Durante décadas, los expertos en seguridad informatica han tratado de hacer que la gente cree contraseñas más fuertes requiriendo una longitud mínima (generalmente ocho caracteres), más al menos una letra mayúscula, un número y un carácter especial (como @, # o !). Esta estrategia ahora se considera ampliamente un fracaso. Muchas personas simplemente crearon una variación obvia de su contraseña anterior. «¡Letmein1!» Es tan fácil de descifrar para un ordenador como «letmein», a pesar de que es más largo y complejo.
Esto demuestra que hay múltiples elementos que influyen en la fortaleza de tu contraseña. La longitud es una de ellas. En este artículo, explicaremos algunos conceptos que debes tener en cuenta al crear una contraseña, así como algunas pautas sobre la duración de tu contraseña.
En primer lugar, deberías entender algo sobre cómo los hackers roban las contraseñas. Los chicos malos suelen empezar a intentar descifrar una contraseña mediante un ataque de diccionario. Un ataque de diccionario funciona basándose en una base de datos masiva de palabras de diccionario, contraseñas reales expuestas en violaciones de datos anteriores, nombres, así como combinaciones comunes (como apellido + nombre + fecha) y sustituciones (como “@” en lugar de «a»).
Formas de descifrar una contraseña
Si un ataque de diccionario falla, el hacker tendrá que usar un ataque de fuerza bruta. Este tipo de ataque es mucho más lento porque significa que el ordenador pasará por todas las combinaciones posibles de caracteres, uno por uno. Algunos ordenadores pueden adivinar cientos de miles de millones de contraseñas por segundo.
Ten en cuenta que los piratas informáticos generalmente no intentan adivinar tu contraseña en la página de inicio de sesión de tu cuenta en Internet. En su lugar, normalmente intentarán ataques de diccionario o de fuerza bruta a una base de datos de contraseñas hash robadas de los servidores de una empresa. Hay varias formas en que las empresas pueden codificar contraseñas para obstaculizar el proceso para los piratas informáticos, lo que puede ayudar a mantener segura tu contraseña en texto plano. Pero es mejor crear una contraseña segura tu mismo en lugar de depositar toda tu confianza en las prácticas de ciberseguridad de un sitio web.
Cómo prevenir el ataque de fuerza bruta
Hay dos formas de hacer que a alguien le resulte más difícil forzar tu contraseña con fuerza bruta: hacerla más larga (usando más caracteres) y hacerla más compleja (usando una mayor variedad de tipos de caracteres, como números y letras mayúsculas). Sin embargo, ten en cuenta que la longitud es mucho más eficaz que la complejidad para prevenir un ataque de fuerza bruta.
Cada carácter adicional en una contraseña aumenta en un orden de magnitud el tiempo que le tomaría a una super ordenador adivinar tu contraseña, incluso si solo usas letras minúsculas. Agregar complejidad también ayuda porque ampliará el conjunto de caracteres que el ordenador debe verificar, pero no tanto.
Hay calculadoras en Internet que pretenden indicarte cuánto tiempo le tomaría a un ordenador descifrar tu contraseña. Estos no son precisos debido a todas las variables involucradas, como la potencia informática y el hash utilizado. Pero pueden servir para ilustrar un punto clave sobre la longitud de la contraseña: una contraseña de seis caracteres generada aleatoriamente utilizando una combinación de tipos de caracteres tardaría unos segundos en descifrarse, mientras que una contraseña de 10 caracteres con sólo letras minúsculas podría tardar varios años.
Por qué una contraseña larga no siempre es mejor
Los ataques de fuerza bruta no son muy eficientes y pueden frustrarse fácilmente simplemente creando una contraseña más larga. Por eso los ataques de diccionario son una forma más eficaz de descifrar contraseñas. Los ataques de diccionario se aprovechan de las debilidades humanas, como la previsibilidad y la mala memoria. La necesidad de recordar contraseñas lleva a los usuarios a elegir contraseñas sencillas, que además sean fáciles de adivinar.
Por lo tanto, en los ataques de diccionario, la longitud puede ser una medida engañosa de la seguridad de la contraseña. Por ejemplo, «F3rnand3zJ@nu@ry1983″ parece que podría ser una contraseña muy segura porque contiene muchos números, letras mayúsculas y caracteres especiales. Pero esta contraseña probablemente sería descifrada en un ataque de diccionario: es sólo un apellido, un mes y un año. El algoritmo podría buscar fácilmente sustituciones de caracteres y mayúsculas predecibles.
¿Cómo de larga tiene que ser tu contraseña?
La longitud de tu contraseña depende principalmente de si estás utilizando una contraseña con caracteres aleatorios o una con una serie de palabras.
Si deseas crear una contraseña segura utilizando una serie de palabras (una “frase de contraseña”), la mayoría de las empresas de seguridad informática recomiendan utilizar al menos cuatro palabras que no sean muy comunes. Sin embargo, a medida que más personas cambien a frases de contraseña, los piratas informáticos mejorarán a la hora de descifrarlas.
Si estás utilizando una contraseña compuesta de caracteres aleatorios, unos 15 deberían dejarla fuera del alcance de las capacidades informáticas modernas. Sin embargo, no recomendamos utilizar contraseñas de caracteres aleatorios a menos que las utilices con un administrador de contraseñas, que te ayudará a generarlas y almacenarlas de forma segura. De esa forma no tendrás que recordarlos ni anotarlos, y serán únicos.
Si utilizas un administrador de contraseñas, te recomendamos utilizar una frase de contraseña larga como contraseña maestra y generar una contraseña aleatoria única para cada cuenta, basándose en la configuración predeterminada de longitud y complejidad (generalmente 20 caracteres, con algunos números y caracteres especiales).
