¿Cómo crear una contraseña realmente segura?

Anoche me enteraba de que habían hackeado crackeado un sitio web que yo utilizo, y publicaron una lista de 650 emails de los usuarios con sus respectivos passwords. A diferencia de otros casos anteriores, ahora eran usuarios argentinos los afectados, muchos conocidos y amigos estaban en esa lista.

Me pasaron la lista, y me encontré con que había muchas contraseñas obvias, fáciles de averiguar e incluso contraseñas que eran las mismas que sus dueños usaban en otras páginas. El potencial daño originado del hecho de que te averiguen tu contraseña, es cada día más alto.

Entonces, ¿Qué debe cumplir una contraseña para ser realmente segura?

  1. ser alfanumérica, estar formada por letras mayúsculas, minúsculas y números.
  2. en lo posible, contener símbolos no alfanuméricos (hay sitios web q no los permiten)
  3. ser larga, como mínimo 6 caracteres, es aconsejable que sean más de 8
  4. no ser una palabra de diccionario
  5. no ser una palabra adivinable, como el nombre de tu novia o tu fecha de cumpleaños
  6. ser única, o al menos no usar las mismas contraseñas en todos lados
  7. y además de todo eso: ser fácil de recordar

Entonces, una contraseña realmente segura se parecerá a esto: “Zx5(3ac$T” lo cual no es para nada fácil de recordar.

Por eso, algunos consejos para crear una contraseña realmente segura y recordable.

Primer método: usar una frase.

Pensamos una frase fácil y familiar (y luego usamos sólo las primeras letras de cada palabra de la frase). Es fácil de recordar, es largo y puede usarse una para cada lugar.

Por ejemplo, en vez de poner el nombre de tu novia como contraseña, intenta “mi novia se llama Antonela y tiene 21 años” que se puede convertir en “MnslAyt21a”. En vez de tu fecha de cumpleaños (otra contraseña obvia y muy usada) intenta con “yo nací el 20 de Diciembre del 85″ que se convierte en “yNe20dDd85″. Fácil de recordar e indescifrable.

Si además, la frase está relacionada con la página web, serían todas distintas y no intercambiables. La frase “estoy Entrando a Hotmail.com” se convierte en “eEaH.c” pero en cambio la frase “estoy Entrando a Taringa.net” sería “eEaT.n”. Como ven, sólo hay que recordar la frase y si un hacker obtiene la contraseña de taringa, no puede adivinar la de hotmail ni ninguna otra. Así, tienes todas contraseñas distintas, pero sólo tienes que recordar una oración sencilla.

Mi método: usar una “semilla” y un algoritmo.

Mi método para crear contraseñas seguras, fáciles de recordar y únicas para cada lugar es el siguiente:

  1. en cada lugar donde debo crear una contraseña, pienso una “semilla”, que es una palabra obvia que represente dicho lugar: “Hotmail”, “Taringa”, “Windows”, “Gmail”, “Facebook”
  2. a esa semilla le aplico un “algoritmo”, que no es más que una combinación de pasos y transformaciones que será siempre el mismo para todas las semillas.
  3. no debo recordar la contraseña generada (de hecho, yo ni siquiera las sé) sino sólo el algoritmo y qué es lo que uso de semilla.

Por ejemplo, la semilla puede ser el nombre del sitio, sin o con el .com y el algoritmo puede ser “agregarle un 42 adelante, agregarle un punto al final, y que la segunda letra sea en mayúsculas”

Quedarían “42hOtmail.”, “42tAringa.”, “42wIndows.”, “42gMail.”, “42fAcebook.”

estas contraseñas son largas, seguras e individuales. Para que sean perfectas, debería no ser tan obvio el algoritmo para que no se pueda “adivinar” los otros passwords. (si te robo la contraseña 42hOtmail. no me va a costar mucho deducir y probar 42fAcebook.) Pero seguro se les ocurren a UDs cambios recordables y difíciles de adivinar. Por ejemplo, si en vez de toda la palabra uso sólo sus 2 últimas letras, se hace más difícil de descubrir: “42aIl.”, “42nGa.”, “42oWs.”, “42aIl.”, “42oOk.”

Seguro se les ocurren semillas y algoritmos mejores. ¡Incluso pueden anotar donde quieran, hasta públicamente, cuál es la semilla!

Mi método: consejos y trucos.

Usando de ejemplo la palabra “contraseña” como semilla para hacerla más segura:

  1. duplicar la palabra: “contraseñacontraseña” es mucho más segura
  2. acentuar la palabra: “cóntraseñá” es mucho más segura (aunque la ñ también es un caracter especial)
  3. reemplazar letras por números, A=4 E=3 i=1 O=0 T=7 B=8 S=5 G=6 “c0ntr453ñ4″ es una buena contraseña
  4. agregar números: “54contraseña32″
  5. reemplazar números por palabras: “unodostrescuatrocincoseis” es más segura que la archiconocida y muy usada “123456″ e igual de fácil de recordar
  6. agregarle símbolos: “/contra-seña%$” lamentablemente no en todas las páginas permiten usar otra cosa que letras y números
  7. pueden dejar sus propios trucos en los comentarios si quieren.

Otros métodos: programas de gestión de contraseñas

Existen muchos programas que nos ayudan a guardar y generar contraseñas seguras. Programas como LastPass, 1Password o KeePass. En particular, no soy partidario de estos porque por un lado nunca encontré uno que las haga seguras y a la vez recordables y por otro porque el día que alguien averigüe tu contraseña maestra, averigua todas las demás.

Conclusión:

A alguno le parecerá mucho lío (aunque seamos honestos, es más fácil recordar una frase que 15 palabras distintas) pero tengamos en cuenta que hoy en día, ponemos mucha información sensible en internet. Tal vez sólo uses el mail, pero también es posible que uses facebook, paypal, adsense, tengas fotos privadas en algún lado. O incluso que alguien use tu contraseña para hacerse pasar por vos y atacar a tus conocidos, más vulnerables y atractivos para el hacker: tu padre, tus empleados, tu jefe, tu novia, tus clientes.

Y como estas noticias de robo de miles de contraseñas están apareciendo cada vez más y más, nunca mejor dicho lo de “más vale prevenir que lamentar”.

¿Si fueras usuario de esa página, y como dije, anoche tu mail hubiera estado en la lista publicada por el cracker, te hubieras tenido que preocupar o cambiar algo si tu contraseña era “5&4gdipb1SZ”? En cambio, si supieras que tu contraseña “1234asdf” fue hecha pública, ¿qué hubieras hecho? ¿Cuál hubiera sido tu reacción?

¿Se entiende mi punto ahora?

Saludos, y espero que la información les sea de utilidad.

PD: lo ideal hubiera sido que el cracker al entrar se encontrara con un montón de hash salados, o que no pudiera entrar.

este artículo es libre. lo que significa que puedes copiarlo, modificarlo, usarlo. pero debes citar la fuente y mantener estas mismas libertades y mantener esta nota aclaratoria.

Un abrazo grande a Alvago que también se le ocurrió el método que describo para crear contraseñas seguras.

Comparte este artículo:
  • email
  • Meneame
  • Twitter
  • Facebook
  • Bitacoras.com
  • del.icio.us

marzo 24, 2010 · Categorías: Informática, Internet

Comentarios

20 Respuestas a “¿Cómo crear una contraseña realmente segura?”

  1. Alan en marzo 24th, 2010 19:52

    Uy! que buen artículo. La verdad que uno siempre lee los mismos consejos, pero la idea de la semilla + el algoritmo es genial.

    De hecho, ya voy pensando uno y voy a cambiar todas las contraseñas…

    Saludos!

  2. N3RI en marzo 24th, 2010 19:59

    Me alegra que te guste la idea, seguramente no sea original, pero yo al menos no escuché a alguien que haga algo parecido.

    Otro truco es que el algoritmo sea un “movimiento en el teclado” como por ejemplo usar las teclas del costado o arriba: en vez de “contraseña” que te quede algo como “xibreaawla” o “d9h54qw3pq”

    Igual creo que la de usar una frase es la más fácil de recordar.

  3. **Juanito** en marzo 24th, 2010 20:37

    Excelente. La contraseña que uso en Gmail es muy difícil, me costó bastante aprenderla y tiene signos, números, mayúsculas y minúsculas.
    Antes usaba una misma contraseña para todo pero me dí cuenta de que si me la adivinaban podrían entrar a todas mis cuentas.
    Yo creo que los movimientos de teclado no son “muy confiables” porque si yo se que la persona a la que le quiero robar la cuenta es un gamer, lo más probable es que su contraseña comience, termine o tenga el famoso wsad y con un poco de information gathering puedo adivinar las otras partes.
    La otra forma de acordarse es usando el alfabeto fonético aeronáutico (el que usan en las pelis :P ) y otro tipo de referencias para los signos.
    Por ej: una de mis primeras contraseñas “fuertes” fue una progresión de acordes para guitarra que me daba el profe para practicar digitación.
    La verdad es que existen muchas formas así que ya no hay motivos para no tener contraseñas seguras.
    Saludos

  4. N3RI en marzo 24th, 2010 21:16

    Yo durante mucho tiempo usé de contraseña la palabra “incorrecta”; sólo porque me parecía gracioso que si algún día la olvidaba, bastaba con probar cualquier cosa y me saldría un cartelito que diría “la contraseña es incorrecta” :P

  5. enz0 en marzo 24th, 2010 23:55

    Está muy bueno el post. Creo que les servirá a varios al menos para tomar conciencia.
    Sobre mis contraseñas tengo creado un algoritmo propio por el cual paso las palabras “base” y obtengo el resultado final. Lo que si debo decir, es que las termino recordando de memoria una vez que las usé varias veces xD

    Saludos

  6. Miguel en marzo 24th, 2010 23:56

    Graciias nerii por compartir metodos de como hacer una contraseña faciil y orginal enceriio
    ! ok graciias! sos groso che!

    atte. miguel!

    SALUDOS DE MÉXICO

  7. caligula en marzo 25th, 2010 1:10

    gracias neri por la nota

  8. Tweets that mention ¿Cómo crear una contraseña realmente segura? | n3ri.com.ar -- Topsy.com en marzo 25th, 2010 1:37

    [...] This post was mentioned on Twitter by Federico Lorenzo, Jose Orestes, Cristóbal, Ivana Carina Castro, Alan Bozzano and others. Alan Bozzano said: ¿Cómo crear una contraseña realmente segura? – http://www.n3ri.com.ar/2010/03/como-crear-una-contrasena-realmente-segura/ [...]

  9. Ch1v4 en marzo 25th, 2010 9:50

    Excelente el POST y comparto el PD.

    Saludos.

  10. vanessa en marzo 25th, 2010 16:17

    Neri, está muy bueno este artículo, es muy útil, lo voy a utilizar! gracias!

  11. N3RI en marzo 25th, 2010 17:54

    yo no las aprendo (ni siquiera las sé, ni las vi cómo quedan) porque cuando las escribo estoy pensando en la palabra semilla. Pero me alegra enz0 ver que varios usan ese método.

  12. nad en marzo 25th, 2010 18:19

    Oh, mis contraseñas suelen ser algo así pero no sabía que eran seguras teniendo algo que ver con algún método, mirá vos que bueno.. Muy interesante!

  13. Alvaro G. Ghisolfo en marzo 30th, 2010 22:10

    Otra vez, gracias por nombrarme ;) .

    Estaba pensando en algo para agregarle a este post, pero no hay mucho más para decir. De hecho yo había pensado en hacer uno similar, pero con menos propuestas… y también con menos conocimiento e información, ya que nunca hubiese llegado a pronunciar palabras como “semilla” o “algoritmo”. Simplemente iba a comentar un poco mi sistema personal (algo cambiado, por motivos obvio :P ), que es así, con una semilla y un algoritmo.

    Por otro lado, tengo un archivo de Excel que vengo armando hace muchos, muchos años (¡muchos en serio!, no me arriesgo a decir 10, pero… muchos) con un listado completo de todas las contraseñas que uso. El algoritmo me lo puedo llegar a olvidar, pero el archivo te aseguro que no se va a perder. Cuando cambio alguna, lo primero que hago es abrir el archivo y cambiarla. Lo mismo a medida que me voy suscribiendo a nuevos servicios. Y si desaparece o me doy de baja de alguno, se pinta ese registro de otro color. Si bien no es lo más seguro del mundo, de más está decir que ese .XLS está protegido con contraseña… y esa contraseña la saben un par de conocidos míos, que viven lejos, es decir que no tienen acceso al archivo. Algún día, esté yo vivo o muerto, por ahí alguien lo puede llegar a necesitar… (sí, estoy loco, pero hombre prevenido vale por dos :P ).

    Saludos, Neri… y gracias de nuevo :D .

    » Alvago »»» alvago.com.ar

  14. @Boonaaa en abril 18th, 2010 2:13

    bue, dato útil eso de no usar la misma pass para todo… ya cambie 2 xD
    si me las olvido puedo hacer la qeja acá ?
    Muy bueno el post!

  15. N3RI en abril 18th, 2010 2:17

    lo bueno de estos métodos es que no te la podés olvidar a la contraseña porque… la podés anotar!!!
    Pero no anotás la contraseña-resultado, sino la frase o palabra-semilla que usás.

    Incluso podés poner un post-it arriba de tu escritorio que diga “mi contraseña es Enciclopedia” o “vive rápido, fallece joven y tu cadáver será bello”. Total, nadie sabe cómo convertirlas en la verdadera contraseña.

  16. asur en abril 18th, 2010 19:32

    Me gusta mucho, mucho tu blog, vengo siempre que veo alguna actualización en el RSS (que no lo uso para leer, sino para enterarme cuando actualizan los blogs, ya que me gusta visitarlos)
    Pero este post, es una verdadera joya. Simple y efectivo. Yo tenía graves problemas para recordar mis contraseñas… y la verdad, nunca se me había ocurrido hacer algo como lo que sugerís. Cambié todas mis contraseñas siguiendo el método semilla/algoritmo y ahora todo me resulta más fácil.
    Muchas gracias!

  17. N3RI en abril 18th, 2010 20:05

    gracias ASUR por tus palabras. Me alegra que te haya gustado el método. Yo en un principio imaginé que les iba a parecer “complicado al pedo”, pero veo que tuvo mucha aceptación, incluso más que el método de la frase, que me parece es mucho más sencilla.

    Esto es re simple de recordar; el único problema que le encuentro es que yo uso letras, números y símbolos, y todavía hay páginas q no te aceptan símbolos! Entonces para esas páginas tengo que usar “otro algoritmo” y después no me acuerdo si es uno o el otro el que tengo que usar. Xej: taringa

  18. Contraseñas seguras | 0pointer en abril 19th, 2010 14:54

    [...] embargo, y siguiendo a Neri, me animo a plantearles mi propio sistema/algoritmo “original” (desconozco si lo [...]

  19. Tweets that mention ¿Cómo crear una contraseña realmente segura? | n3ri.com.ar -- Topsy.com en mayo 15th, 2010 21:33

    [...] This post was mentioned on Twitter by Fabiana Perazzi. Fabiana Perazzi said: muy buen artículo!! no se lo pierdan ¿Cómo crear una contraseña realmente segura? – http://bit.ly/bjtVkX (@N3RI) [...]

  20. Blog ETBnetco » ¿Cómo crear una contraseña realmente segura? en junio 30th, 2010 1:09

    [...] Link: n3ri [...]

Dejar una Respuesta