Por qué las restricciones de contraseña en los sitios web no te mantienen seguro

Si has creado una cuenta o dos en los últimos años, probablemente hayas notado que muchos de estos sitios te reprenden por usar una contraseña “insegura” bajo ciertas condiciones. A veces, ni siquiera tienes que presionar el botón “Registrar” antes de que te encuentres con un pequeño mensaje junto al campo de contraseña que dice que estás usando una contraseña débil.

Aunque algunos sitios pueden impedirte registrarte con lo que consideran una contraseña débil por completo, otros solo te advierten y te dejan hacer lo que quieras por tu propia voluntad de todos modos. Sin embargo, estos sitios (en su mayoría) tienen una cosa en común: sus criterios para “contraseñas seguras” no te mantendrán seguro.

Forjando malos hábitos

Una de las primeras cosas que notarás en la mayoría de los sitios web es que todos parecen tener criterios similares para lo que se consideraría una contraseña “fuerte”. En la mayoría de los sitios, los criterios son los siguientes:

• Un mínimo de 6 u 8 caracteres
• Un mínimo de un número y una letra
• A veces al menos una letra mayúscula.

En este caso, una contraseña como “Ironclad1” es simplemente perfecta y cumple con los requisitos de ese sitio web en particular. Dado que la mayoría de los sitios solo tienen estos requisitos, las personas pueden acostumbrarse a la idea de que “Ironclad1”, “Sallyepstein4”, “Michael1985”, etc. son buenas contraseñas. Cualquiera que haya leído las primeras tres páginas de un libro sobre ciberseguridad sabe que esto es increíblemente inseguro, sin embargo, se está estableciendo tácitamente como la norma por millones de sitios en la web donde la seguridad es una reflexión tardía que vale cinco líneas de código.

Un hacker podría simplemente usar un ataque de diccionario para descifrar tu contraseña y eso sería todo.

Algunos servicios web (como Google) también requieren que se use un símbolo (como “!” o “$”) para crear una contraseña. Esto simplemente hace que cosas como “ $allyepstein4” sean contraseñas válidas, y los ataques de diccionario se han vuelto más sofisticados a lo largo de los años.

¿Cuál es un buen hábito de contraseña?

Hay un montón de debate sobre lo que hace una buena contraseña, pero en lugar de emocionarnos y explicar todos los matices, solo veremos algunas de las cosas con las que todos generalmente están de acuerdo. Una buena contraseña:

• Incluye una amplia gama de variaciones alfanuméricas como letras mayúsculas, números y letras minúsculas
• Tiene símbolos en lugares impredecibles (“@shley” es menos seguro que “@$_hley” porque hay un guion bajo en medio de la palabra, donde un ataque de diccionario normalmente escanearía por “@” reemplazando “a” y “$” reemplazando “s”)
• Contiene espacios (como “I @te a S4nDw1ch”)
• Llega al límite superior de límites razonables de caracteres (“ I l0v3 LuC#Y “ es menos seguro que “ Th1S p4ssword sH_oulD b3 h@rd to cr@ck “)
• Contiene una falta de ortografía poco convencional de palabras (por ejemplo, “schuld” en lugar de “should”, “beffe” en lugar de “beef”, “inszteda” en lugar de “instead”, “mektekezier” en lugar de “maketecheasier”, etc.)

Por supuesto, una de las mejores contraseñas que podrías tener no es muy fácil de recordar (por ejemplo: “ ifjecBucE083$&&8c ociefjC#&$6c iof0e0($# “). Nota cómo el ejemplo proporcionado es solo un completo galimatías que utiliza todas las reglas anteriores, incluida la introducción de espacios. Esto es altamente poco convencional incluso para los ataques de diccionario más sofisticados. Siempre que la base de datos que almacena el hash de tu contraseña sea segura y las claves de cifrado se gestionen correctamente, haría que tu cuenta fuera menos valiosa para un hacker que la descifrara.

Naturalmente, no todos los servidores son seguros, y un servicio que utilizas puede sufrir una violación que revele tu contraseña. Por eso es importante tener una contraseña diferente para cada servicio.

Pero realmente no puedes memorizar 15 contraseñas, y mucho menos la que proporcioné como ejemplo de “una de las mejores contraseñas que podrías tener”. Para contrarrestar esto, podrías usar un servicio de inicio de sesión único altamente seguro (también conocido como “gestión de identidad”) que mantenga un registro de tus contraseñas para que no tengas que memorizarlas. Aunque han existido durante varios años, el concepto sigue siendo un territorio inexplorado (al menos en mi opinión profesional), así que procede con precaución. Haz tu propia investigación y busca el nombre de un servicio seguido de la palabra “violación” para averiguar si alguna vez ha sido hackeado.

Cómo se puede resolver el problema

El problema que estamos tratando de resolver aquí es hacer que el enorme número de personas que crean cuentas en la Web entiendan cuáles son las mejores prácticas para la creación de contraseñas. Esto suena como una tarea monumental, ¿no?

En realidad, es tan fácil como proporcionar la información en algún lugar. Google hace un buen trabajo con esto con sus pautas, pero no llega lo suficientemente lejos.

A pesar de los elogios, creo que sería mejor incluir un enlace a estas pautas junto al campo de contraseña, dando al usuario un fácil acceso durante la fase de registro de la cuenta. Si alguien ignora esto, es su propia prerrogativa, pero nadie en ese momento podría decir que nunca tuvo la oportunidad de leer material educativo sobre el tema.

La única parte difícil de esto es convencer a los millones de sitios web que tienen bases de datos de cuentas para que empleen esta práctica. Sin embargo, dado que la mayoría de estos sitios utilizan software de grandes empresas (como WordPress o Drupal), probablemente sea una mejor idea contactar a los desarrolladores de este software para proporcionar este tipo de cosas en sus futuras actualizaciones. ¡Tan pronto como los sitios web actualicen su software, automáticamente obtendrán estas pautas en sus páginas de registro!

¿Qué más crees que podemos hacer para crear conciencia sobre buenas contraseñas? ¡Discutamos esto en los comentarios!