Cómo crear y recordar una contraseña segura

2024 Autor: Malcolm Clapton | [email protected]. Última modificación: 2023-12-17 03:53

Las mejores formas de crear una contraseña que nadie pueda descifrar.

La mayoría de los atacantes no se molestan en utilizar sofisticados métodos de robo de contraseñas. Toman combinaciones fáciles de adivinar. Aproximadamente el 1% de todas las contraseñas existentes actualmente pueden ser de fuerza bruta con cuatro intentos.

¿Cómo es esto posible? Muy simple. Prueba las cuatro combinaciones más comunes del mundo: contraseña, 123456, 12345678, qwerty. Después de tal paso, en promedio, se abre el 1% de todos los "cofres".

Digamos que estás entre ese 99% de usuarios cuya contraseña no es tan simple. Aun así, se debe tener en cuenta el rendimiento del software de piratería moderno.

El programa gratuito John the Ripper, disponible gratuitamente, verifica millones de contraseñas por segundo. Algunos ejemplos de software comercial especializado afirman tener una capacidad de 2.800 millones de contraseñas por segundo.

Inicialmente, los programas de craqueo ejecutan una lista de las combinaciones estadísticamente más comunes y luego consultan el diccionario completo. Con el tiempo, las tendencias de las contraseñas de los usuarios pueden cambiar ligeramente, y estos cambios se tienen en cuenta cuando se actualizan dichas listas.

Con el tiempo, todo tipo de servicios y aplicaciones web decidieron complicar a la fuerza las contraseñas creadas por los usuarios. Se han agregado requisitos, según los cuales la contraseña debe tener una longitud mínima determinada, contener números, mayúsculas y caracteres especiales. Algunos servicios se tomaron esto tan en serio que se necesita una tarea muy larga y tediosa para encontrar una contraseña que el sistema acepte.

El problema clave es que casi ningún usuario genera una contraseña verdaderamente de fuerza bruta, sino que solo intenta cumplir con los requisitos del sistema para la composición de la contraseña al mínimo.

El resultado son contraseñas como contraseña1, contraseña123, contraseña, contraseña, contraseña. y la increíblemente impredecible p @ ssword.

Imagina que necesitas rehacer tu contraseña de Spiderman. Lo más probable es que se parezca a $ pider_Man1. ¿Original? Miles de personas lo cambiarán utilizando el mismo algoritmo o uno muy similar.

Si el cracker conoce estos requisitos mínimos, la situación solo empeora. Es por esta razón que el requisito impuesto de aumentar la complejidad de las contraseñas no siempre proporciona la mejor seguridad y, a menudo, crea una falsa sensación de mayor seguridad.

Cuanto más fácil sea recordar la contraseña, más probable será que termine en los diccionarios de cracker. Como resultado, resulta que una contraseña realmente segura es simplemente imposible de recordar, lo que significa que debe arreglarse en algún lugar.

Según los expertos, incluso en esta era digital, las personas todavía pueden confiar en una hoja de papel con contraseñas escritas. Es conveniente mantener dicha hoja en un lugar oculto de miradas indiscretas, por ejemplo, en una billetera o billetera.

Sin embargo, la hoja de contraseñas no resuelve el problema. Las contraseñas largas son difíciles no solo de recordar, sino también de ingresar. La situación se ve agravada por los teclados virtuales de los dispositivos móviles.

Al interactuar con docenas de servicios y sitios, muchos usuarios dejan una cadena de contraseñas idénticas. Intentan utilizar la misma contraseña para todos los sitios, ignorando por completo los riesgos.

En este caso, algunos sitios actúan como niñeras, lo que obliga a complicar la combinación. Como resultado, el usuario simplemente no puede recordar cómo tuvo que modificar su contraseña única estándar para este sitio.

La magnitud del problema se comprendió plenamente en 2009. Luego, debido a un agujero de seguridad, el hacker logró robar la base de datos de inicios de sesión y contraseñas de RockYou.com, la empresa que publica juegos en Facebook. El atacante puso la base de datos a disposición del público. En total, contenía 32,5 millones de entradas con nombres de usuario y contraseñas de cuentas. Se han producido filtraciones antes, pero la escala de este evento en particular mostró el panorama completo.

La contraseña más popular en RockYou.com fue 123456, que fue utilizada por casi 291.000 personas. Los hombres menores de 30 años prefieren con mayor frecuencia temas sexuales y vulgaridades. Las personas mayores de ambos sexos a menudo recurren a un área particular de la cultura al elegir una contraseña. Por ejemplo, Epsilon793 no parece una mala opción, solo que esta combinación estaba en Star Trek. El 8675309 de siete dígitos apareció muchas veces porque este número apareció en una de las canciones de Tommy Tutone.

De hecho, crear una contraseña segura es una tarea sencilla, basta con componer una combinación de caracteres aleatorios.

No puede crear una combinación perfectamente aleatoria en términos matemáticos en su cabeza, pero no está obligado a hacerlo. Hay servicios especiales que generan combinaciones verdaderamente aleatorias. Por ejemplo, puede crear contraseñas como esta:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Esta es una solución simple y elegante, especialmente para aquellos que usan un administrador para almacenar contraseñas.

Desafortunadamente, la mayoría de los usuarios continúan usando contraseñas simples y débiles, incluso ignorando la regla de "contraseñas diferentes para cada sitio". Para ellos, la comodidad es más importante que la seguridad.

Las situaciones en las que la seguridad de las contraseñas puede verse comprometida se pueden dividir en 3 categorías amplias:

• Aleatorio, en el que una persona que conoces intenta averiguar la contraseña basándose en información que conoce sobre ti. A menudo, tal galleta solo quiere hacer una broma, averiguar algo sobre usted o hacer un lío.
• Ataques masivoscuando absolutamente cualquier usuario de determinados servicios puede convertirse en víctima. En este caso, se utiliza un software especializado. Para el ataque, se seleccionan los sitios menos seguros, que le permiten ingresar repetidamente opciones de contraseña en un corto período de tiempo.
• Útilque combinan la recepción de pistas (como en el primer caso) y el uso de software especializado (como en un ataque masivo). Se trata de intentar conseguir información realmente valiosa. Solo una contraseña aleatoria lo suficientemente larga ayudará a protegerse, cuya selección llevará un tiempo comparable a la duración de su vida.

Como puede ver, absolutamente cualquiera puede convertirse en víctima. Declaraciones como “no me robarán mi contraseña, porque nadie me necesita” no son relevantes, porque puedes meterte en una situación similar por accidente, por coincidencia, sin razón aparente.

Es aún más serio tomar protección con contraseña para aquellos que tienen información valiosa, están asociados con una empresa o están en conflicto con alguien por motivos financieros (por ejemplo, división de propiedad en el proceso de divorcio, competencia en los negocios).

En 2009, Twitter (en el entendimiento de todo el servicio) fue pirateado solo porque el administrador usó la palabra felicidad como contraseña. El hacker lo recogió y lo publicó en el sitio web de Digital Gangster, lo que provocó el secuestro de las cuentas de Obama, Britney Spears, Facebook y Fox News.

Siglas

Como en cualquier otro aspecto de la vida, siempre tenemos que encontrar un compromiso entre la máxima seguridad y la máxima comodidad. ¿Cómo encontrar un término medio? ¿Qué estrategia para generar contraseñas le permitirá crear combinaciones sólidas que se puedan recordar fácilmente?

Por el momento, la mejor combinación de confiabilidad y conveniencia es convertir una frase o frase en una contraseña.

Se selecciona un conjunto de palabras que siempre recordará y se utiliza una combinación de las primeras letras de cada palabra como contraseña. Por ejemplo, Que la fuerza te acompañe se convierte en Mtfbwy.

Sin embargo, dado que los más famosos se utilizarán como frases iniciales, los programas eventualmente recibirán estos acrónimos en sus listas. De hecho, el acrónimo contiene solo letras y, por lo tanto, es objetivamente menos confiable que una combinación aleatoria de caracteres.

Elegir la frase correcta lo ayudará a deshacerse del primer problema. ¿Por qué convertir una expresión de fama mundial en una contraseña de acrónimo? Probablemente recuerde algunos chistes y dichos que son relevantes solo entre su círculo cercano. Digamos que escuchó una frase muy pegadiza de un camarero en un establecimiento local. Úselo.

Aún así, es poco probable que la contraseña de acrónimo que generó sea única. El problema con los acrónimos es que diferentes frases pueden estar compuestas por palabras que comienzan con las mismas letras y en la misma secuencia. Estadísticamente, en varios idiomas, hay una mayor frecuencia de aparición de ciertas letras al comienzo de una palabra. Los programas tendrán en cuenta estos factores y se reducirá la efectividad de las siglas en la versión original.

Camino inverso

La salida puede ser la forma opuesta a la generación. Creas una contraseña completamente aleatoria en random.org y luego conviertes sus caracteres en una frase significativa y memorable.

A menudo, los servicios y los sitios proporcionan a los usuarios contraseñas temporales, que son las mismas combinaciones perfectamente aleatorias. Querrá cambiarlos, porque no podrá recordarlos, pero mire más de cerca y se vuelve obvio: no necesita recordar la contraseña. Por ejemplo, tomemos otra opción de random.org: RPM8t4ka.

Aunque parezca sin sentido, nuestro cerebro es capaz de encontrar ciertos patrones y correspondencias incluso en tal caos. Para empezar, puede notar que las primeras tres letras están en mayúsculas y las tres siguientes en minúsculas. 8 es dos veces (en inglés dos veces - t) 4. Mire un poco esta contraseña y seguramente encontrará sus propias asociaciones con el conjunto propuesto de letras y números.

Si puedes memorizar un conjunto de palabras sin sentido, úsala. Deje que la contraseña se convierta en revoluciones por minuto 8 pista 4 katty. Cualquier conversión en la que su cerebro sea mejor servirá.

Una contraseña aleatoria es el estándar de oro en seguridad de la información. Es, por definición, mejor que cualquier contraseña creada por humanos.

La desventaja de los acrónimos es que con el tiempo, la difusión de dicha técnica reducirá su efectividad y el método inverso seguirá siendo igual de confiable, incluso si todas las personas en la tierra lo usarán durante mil años.

Una contraseña aleatoria no se incluirá en la lista de combinaciones populares, y un atacante que utilice un método de ataque masivo solo aplicará fuerza bruta a dicha contraseña.

Tomemos una contraseña aleatoria simple que tenga en cuenta mayúsculas y números, es decir, 62 caracteres posibles para cada posición. Si hacemos la contraseña de solo 8 dígitos, obtenemos 62 ^ 8 = 218 billones de opciones.

Incluso si el número de intentos dentro de un cierto intervalo de tiempo no está limitado, el software especializado más comercial con una capacidad de 2.8 mil millones de contraseñas por segundo pasará un promedio de 22 horas tratando de encontrar la combinación correcta. Sin duda, agregamos solo 1 carácter adicional a dicha contraseña, y tomará muchos años descifrarla.

Una contraseña aleatoria no es invulnerable, ya que puede ser robada. Las opciones son abundantes, desde leer la entrada del teclado hasta tener una cámara al hombro.

Un pirata informático puede acceder al servicio en sí y obtener datos directamente de sus servidores. En esta situación, nada depende del usuario.

Una base confiable

Entonces, llegamos a lo principal. ¿Cuáles son las tácticas de contraseñas aleatorias para usar en la vida real? Desde el punto de vista del equilibrio entre confiabilidad y conveniencia, la "filosofía de una contraseña segura" se mostrará bien.

El principio es que usa la misma base: una contraseña súper fuerte (sus variaciones) en los servicios y sitios que son más importantes para usted.

Recuerde una combinación larga y difícil para todos.

Nick Berry, consultor de seguridad de la información, permite aplicar este principio, siempre que la contraseña esté muy bien protegida.

No se permite la presencia de malware en la computadora desde la que ingresa la contraseña. No está permitido usar la misma contraseña para sitios menos importantes y entretenidos; las contraseñas más simples son suficientes para ellos, ya que piratear una cuenta aquí no tendrá consecuencias fatales.

Está claro que la base confiable debe cambiarse de alguna manera para cada sitio. Como opción simple, puede agregar una sola letra al principio, que finaliza el nombre del sitio o servicio. Si volvemos a esa contraseña aleatoria de RPM8t4ka, se convertirá en kRPM8t4ka para la autorización de Facebook.

Un atacante, al ver una contraseña de este tipo, no podrá comprender cómo se genera la contraseña de su cuenta bancaria. Los problemas comenzarán si alguien obtiene acceso a dos o más de sus contraseñas generadas de esta manera.

Pregunta secreta

Algunos secuestradores ignoran las contraseñas por completo. Actúan en nombre del propietario de la cuenta y simulan una situación en la que ha olvidado su contraseña y desea restaurarla con una pregunta secreta. En este escenario, puede cambiar la contraseña a voluntad y el verdadero propietario perderá el acceso a su cuenta.

En 2008, alguien tuvo acceso al correo electrónico de Sarah Palin, gobernadora de Alaska y en ese momento también candidata presidencial. El ladrón respondió a la pregunta secreta, que sonaba así: "¿Dónde conoció a su esposo?"

Después de 4 años, Mitt Romney, quien también era candidato a la presidencia de Estados Unidos en ese momento, perdió varias de sus cuentas en varios servicios. Alguien respondió una pregunta secreta sobre el nombre de la mascota de Mitt Romney.

Ya has adivinado el punto.

No puede utilizar datos públicos y fáciles de adivinar como una pregunta y respuesta secretas.

La cuestión no es siquiera que esta información pueda obtenerse cuidadosamente en Internet o de los asociados cercanos de la persona. Las respuestas a preguntas en el estilo de "nombre de animal", "equipo de hockey favorito", etc., están perfectamente seleccionadas de los correspondientes diccionarios de opciones populares.

Como opción temporal, puede utilizar la táctica del absurdo de la respuesta. En pocas palabras, la respuesta no debería tener nada que ver con la pregunta secreta. ¿Nombre de soltera de la madre? Difenhidramina. ¿Nombre de mascota? 1991.

Sin embargo, dicha técnica, si se encuentra generalizada, se tendrá en cuenta en los programas correspondientes. Las respuestas absurdas suelen estar estereotipadas, es decir, algunas frases se encontrarán con mucha más frecuencia que otras.

De hecho, no hay nada de malo en usar respuestas reales, solo necesita elegir la pregunta sabiamente. Si la pregunta no es estándar y solo usted conoce la respuesta y no puede adivinarla después de tres intentos, entonces todo está en orden. La ventaja de ser sincero es que no lo olvidará con el tiempo.

ALFILER

El número de identificación personal (PIN) es un candado barato al que se confía nuestro dinero. Nadie se molesta en crear una combinación más confiable de al menos estos cuatro números.

Ahora parar. Ahora. Ahora mismo, sin leer el siguiente párrafo, intente adivinar el PIN más popular. ¿Listo?

Nick Berry estima que el 11% de la población de EE. UU. Usa 1234 como PIN (donde pueden cambiarlo ellos mismos).

Los piratas informáticos no prestan atención a los códigos PIN porque el código es inútil sin la presencia física de la tarjeta (esto puede justificar en parte la pequeña longitud del código).

Berry tomó las listas de contraseñas de cuatro dígitos que aparecieron después de las filtraciones en la red. Es probable que la persona que usa la contraseña de 1967 la haya elegido por alguna razón. El segundo PIN más popular es el 1111 y el 6% de las personas prefiere este código. En tercer lugar está 0000 (2%).

Supongamos que una persona que conoce esta información tiene una tarjeta bancaria en sus manos. Tres intentos de bloquear la tarjeta. Las matemáticas simples muestran que esta persona tiene un 19% de posibilidades de adivinar su PIN si ingresa 1234, 1111 y 0000 en secuencia.

Probablemente por esta razón, la gran mayoría de los bancos asignan códigos PIN a las tarjetas de plástico emitidas.

Sin embargo, muchas personas protegen los teléfonos inteligentes con un código PIN, y aquí se aplica la siguiente clasificación de popularidad: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888 4321, 2001, 1010.

A menudo, el PIN representa un año (año de nacimiento o fecha histórica).

A muchas personas les gusta crear PIN en forma de pares repetidos de números (además, los pares en los que el primer y el segundo números difieren en uno son especialmente populares).

Los teclados numéricos de los dispositivos móviles muestran combinaciones como 2580 en la parte superior; para escribirlo, es suficiente hacer un pasaje directo de arriba a abajo en el centro.

En Corea, el número 1004 está en consonancia con la palabra "ángel", lo que hace que esta combinación sea bastante popular allí.

Salir

1. Vaya a random.org y cree entre 5 y 10 contraseñas candidatas allí.
2. Elija una contraseña que pueda convertir en una frase memorable.
3. Utilice esta frase para recordar su contraseña.