Cuando se utilizan dos palabras con un total de 10 letras, la seguridad de la contraseña corresponde a unos 47 bits. En otras palabras: una computadora necesita aproximadamente 140,737,488,355,328 intentos para descifrar la contraseña mediante un ataque de fuerza bruta. El atacante intenta pasar por todas las combinaciones posibles de letras, pero esto lleva tiempo. Aunque esto ya es un desafío para una sola computadora, no lo es para grandes redes de computadoras. Con tres palabras con 16 letras, ya es significativamente mejor con alrededor de 71 bits, pero aún no está en el área segura. Con cuatro palabras con un total de 20 letras, los usuarios logran una fuerza de 95 bits. Esto se considera relativamente seguro. Una contraseña de seis palabras ya tiene fuerza criptográfica. Para decirlo sin rodeos, con una frase de contraseña de 20 letras, una computadora o red de computadoras necesita contraseñas completas. 39.614.081.257.132.168.796.771.975.168 Intenta encontrar la contraseña, ¡incluso si está en minúsculas! Un número inimaginablemente alto de intentos.
¿Es suficiente una contraseña segura para todos los servicios?
No importa qué tan fuerte sea una contraseña, los usuarios siempre deben elegir diferentes contraseñas, y nunca usar solo una para todas las cuentas. En las fugas de datos, las bases de datos de contraseñas son robadas de los proveedores de servicios. La contraseña del usuario ya no necesita ser descifrada. “Si esta contraseña, sin importar qué tan fuerte sea, se usa para otras cuentas, estas cuentas también están abiertas para un atacante. Por eso es importante usar diferentes contraseñas para diferentes cuentas”, dice Tim Griese de BSI a TECHBOOK. El usuario tampoco sabe qué tan bien el servicio utilizado maneja la contraseña. “En el peor de los casos, el servicio guarda la contraseña en texto plano (como sucedió con Facebook)”, dice Wacker. La seguridad de la contraseña no importaría en absoluto en un ataque de este tipo.
Esto es lo que hacen los caracteres especiales
Y los usuarios escuchan este consejo una y otra vez cuando se trata de contraseñas: los caracteres especiales hacen que una contraseña sea más segura. ¿Pero es eso cierto? A menudo, los usuarios ni siquiera tienen opción. Los servicios en línea requieren cada vez más una contraseña con caracteres especiales o varios tipos de caracteres. “Los caracteres especiales amplían la gama de caracteres utilizados, lo que dificulta que los atacantes descifren la contraseña. Sin embargo, una contraseña muy larga sin caracteres especiales (frase de contraseña) también dificulta el acceso a un atacante. Dependiendo de la longitud de la frase de contraseña, incluso mucho más que con una contraseña simple. Por lo tanto, la longitud de la contraseña seleccionada es más importante que el uso de caracteres especiales”, dice Tim Griese de BSI.
Lea también: ¡Estos estafadores de contraseñas pueden descifrar en un segundo!
Tantos caracteres y tipos de caracteres requieren una contraseña segura
Una contraseña nunca puede ser lo suficientemente larga. “Aquí se puede decir en general: cuanto más larga, mejor: la longitud juega el papel más importante en la seguridad de la contraseña”, explica el experto Arno Wacker. Dependiendo del servicio, existen reglas específicas para la duración. Una contraseña en línea debe tener más de diez caracteres, una contraseña WiFi debe tener más de 20 caracteres. Desde un punto de vista matemático, según Wacker, una contraseña con una longitud de doce caracteres o más se considera buena y ofrece la seguridad adecuada. Sin embargo, según las pautas del NIST, las contraseñas de 20 caracteres o más solo son realmente seguras.
La elección de una contraseña segura siempre depende de dos características: la longitud y la complejidad de la contraseña. Si utiliza varios tipos de caracteres, como letras minúsculas, caracteres especiales y letras mayúsculas, la complejidad de la contraseña aumenta. Pero eso es más difícil de recordar. Por lo tanto, la siguiente descripción general lo ayudará a elegir la contraseña correcta.
- Si solo desea confiar en una contraseña compuesta por letras mayúsculas y minúsculas, debe elegir una longitud de contraseña de entre 20 y 25 caracteres. Esto cubriría dos tipos de personajes. Para recordar todas las palabras, puede usar una secuencia de palabras o una frase de contraseña.
- Si usa cuatro tipos de caracteres, puede acortar la contraseña a 8-12 caracteres. Sin embargo, es muy complejo y difícil de recordar cuando se compone de letras mayúsculas y minúsculas, caracteres especiales y números.
- Además, una contraseña de 8 caracteres se considera segura si se utilizan al menos tres tipos de caracteres y autenticación multifactor. Esto se puede hacer, por ejemplo, con una contraseña de un solo uso, que también se genera en una aplicación.
La contraseña perfecta
Pero, ¿qué más es importante aparte de la longitud? “Una ‘buena’ contraseña es aquella que no sigue ningún patrón, es decir, es completamente aleatoria y se elige un carácter de un conjunto de 100 caracteres para cada carácter”, dice Wacker. Recordar una buena y, sobre todo, larga contraseña para una gran variedad de servicios suena como un verdadero desafío. Pero no te preocupes, no necesitas una memoria de elefante, un administrador de contraseñas promete ayudarte. “Este es un software que cifra de forma segura las contraseñas del usuario y las almacena en un archivo. El acceso está protegido por una contraseña maestra segura y, potencialmente, por un segundo factor”, dice Wacker. Dado que todas las contraseñas se encuentran en este software, se debe prestar especial atención a los aspectos de seguridad al realizar la selección. Por lo tanto, el software debe ser de código abierto, un buen ejemplo de lo cual es KeePassXC, aconseja Wacker.
La pregunta de seguridad se utiliza cuando el usuario ha olvidado la contraseña y aún desea acceder a la cuenta correspondiente. Pero: “La pregunta de seguridad es una muy mala idea y, por lo tanto, también se eliminó de las pautas actuales del NIST o incluso exigió explícitamente que ya no exista. Es absolutamente correcto: los atacantes (hackers) también pueden responder a la pregunta de seguridad, en la medida en que se base en información que de alguna manera esté disponible o se pueda adivinar, y así eludir la contraseña más segura”, dice Arno Wacker. Si el servicio en línea requiere una pregunta de seguridad, los usuarios deben considerar los mismos criterios que para una contraseña segura.
Fuente:
- BSIconsultado el 21/11/22.