Ohmypass! – Protegiendo tus cuentas, contraseñas y seguridad.

¡Bienvenidos un día más a un nuevo rootie queridos amigos! Esta semana por motivos de un antivirus biológico sin actualizar, me ha tocado ponerme a los mandos de ohmyroot! dos días y escribir dos posts, como dos templos. Para mi segundo post de esta semana, voy a tratar un tema que no es específicamente para los freaks profesionales IT. Hoy vamos a hablar sobre la importancia de la seguridad de nuestras cuentas y la fortaleza de las contraseñas

Tus contraseñas, seguridad ante todo.

Hoy en día, quien más o quien menos, tenemos diferentes cuentas de diferentes servicios en internet (Facebook, Twitter, Gmail, YahooMail o Hotmail una de estas seguro) y aunque puede parecer una obviedad es necesario tomar todas medidas a nuestro alcance para protegernos y proteger nuestra información.

Sobre esto se han vertido ríos de tinta y desde ohmyroot! no vamos a dejar de hablar sobre ello, porque en Internet nunca se esta suficientemente seguro. No voy a hacer una lista de las contraseñas mas inseguras o de las mas usadas en internet, solo diré que cualquier contraseña por debajo de 14 caracteres posiblemente en menos de un par de minutos, tu cuenta sera hackeada.

Contraseñas, en nuestro día a día

Cuando nos enfrentamos a ese formulario de registro y nos pide una contraseña, todos hemos sentido esa frustración cuando ponemos nuestra contraseña favorita y ¡pum! mensaje en rojo:

La contraseña, no es válida, esta debe incluir mayúsculas, minúsculas, números, símbolos, sangre de unicornio y el sombrero de un leprechaunt.

Este mensaje, aunque tocapelotas molesto en extremo, si lo piensas tiene todo el sentido del mundo ya que si utilizas como password c1Xy1&8 en vez de GaTOlavAdoRa42 nadie va a adivinar tan segura combinación, ¿verdad?.

¡ERROR! El problema con este razonamiento, es que cuando pensamos en que la seguridad de nuestra cuenta puede verse comprometidas, un gran porcentaje de la gente piensa en una persona atacando su cuenta y esto no es nunca así. Hay diferentes ataques que pueden dar con nuestra contraseña y que se ejecutan en un ordenador, con todas las implicaciones que eso tiene a la hora de procesar datos. Como he prometido que este rootie iba a ser para el público general, solo diré que los más comunes son:

  • Ataque de fuerza bruta: En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. – Wikipedia.
  • Ataque de diccionario: Un ataque de diccionario es un método de cracking que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña – Wikipedia

Hay más formas, pero son mas intrusivas y requieren de acceso a tu red o tu ordenador y los voy a obviar.

Creando contraseñas seguras.

Después de todo el rollo que os he metido, estaréis diciendo “Pero y entonces ¿qué?” Bueno entonces lo que hay que hacer es adoptar algunas medidas, empezando por crear contraseñas fuertes y fáciles de recordar.

Todas las recomendaciones que voy a dar, yo personalmente las suscribo 100%, aunque por la naturaleza de mi trabajo y lo que hago, muchas veces no puedo seguir mis propios consejos… ya sabéis, en casa del herrero…

El consejo máximo por antonomasia en este tema es que no utilicéis la misma contraseña para todo. Si tu contraseña se ve comprometida, un potencial atacante tendrá acceso a todas tus cuentas, en todos servicios. Lo más recomendable es no repetir, pero si pensáis que es demasiado trabajo, al menos tened una contraseña diferente para tu cuenta de email principal  y redes sociales.

Pautas para la contraseña perfecta*.

* Eso no existe.

Cuando estamos creando una contraseña tenemos es recomendable seguir estas pautas:

  • La contraseña ha de ser recordada fácilmente, ya que si no podemos recordarla, no nos va a servir de nada.
  • Ha de tener una longitud superior a 13 caracteres, ya que cada carácter añade dificultad a la hora de averiguar tu contraseña.
  • Ha de mezclar mayúsculas y minúsculas, sin orden aparente. Esto quiere decir que no sigas las reglas ortográficas de por ejemplo poner un nombre con la primera letra mayúscula.
  • Agrega números y símbolos a la contraseña, de la forma que mas conveniente veas para recordar. Esto incrementa drásticamente la seguridad de la contraseña.
  • Utiliza algo que solo tenga sentido para ti mismo, mucha gente utilizar como contraseña el nombre del servicio en el que se ha registrado (facebook1989, gmail1112, etc.), nombres, fechas de nacimiento, etc. debes evitarlo, se creativo, aunque la contraseña suene ridicula dicha en voz alta.

Respecto a este tema, xkcd tiene un comic muy acertado (aunque en ingles)

seguridad contraseñas

Esta tira explica las matemáticas de la entropía de la contraseña. En la tira también cuenta como, haciendo estos cambios, nos complica mucho la vida y nos da la base de la alternativa, que ya he mencionado, de utilizar palabras y formar con ellas una frase que solo tenga sentido para ti. En el pie de la imagen se lee:

Al cabo de 20 años de esfuerzos, hemos entrenado con éxito a todo el mundo para escribir contraseñas difíciles para un humano de recordar, pero fáciles para un ordenador de adivinar

Respecto al ejemplo que he usado en la sección anterior en que comparaba una contraseña aleatoria contra una contraseña con dos palabras, quiero aclarar que en ese ejemplo, la segunda era más segura ya que la aleatoria es demasiado corta. Estas contraseñas aleatorias solo son seguras, cuando tienen un mínimo de longitud (yo suelo usar >35, para que os hagáis una idea). Esto hace prácticamente imposible recordarlas a menos, que utilicemos algún gestor de contraseñas.

También me gustaría remarcar, por si no ha quedado claro, que realmente no hay ninguna contraseña 1oo% infalible.

Gestores de contraseñas.

Bueno, tras llegar a la conclusión de que no hay contraseñas perfectas y ver como, al menos, podemos intentar acercarnos a esa perfección, es el momento que veamos una buena manera de proteger nuestras preciadas cuentas, con los gestores de contraseñas.

Así me imagino en mi mente a los gestores de contraseñas…

Un gestor de contraseñas es una aplicación (de escritorio o web) que almacena para nosotros los detalles de nuestras cuentas, como nombre de usuario/email, contraseña, dirección web del servicio, etc. Además estos programas suelen incluir un generador de contraseñas seguras. Esta junto con la funcionalidad de almacenar sitio web y detalles de acceso, nos da la herramienta perfecta para (al menos) poner todo nuestro esfuerzo en protegernos.

En el mercado existen, diría que, decenas de gestores de contraseñas pero os voy a listar los que considero mejores (mezcla de gratis y de pago):

  • LastPass: No me llevo comisión por recomendarlo en primer lugar, pero es que realmente desde que empece a usarlo (reemplazando a mi querido y venerable KeePass, que no era ni online) me enamoró. Gestor online,  entre sus funcionalidades, captura de password automática, poder compartir detalles de acceso sin mostrar el password, auto completar usuario/password y autologin (con lo que no mas pantallas de login online) y la lista sigue. Merece la pena hasta el último centimo que se pague y de hecho tiene una version gratuita que tiene gran parte de las funcionalidades de pago.
  • Dashlane 4: Online y gratuito, pero con premium. Tiene algunas limitaciones a la hora de compartir detalles de acceso con otros usuarios en su versión gratuita. Interesante es la funcionalidad de “Cartera Digital” que almacena tus diferentes métodos de pago con lo que pagar online es más rápido.
  • LogMeOnce: Ellos dicen que son el mejor gestor de contraseñas online, yo discrepo, pero están esta muy cerca de LastPass. Como cosa buena, es gratis. Ademas tiene una funcionalidad muy curiosa que llaman FotoAcceso (PhotoLogin en inglés), esta funcionalidad te envía una foto a tu dispositivo móvil cuando quieres acceder alguna de las páginas guardadas y solo con confirmar en el móvil, te loggea en la web/app.
  • KeePassYa lo he nombrado, pero si eres un nostálgico o no te fias de los servicios online, KeePass, es una buena alternativa. Es offline, puedes exportar toda tu base de datos de passwords (encriptada) y cargarla en cualquier otra máquina con KeePass instalado. Y ademas es portable, lo que quiere decir que puedes incluso instalarlo en un USB.

La lista sigue, pero estos son los que puedo recomendar de primera mano. Y como consejo final, yo recomiendo a todos los usuarios el adoptar un gestor de contraseñas, al principio pude ser engorroso, pero una vez te has acostumbrado, te puedes despreocupar de recordar contraseñas o de generar contraseñas seguras.

También quiero recordar la importancia de proteger nuestras cuentas, ya que hoy en día suplantar la identidad de una persona ganando acceso a su email, es extremadamente sencillo. Esto puede conllevar serias repercusiones tanto personales como económicas. Por eso, de verdad ¡mejorad vuestras contraseñas!

Como siempre para cualquier duda, pregunta, comentario, soborno o amenaza, podéis usar los comentarios o en nuestras redes sociales Facebook y Twitter.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *