Si todavía usa "qwerty" o "starwars" como contraseña, debe detenerse de inmediato. Le decimos qué hace que una contraseña sea mala, por qué debería importarle y cómo hacer una buena.
Los 47 Ronin de la historia japonesa se identificaron entre sí durante un ataque nocturno con la contraseña “yama” (montaña) y la contraseña “kawa” (río). ¿Guay, verdad? La protección con contraseña moderna no es tan interesante, pero es igual de importante.
La única forma segura de almacenar contraseñas correctas es en un administrador de contraseñas . Entonces, ¿por qué no estás usando uno? Hace unos años, en una encuesta de PCMag sobre contraseñas , solo el 24 % de usuarios informó que usaba un administrador de contraseñas. El otro 76 % debe estar usando una contraseña fácil de descifrar como baseball o 12345678, o memorizando una contraseña compleja y usándola en todas partes. La seguridad de la contraseña no es poca cosa. Dada la enorme escala del riesgo, debe hacer todo lo posible para mantener sus contraseñas seguras.
Incluso si está utilizando el mejor administrador de contraseñas, no garantiza la seguridad de sus cuentas, no si usa el administrador de contraseñas para almacenar las mismas contraseñas viejas y cansadas . Tienes que cambiar tus contraseñas viejas y débiles por otras nuevas y más fuertes.
Esa encuesta mencionada anteriormente reveló que el 35% de los lectores nunca cambian sus contraseñas a menos que se vean obligados a hacerlo por una infracción. En general, eso no es tan malo. El Instituto Nacional de Estándares y Tecnología ya no recomienda cambiar las contraseñas cada 90 días . NIST ahora recomienda usar frases largas como " Correct-Horse-Battery-Staple " y cambiarlas solo cuando sea necesario. Pero si estás usando contraseñas terribles, "cuando sea necesario" significa ahora mismo .
¿Qué hace que una contraseña sea mala? Veamos algunos de los atributos de las contraseñas terribles, luego le daremos algunos consejos sobre cómo crearlas de la manera correcta.
Mantente fuera del diccionario
Cada pocos meses, un medio de comunicación publica una lista de las peores contraseñas. Vemos muchas opciones fáciles de escribir, como 123456 y qwerty. ¿Fácil para ti? Por supuesto. Pero también es fácil de descifrar para los piratas informáticos. Otras contraseñas comunes (y deficientes) consisten en simples palabras de diccionario. Hemos visto baseball, monkey y starwars en la lista de las peores contraseñas. Estos también son fáciles de descifrar.
Algunos sitios web seguros se bloquean después de un número determinado de intentos de contraseña incorrectos, pero muchos no lo hacen. Para aquellos que no tienen un bloqueo de mala suposición, los piratas informáticos pueden cruzar una lista de direcciones de correo electrónico con una lista de contraseñas populares y configurar un proceso automatizado para seguir probando combinaciones hasta que ingresen.
Un sitio web debidamente protegido no almacena su contraseña en ningún lugar. En su lugar, ejecuta la contraseña a través de un algoritmo hash , una especie de cifrado unidireccional. La misma entrada siempre produce la misma salida, pero no hay forma de volver a la contraseña original a partir del hash resultante. Si la contraseña que escribe tiene el mismo valor que está almacenado, obtiene acceso. Incluso si los piratas informáticos capturan los datos de usuario del sitio, no obtienen contraseñas, solo hashes.
Pero los piratas informáticos inteligentes pueden descifrar contraseñas débiles incluso cuando están codificadas si saben qué función de cifrado utilizó el sitio. Comienzan ejecutando un enorme diccionario de contraseñas comunes a través de la función hash. Luego buscan los hashes resultantes en los datos capturados. Cada coincidencia es una contraseña descifrada. Los sitios con la mejor seguridad mejoran la función hash con una técnica llamada salting, que hace que este tipo de craqueo basado en tablas sea imposible, pero ¿por qué correr el riesgo? Sólo mantente fuera del diccionario.
Piensa diferente
Una amiga me dijo una vez su contraseña perfecta: 1qaz2wsx3edc4rfv. Podía "escribirlo" simplemente deslizando un dedo por cuatro columnas inclinadas del teclado. Era tan perfecto que lo usó en todas partes. Y eso fue un gran error.
Difícilmente pasa una semana sin noticias de una brecha en alguna empresa o sitio web, exponiendo miles o millones de nombres de usuario y contraseñas. Las víctimas inteligentes cambian sus contraseñas inmediatamente. Aquellos que ignoren el problema pueden verse bloqueados de sus propias cuentas después de que los piratas informáticos restablezcan la contraseña.
Esos piratas informáticos saben que demasiadas personas reciclan sus contraseñas. Una vez que encuentran un par de nombre de usuario y contraseña que funcionen, prueban las mismas credenciales en otros sitios. Es posible que no esté tan preocupado por perder el acceso a su cuenta reescrita de Club Penguin, pero si usó el mismo inicio de sesión en el sitio web de su banco, tiene un gran problema.
Se pone peor. Si alguien más obtiene el control de su cuenta de correo electrónico, primero puede bloquearlo cambiando la contraseña. Luego, pueden ingresar a sus otras cuentas enviando un enlace de restablecimiento de contraseña por correo electrónico a esa cuenta. ¿Preocupado todavía?
No seas personal
Usar información personal como base para sus contraseñas es terriblemente tentador, pero es una mala idea. Ya sea que el nombre de su perro sea Firulais o Hachi, ese nombre probablemente aparece en los diccionarios que usan los piratas informáticos para los ataques de fuerza bruta. Otras posibilidades, como las iniciales y la fecha de nacimiento de un miembro de la familia, probablemente no caigan en un ataque de fuerza bruta, pero si alguien quiere piratear su cuenta específicamente, esos datos personales pueden impulsar un ataque de adivinanza de prueba y error.
No piense ni por un minuto que sus datos personales son privados. Hay docenas de sitios que las personas pueden usar para encontrar detalles sobre cualquier persona: dirección, fecha de nacimiento, estado civil y más. Sus publicaciones en las redes sociales pueden ser otra fuente de información personal, especialmente si no ha asegurado sus cuentas adecuadamente . Un pirata informático decidido (o un vecino entrometido) probablemente pueda adivinar cualquier contraseña que cree en función de sus propios datos.
Cierra la puerta trasera
Si no está utilizando un administrador de contraseñas, seguramente ha experimentado el olvido de la contraseña de un sitio. Es demasiado común, razón por la cual prácticamente todas las páginas de inicio de sesión incluyen "¿Olvidó su contraseña?" Enlace. Algunos sitios envían un enlace de restablecimiento a su dirección de correo electrónico, mientras que otros le permiten restablecer la contraseña después de responder a sus preguntas de seguridad. Y eso abre una puerta trasera a cualquiera que quiera hackear tu cuenta.
La mayoría de los sitios ofrecen opciones abismales para las preguntas de seguridad. ¿Cuál es el apellido de soltera de tu madre? ¿Dónde fuiste a la escuela secundaria? ¿Cuál fue su primer trabajo? Como se señaló, su vida personal es un libro abierto para cualquier persona con habilidades de búsqueda en Internet. Cuando sea posible, ignore las preguntas preestablecidas. Crea tu propia pregunta, con una respuesta única que siempre recordarás pero que nadie más podría adivinar.
Es más difícil cuando el sitio no te permite definir tus propias preguntas. En ese caso, lo mejor que puedes hacer es usar una respuesta memorable que sea una mentira total. El apellido de soltera de mi madre es Maria. Fui a la escuela en More Science High School. En mi primer trabajo, fui operador de linotipia. Hay un elemento de riesgo, ya que podrías olvidar qué mentira elegiste. Sugeriría almacenar estas respuestas extrañas como notas seguras en su administrador de contraseñas, pero si estuviera usando un administrador de contraseñas, no tendría este problema en primer lugar .
Qué hacer ahora que te importa
Espero haberlo convencido de que usar contraseñas comunes es una mala idea, al igual que crear contraseñas a partir de información personal. E incluso la mejor contraseña segura y aleatoria se convierte en una responsabilidad si la usa en todas partes. Si está listo para entrar en acción, aquí hay algunos puntos de partida:
-
Utilice un administrador de contraseñas .
-
Cambie a un mejor administrador de contraseñas .
-
Recuerde una contraseña maestra extremadamente segura para su administrador de contraseñas.
-
Aproveche un generador de contraseñas aleatorias para actualizar sus viejas y malas contraseñas.
-
Incluso podría crear su propio generador de contraseñas aleatorias en Excel.
-
Habilite la autenticación multifactor siempre que esté disponible.
Si un sitio seguro no se ocupa de la seguridad, aún podría perder las credenciales de ese sitio debido a una violación de datos, pero al hacer que todas sus contraseñas sean largas, seguras y únicas, ha hecho todo lo posible para proteger sus cuentas en línea.
¡Y oye! Ahora que está en racha, en cuanto a la seguridad, considere agregar una red privada virtual o VPN a su kit de herramientas. El uso de contraseñas seguras para sitios seguros significa que otros no pueden acceder a sus cuentas; agregar una VPN significa que no hay posibilidad de que nadie pueda interceptar su conexión a esos sitios seguros.