Blog

Las contraseñas (o passwords, como dirían nuestros amigos los anglosajones) son parte de nuestra vida desde mucho antes que Internet se colara en nuestras vidas. En 1967, John Shepherd-Barron inventó el concepto de PIN (Persona Identification Number o Número de identificación personal) cuando trabajaba en el primer cajero de un banco londinense. Su primera idea fue utilizar una contraseña de 6 dígitos, pero al hablarlo con su mujer ella prefería 4 dígitos, ya que le resultaba más cómodo de recordar.

Pero a raíz de la popularización de Internet, cada vez más utilizamos un par «nombre de usuario» y «contraseña» para leer nuestro correo, escribir un comentario en un blog o ver las fotos de nuestra familia.

Como el nombre de usuario es algo que nos identifica dentro de la comunicación social que ocurre en Internet no existe ninguna recomendación a la hora de definirlo desde el punto de vista de la privacidad, exceptuando aquellas fundamentales como no utilizar nuestro DNI.

Con respecto a la contraseña, existen muchas recomendaciones que debemos leer y aplicar siempre cuando tengamos que establecer una nueva contraseña, como las dadas por el equipo de seguridad de Microsoft o por Inteco. Como resumen, nosotros en PRiSE recomendamos las siguientes directrices:

• Tamaño de la contraseña: podemos clasificar las contraseñas, en función del número de caracteres que tienen, en débiles si tienen menos de 8 caracteres, fuertes si tienen entre 8 y 13, y muy fuertes si tienen 14 o más caracteres.
• Caracteres a utilizar: las contraseñas que sólo tienen letras son muy fáciles de adivinar por un software especializado. Se recomienda que la contraseña tenga más de un número y, además, al menos un caracter especial de alguno de la lista !@#$%^&*-+<>?{}[]_.
• Cambiar la contraseña periódicamente: cuanto más tiempo utilices la misma contraseña, más probabilidad tienes que sea adivinada o «capturada». Lo mejor es que la cambies de vez en cuando.

Una manera bastante óptima de generar una contraseña segura es utilizar una frase que nos resulte familiar, como el de alguna canción favorita, y utilizar la primera letra de cada palabra. Sobre dicha cadena de primeras letras, reemplazamos algunas vocales o consonantes por números o caracteres especiales que visualmente no nos resulte diferente a la palabra que obtuvimos al coger cada primera letra de cada palabra. Por ejemplo, si nos basamos en la canción «La casa por el tejado» de Fito y Fitipaldis:

La casa por el tejado —> Lcpet —> L[p3t

Aunque lo más cómodo desde el punto de vista del usuario es tener una sola contraseña para todas las cuentas, ya que nos facilita recordarla y no tener que apuntarla en ningún post-it (nunca hagáis esto, ¿ok?), es mejor tener varias contraseñas, en función del uso que vayamos a darle. Obviamente lo ideal es tener una contraseña muy fuerte diferente para cada uno de los portales, pero si no compaginamos usabilidad con seguridad, el modelo termina siendo un fracaso.

En PRiSE creemos que sería conveniente que tuvieras los siguientes «tipos» de contraseñas:

• Contraseña personal de baja seguridad: esta contraseña será fuerte (de 8 a 13 caracteres) y la utilizaremos en aquellas páginas web que requieran registro y en la que no almacenaremos información privada sensible nuestra, como ocurre al registrarnos en un foro o en un blog. Estos sitios suelen ser más sensibles a los ataques de gusanos o troyanos y si, en el peor de los casos, dejan al descubierto nuestra contraseña, no nos afectará en otros sitios más sensibles como un portal de compra on-line.
• Contraseña personal de alta seguridad: esta contraseña es de tipo muy fuerte (14 caracteres o más) y la utilizaremos en páginas web donde haya información privada sensible, como suele ocurrir en Facebook o Tuenti, o para leer nuestro correo electrónico como gmail o hotmail.
• Contraseña para el trabajo: esta contraseña, que será de alta o baja seguridad en función del uso que tenga en la infraestructura de nuestro trabajo, debe ser diferente a una de las anteriores. Esto debería ser así ya que, aunque no lo creamos, puede que algún día se la prestemos a alguien de confianza en el trabajo para que pueda realizar alguna actividad nuestra que en ese momento no podamos. Si esto pasa algún día, mejor que no sea la que utilizamos también para leer nuestro correo personal.

Desgraciadamente, estas recomendaciones que damos en esta entrada no son aplicadas tantas veces como quisiéramos. A principios de Octubre nos enteramos de que se habían filtrado 10.000 contraseñas de cuentas de Hotmail por una persona anónima. Sobre dicha lista de contraseñas, se ha realizado un estudio estadístico, y podemos resaltar las siguientes conclusiones:

• Un 37% de las contraseñas eran de tipo débil (7 caracteres o menos), 56% eran de tipo fuerte (entre 8 y 13 caracteres) y sólo un 6% eran de tipo muy fuerte (14 o más caracteres).

Tipos de contraseña

• Un 45% de las contraseñas contenían sólo letras, 19% contenían sólo números, 30% mezclaban letras y números y sólo un 6% utilizaban también caracteres especiales.

Caracteres en las contraseñas

Estas estadísticas demuestran que todavía queda mucho en la educación del usuario a la hora de que elijan contraseña. Aunque hay que decir a su favor que los bancos siguen haciendo un «favor» al mantener el PIN de 4 dígitos, ya que, ¿qué hay más seguro que un banco?

* La foto del artículo es propiedad de Amagill y está licenciado por Creative Commons Attribution