A pesar de la gran evolución que sufrieron de los sistemas de computación, los mecanismos masivos (o de usuarios finales) de identificación y autenticación no evolucionaron al clásico método de utilizar una combinación de usuario y passwords. Y aunque éste no ofrezca la mejor de las garantías, sigue siendo el mas extendido por su uso.

El principal problema que tiene este sistema no se enfoca únicamente en generar una contraseña débil, sino que al utilizar varios entornos, estamos obligados a memorizar mas claves de las tenemos capacidad, y esto conlleva a reutilizar las mismas en diferentes sistemas.

TopTen de contraseñas mas utilizadas – Fuente: ZoneAlarm

Estadística del tamaño de contraseñas – Fuente: ZoneAlarm

Métodos y recomendaciones para la de generación de frases como password existen infinidades, a continuación resumimos un listado que agrupa alguna de ellas:

• Contener mayúsculas y minúsculas.
• Contener dígitos y símbolos de puntuación además de letras.
• Incluir caracteres de control y/o espacios.
• Deben contener por lo menos ocho caracteres.
• Deben tener algún método para que sea fácil de recordar (y así no tener la necesidad de escribirla).
• Se debe evitar el uso de datos propios como fecha de nacimiento, nro. de documento, etc.

Sugerencias para su generación:

• Memorizar una frase es mucho mas sencillo y de mayor longitud que una palabra.
• Utilizar un acrónimo de frases como “eUrDlTdAlE” (en un rincon de la tierra donde arden las estrellas) intercambiando mayúsculas y minúsculas.
• Intercambiar alguna de las vocales por los números que más se le parecen (A por 4, E por 3, I por 1, O por 0).
• Concatenar algunas de las letras del sistema a proteger con la frase candidata, para mantener diferentes contraseñas en los diferentes sistemas. Por ejemplo, con el anterior acrónimo como candidato (“eUrDlTdAlE”) y utilizando la 2da y 3er letra de los servicios, la lista de contraseñas quedaría de la siguiente manera:

 

Servicio 2da y 3er letra Frase Contraseña
Gmail “ma” “eUrDlTdAlE” “maeUrDlTdAlE”
Facebook “ac” “eUrDlTdAlE” “aceUrDlTdAlE”
Twitter “wi” “eUrDlTdAlE” “wieUrDlTdAlE”
Linkedin “in” “eUrDlTdAlE” “ineUrDlTdAlE”

 

La fortaleza de una contraseña viene definida según su complejidad y el número de combinaciones necesarias para romperla empleando técnicas de fuerza bruta (es decir, probando todas las posibles combinaciones de caracteres que se pueden formar) aunque normalmente los ataques contra las password emplean técnicas menos complicadas como diccionarios o variaciones heurísticas sobre palabras comunes.

A continuación del ofrecemos un script de medición de complejidad de las frases candidatas para establecer que tan seguras son. El mismo está basado en el la última versión del proyecto PasswordMeter de Jeff Todnem (http://www.todnem.com) publicado bajo licencia GPL con traducción propia.

Medidor Online de Complejidad

Descargar de aquí el pwd_meter