jueves, abril 23, 2015

¿Tu contraseña es segura?

Recientemente nos hemos encontrado con clientes que usan la misma contraseña para todo o que la complejidad de la misma es mas bien nula. Incluso hemos visto un post-it pegado en la pantalla con las claves de acceso a la banca electrónica. Con tanta botnet intentando atacarnos, tanto que perder si consiguen robarnos alguna identidad personal y tantas herramientas distribuidas por internet para robo de contraseñas, ¿por qué se lo ponemos tan fácil a los malos?

La empresa SplashData publicaba en su web la lista de las 25 peores contraseñas que se usan en internet:

Figura 1: captura de la web de SplashData del 24 de abril de 2015
La lista concretamente la tenéis a continuación, y en ella puede verse la posición en el ránking, la contraseña que es y en la tercera columna si ha tenido cambios en este ránking con respecto a 2013:
Figura 2: lista de las peores contraseñas de 2014
En la propia web nos dicen que estas 25 contraseñas se corresponden con el 2,2% de todas las contraseñas de internet, un número bastante elevado teniendo en cuenta los millones de contraseñas usadas a nivel mundial.

Por otro lado, la empresa Kaspersky publicaba una web en la que te calculan el tiempo que tardaría un ordenador normal (de usuario doméstico) en "reventar" una contraseña por fuerza bruta. Vemos que la contraseña 1234, 123456 o incluso 123456abcdef puede ser descifrada en 1 segundo.
Figura 3: web de Kaspersky de prueba de contraseñas
Te invitamos a que hagas una prueba. En la propia web indican que no almacenan ninguna de esa contraseñas, pero para ser cautos, si tu contraseña es "pepe125", no pruebes con esa, hazlo con "jaja961" que tiene la misma fuerza pero no es la tuya real.

Una contraseña fuerte debe tener una longitud considerable, una mezcla de números y letras en mayúsculas y minúsculas y a ser posible también algún carácter especial. Algunos ejemplos de contraseñas fuertes serían:
  • Pa$12Rx.
  • 18Kik0#
  • EjPol%8.3

Lo bueno sería evitar palabras ya construidas, del tipo ZaRagoZA1995, o las que están ahora de moda con el alfabeto L33T, tan famoso por las camisetas con la palabra C0R7EZ y que en el mundo informático hace años que se usa. Este tipo de contraseñas están incluidas en diccionarios de ataque y los ordenadores no tienen ni que "pensar" en ellas, ya tienen programado el probarlas.

Aún así, contraseñas fuertes como
  • Pa$12Rx.
con un ordenador normal se tardan 8 años en conseguir descifrarla, pero el Conficker Botnet, uno de los botnets más poderoso y activo del mundo tarda tan solo 4 horas en hacerlo.
Figura 4: tiempo necesarios de cómputo de distintos ordenadores
para conseguir descifrar la contraseña Pa$12Rx.

Consejos para elegir una contraseña:

  • usa una contraseña larga (8-16 caracteres)
  • que contenga números (0,1,2,3,...), letras mayúsculas (A, H, J, R, ...), letras minúsculas (i, d, e, r, ...) y caracteres especiales (#, @, €, $, ...)
  • no uses fechas o nombres tuyos personales ni lugares
  • cámbiala frecuentemente
  • si sospechas de que la están usando, cámbiala
  • si sospechas que tienes un virus o malware, cámbiala
  • no las pongas en un post-it en la pantalla
  • no se la des a nadie
  • no uses métodos (si te gusta como contraseña "159jAs", no uses "159jAshotmail" como contraseña de hotmail, "159jAsfacebook" para facebook y "159jAsgmail" para gmail. Si te descubren una las tienen todas.

Y sobre todo, en muchos sitios de internet ya está implementada la verificación en dos pasos, facebook, gmail, hotmail, ... Es un sistema que primero te pide la contraseña y luego una verificación vía SMS a tu número de móvil. Es interesante tenerlo activo para que solo se pueda acceder a tus cuentas si confirmas que eres tu a través del móvil. Al principio es un poco rollo y engorroso pero una vez que te acostumbras no tardas más de 15 segundos en hacerlo.

Para terminar, unos vídeos de Chema sobre el uso de contraseñas:

Vídeo 1: Chema Alonso, 'hacker': "Nadie pone protección
extra en la nube más allá de la contraseña"

Vídeo 2: Chema Alonso - Digital Latches for your Digital Life

Saludos!

No hay comentarios:

Publicar un comentario

Puedes dejar tus comentarios, sugerencias y críticas, pero los mensajes PUBLICITARIOS, OFENSIVOS o DESTRUCTIVOS serán marcados como spam y eliminados.