Como en cada final de año, Nordpass (el administrador de contraseñas de los creadores de NordVPN) publicó su lista con las contraseñas más comunes de 2021, con nada erótico resultado: el top 10 lo forman secuencias de dígitos correlativos, seis unos o palabras como "qwerty" o [redoble de tambores]... "password". En el caso de España, se suman palabras locales como "barcelona", "España", "alejandro", "cristina" o [redoble de tambores y golpe al platillo]... "tequiero".
Sirva esta chanza para introducir las múltiples ídems que generan año sí año también este tipo de listas. "Hay que ser tonto para usar una contraseña así" es el comentario promedio que suscitan estas publicaciones en los peores casos. En los mejores, se tornan en consejo: "Por favor, usad contraseñas seguras, no como las de esta lista". En ambos casos, pese a la buena intención final, apuntamos solo de forma parcial.
Hora de mirar a las empresas
Si transmitimos a amigos y familiares poco duchos en tecnología, de los que sabemos que usan contraseñas débiles y a veces hasta tienden a olvidarlas, que lo ideal es hacerlas tan complicadas como podamos usando un gestor que las recuerde por nosotros, estaremos poniendo de nuestra parte. Ahora bien, tampoco estaría de más empezar a pedir responsabilidades a las empresas que toleran estas contraseñas, que son las que tienen la sartén por el mango.
Twitter, por ejemplo, requiere al menos ocho caracteres, nada más que eso. Igual que Spotify, que simplemente añade como capa de seguridad el veto a escoger algunas demasiado simples, como "12345678". Netflix pide entre 6 y 60 caracteres y que no se incluyan tildes. LinkedIn se conforma con 6 caracteres.
Otras empresas elevan los requerimientos de seguridad. Steam pide ocho caracteres como mínimo que incluyan al menos una letra y un número. Apple igual, pero añadiendo tanto al menos una letra mayúscula como otra minúscula, ni usar el mismo carácter tres veces seguidas, igual que Adobe.
Estas empresas tienen que manejar una cuestión de equilibrio: poner un umbral mínimo de seguridad que conviva con evitar sensaciones hostiles hacia el usuario por exigirles demasiada complejidad. Con 16 caracteres alfanuméricos y con varios símbolos estaríamos más seguros que con "pepito96", pero en servicios de millones de usuarios, se correría el riesgo de complicar experiencias, sobre todo a quien no usa un gestor de contraseñas.
Quizás un punto intermedio sea subir los requisitos de seguridad para las nuevas contraseñas y mostrar en la pantalla en cuestión algunas recomendaciones o trucos para hacer más fácil su manejo. Ya sea usar un gestor o ya sean trucos más sociales, como reglas mnemotécnicas que faciliten la memorización pero no caigan en fragilidades.
Atendiendo a lo que tarda un cracker en descifrar una contraseña por fuerza bruta en función de la longitud y tipología de la misma, una buena contraseña incluye números, mayúsculas, minúsculas y símbolos y tiene al menos 12 o 13 caracteres. Esta cantidad de tiempo es la máxima en función de las combinaciones disponibles, así que con algo de suerte puede ser bastante menor.
La fuerza bruta no solo es efectiva, sino que hay hardware específico para ella desde hace muchos años, y mientras que la mayoría de contraseñas tienen su nivel de seguridad inalterado desde hace tiempo, la potencia de procesamiento de estos terminales ha ido creciendo. Mejor curarnos en salud, y sobre todo, mejor exigir a las empresas que nos piden un registro que también cuiden a quienes no son conscientes del peligro de usar un "tequiero" o un "123456" a la ligera.
Ver 25 comentarios
25 comentarios
smithwinston
Lo mejor de todo es cuando tu gestor de contraseñas te permite generar contraseñas con todo tipo de caracteres y en un número mayor de 100, pero la página web del servicio en cuestión al que quieres registrarte no te permite pasar de 16/25 caracteres. Y en algunos casos ni siquiera se te permite usar símbolos especiales. Es decir, no sólo no se incentiva la complejidad de la contraseña sino que además se acota por debajo del estándar idóneo. Y así nos va.
palalol
Aquí quería llegar, en mi empresa hacen algo que a mi parecer es completamente estúpido:
- La contraseña tiene que tener 8 carácteres y al menos una mayúscula, una minúscula y un número
- Te la hacen cambiar cada 3 meses cuando se tarda 1 hora en romperla
- Nuestro usuario se usa en 3 páginas y las 3 tienen que ser contraseñas distintas (lo que sumado a tener que cambiarlas te obliga a seguir un patrón y apuntarlas)
Con lo fácil que sería centralizarlo a una contraseña de 16 carácteres y, si quieres, tener que cambiarla 1 vez al año...
Ellxchompirazxd
Yo tengo la misma contrasena en todo lugar donde me registro desde que uso la pc. El unico distinto es la del banco y las wallet cripto xd
ult
Y también no sé yo... Podían bloquear el acceso cinco minutos cada tres contraseñas probadas
Un email cada 10 intentos fallidos y un resumen mensual del número de intentos fallidos a la cuenta igual también con las contraseñas probadas.
Creo que los usuarios así estarían alerta y tomarían conciencia de lo que se cuece
Pero no ha habido compañías de primer que no bloqueaban o bloquean a número de intentos y pasa lo que pasa. No las voy a mencionar por no generar polémica
bocajarro
Lo que no es de recibo es seguir con contraseñas en el 2022, teniendo que recordar decenas o CIENTOS para poder moverte por internet.
Todos los servicios requieren se hacerte cuenta, poner tus datos tus correos contraseñas…. Por que?
Al final la gente va a lo fácil y pone la misma en todas partes, y lo más sencilla posible.
O usan un gestor de contraseñas , con lo que estas igual, te vale con recordar una.
Hay que pasarse a una cuenta para todo, o identificación por huella o lo que sea pero las contraseñas son una cosa a erradicar
ult
Tengo una idea, podríamos contratar como asesor de contraseñas a Villarejo
Es un crack
😜😅😁🤭😆😆
miguelsosa6
Yo llegué a usar como contraseña: @NoLaOlvides1
gatografias
Que fuerte. La foto que encabeza el artículo sirve para todo. No cuesta tanto hacerlo mejor.
Demux_11
Una unica contraseña compleja por servicio puede ser genial, pero cuando se tiene que registrar en mas de una docena de paginas y servicios, el usuario promedio solo tiene dos opciones: Tirar de un gestor de contraseñas o usar la misma contraseña compleja para todo.
Tambien están las paginas que te obligan a cambiar de contraseña cada cierto tiempo, a veces con tal impertinecia que al final, el usuario terminará por poner algo así como "LoQueSea!2022-01" siendo el "01" un numero que se sube cada vez que se actualiza. Esto lo he visto en muchos conocidos y es verdaderamente absurdo. No jodas.
A veces, los mismas empresas, queriendo alcanzar una seguridad deseada, terminan jodiendo al usuario promedio. Un poco de sentido común en ambas partes no estaría mal...
luchana48
A ver: ¿crees que merece la pena que me como el coco con la contraseña para poder escribir aqui?
Me da lo mismo que me entren en mi cuenta de esta pagina.