25 de diciembre de 2023

3 consejos para crear contraseñas seguras


Las grandes tecnológicas estan buscando nuevas formas de iniciar sesión o acreditar nuestra identidad sin usar contraseñas. Pero mientras esas tecnologías lleguen, crear contraseñas seguras es fundamental para proteger nuestra identidad en Internet.

La mejor recomendación es evitar contraseñas fáciles de adivinar como "1234" o "password". ¿Por qué? Por que seríamos vulnerables a dos tipos de ataques:

  • Ataque de fuerza bruta: consiste en probar una por una todas las posibles combinaciones de contraseñas. Obviamente, esto no lo haría una persona sino una computadora que puede probar millones en segundos. Se usan trucos como acceder desde distintos equipos a lo largo de toda la Red para evitar que los sitios puedan bloquear a los equipos que superan el límite de intentos. Para evitar este ataque debemos usar contraseñas largas; pasar de una de 4 caracteres a otra de 12 puede convertir una tarea de descifrar contraseñas de segundos en años.
  • Ataque de diccionario: es similar pero se usan listas conocidas como "diccionarios" para probar solo palabras reales. Es más rápido para descifrar contraseñas que usan estos términos pero no funciona si usamos uno inventado o con símbolos raros. Por ejemplo: "contraseña" tiene 10 caracteres mientras que "+/seña&*/)" tiene la misma cantidad; pero la segunda es prácticamente invulnerable a los ataques de diccionario.

Consejo 1: usar un gestor de contraseñas

El problema de usar contraseñas largas y sin palabras reales es que son más dificíles de recordar. Además debemos usar una diferente para cada sitio al que nos registremos; para protegernos en caso de que un sitio tenga una seguridad débil y se filtren nuestras contraseñas. El problema no es tanto si no registramos en pocos sitios; pero si usamos muchos, la cosa se vuelve imposible. La solución es sencilla: usar un gestor de contraseñas.

Este es un programa o servicio de Internet que almacena todas nuestras contraseñas, junto con nuestros nombres de usuario, el sitio en el que nos registramos e información adicional en un archivo o en la nube. Luego creamos una contraseña maestra para que nadie pueda acceder a nuestra información.

La ventaja es clara: solo debemos recordar una y podemos hacerla tan difícil como querramos.

Logo de KeePass

Mi recomendación es usar KeePass. Se trata de un programa de código abierto, que además es multiplataforma y que genera un archivo con todas nuestras contraseñas cifradas con seguridad de grado militar. Podemos guardar en la nube el archivo en un servicio como Google Drive o Dropbox y acceder desde nuestro PC o incluso desde un teléfono o tablet.

Consejo 2: usar una frase para la contraseña maestra

Ahora solo debemos recordar una contraseña pero ésta protegerá todas nuestras cuentas por lo que debe ser impsible de adivinar. Debe ser larga y no estar basada en una sola palabra para evitar ataques de fuerza bruta y de diccionario.

¿Mi consejo? Usar una frase que contenga números. Al ser una frase será más larga que una palabra y al tener números será más difícil de encontrar en un diccionario.

No podemos usar frases hechas como "Más vale pájaro en mano" porque podría aparecer en un diccionario avanzado. Debemos usar frases que no tengan sentido como: "Tengo una vaca de 5 patas" o "Mis 3 ojos te ven". Seamos creativos.

Consejo 3: buscar filtraciones

Cada tanto algunos servicios de Internet resultan comprometidos y los datos de los usuarios, como la cuenta y contraseña, o incluso el correo electrónico salen a la luz y se pueden descargar o comprar en la web oscura. En ese caso debemos cambiar inmediatamente nuestra contraseña.

Captura de pantalla de "Have I Been Pwned?"

¿Cómo saber si nuestros datos han sido filtrados? Existe una web muy útil que nos lo dice. Se trata de "Have I Been Pwned?" Solo debemos poner nuestra dirección de correo y nos dirá si se ha comprometido algún sitio en el que estemos registrados.

Consejo extra: usar la autenticación en 2 pasos

Logo de Google Authenticator
La autenticación en 2 pasos, también conocida como autenticación en 2 factores o A2F consiste en usar no solo nuestra contraseña sino también un código temporal que genera nuestro dispositivo, como nuestro celular o tablet, para ingresar a un sitio. Si alguien adivina nuestra contraseña, no podrá robar nuestra cuenta porque no tiene nuestro dispositivo para obtener el código.


Usarla es sencillo:

  1. Descargamos la aplicación de autenticación. Google Authenticator es muy útil: Play Store: Google Authenticator
  2. Ingresamos en el sitio que buscamos vincular y buscamos la opción de A2F. Algunos sitios que la incorporan son Google, Facebook y Dropbox.
  3. Seguimos los pasos para vincular la aplicación con nuestra cuenta.
  4. Ahora podemos ingresar con la A2F activada: entramos al sitio y ponemos la contraseña.
  5. Nos pedirá la clave temporal. Esta cambia cada 30 segundos.

Si las claves coinciden, se nos concederá el acceso.


No hay comentarios.: