Creando contraseña seguras

Creando contraseñas seguras - DattaMagazine

Si la contraseña de tu correo electrónico es 123456, te encuentras ante un potencial problema de seguridad bastante más serio de lo que crees.

Este artículo fue publicado originalmente en la edición de noviembre de 2009 de DattaMagazine, la revista de tecnología de Dattatec .
Autor: Luis Altamiranda – luis.altamiranda@dattamagazine.com

En el mundo digitalizado y automatizado en el que vivimos, la necesidad de “dar fe” de una identidad a través de un medio electrónico, nos ha llevado a necesitar múltiples claves para distintos tipos de servicios (desde el contestador telefónico hasta nuestra cuenta en el banco, pasando por la casilla de mail, tarjeta de débito y un largo etc.).

Un reciente incidente en el que se hicieran públicas miles de cuentas de correo con sus respectivas claves, demostró que muchos siguen utilizando claves tan básicas como “1234” para salvaguardar su privacidad. Entonces, nos preguntamos, ¿cómo debe ser una palabra clave para considerarla lo más segura posible?

Comencemos con los servicios que, aunque sumamente importantes en algunos casos, tienen ciertos límites (a veces técnicos, a veces por costumbre). Por ejemplo, en los cajeros automáticos, la clave debe constar sí o sí de solamente 4 números: del 0000 al 9999, obteniendo apenas 10.000 combinaciones únicas.

De por sí, ya tenemos número escaso de opciones, pero además, hay que evitar las típicas combinaciones “a prueba de olvidadizos” como son 1234, 5555, 9999, etc. Y entrando ya en el terreno de lo más particular, debería de obviarse también aquellos números que tengan algún claro significado para el usuario como el caso de la clásica combinación día y mes de cumpleaños de uno, de la esposa, del hijo, etc., o, por ejemplo, los últimos 4 dígitos del número de documento, o del número de teléfono de la casa.

Lo ideal es que sean números al azar, que no tengan ningún significado, al menos aparentemente, para el usuario. Quizás, referencias más oscuras que uno pueda recordar y no sean obvias, como puede ser la altura de la calle donde uno vivió cuando era chico.

Por otro lado, tenemos servicios en donde la clave personal puede ser, prácticamente, cualquier cosa. Como regla general, diremos que cuanta mayor cantidad de caracteres tenga la clave, más difícil será que otro pueda adivinarla. Si a eso le sumamos que contiene no solamente letras (con sus combinaciones de mayúsculas y minúsculas), sino también números y dígitos especiales (como =, &, $, #, *, etc.), el nivel de seguridad aumentará aún más.

Bien, ya tenemos los caracteres que podemos utilizar. Ahora, ¿cómo construimos una palabra clave segura? Primer paso, lo mismo que ya habíamos comentado, nada de cosas obvias: nombres propios, fechas de cumpleaños, números de documento.

Luego, debemos evitar también la utilización de palabras “comunes”, que tengan algún significado. Nada de “casa”, “perro”, “helado”, etc. ¿Por qué esta recomendación? Una de las opciones a la hora de intentar adivinar una clave es hacer lo que se llama “ataque por diccionario”. Esto es, básicamente, bombardear el sistema una y otra vez con palabras obtenidas de un listado precargado (capaz de incluir todas las palabras del diccionario de la Real Academia Española y aún más).

Llegado este punto, deben estar preguntándose: ¿entonces qué elijo? Pues bien, la contraseña “ideal” es aquella formada por, al menos 6 u 8 caracteres tomados al azar, que contenga números, letras (mayúsculas y minúsculas) y signos especiales. Efectivamente, todo eso junto.

A veces, aunque sea un conjunto azaroso de caracteres sin ningún significado, con un poco de esfuerzo uno puede llegar a memorizarlo. Sin embargo, seamos honestos, una “buena” palabra clave como podría ser “fE$%&sdhm49a5p” difícilmente podamos retenerla. Más aún si tomamos en cuenta que lo ideal es no repetir las contraseñas: cada servicio que utilicemos debería tener su propia palabra clave (otro error común es el de usar exactamente la misma clave para todo).

Entonces, uno podría caer en la tentación de escribirla en un papelito y tenerlo a mano para cuando sea necesario, pero, pensemos por un momento que estamos en la oficina, dejamos el papelito sobre el escritorio mientras escribimos en la computadora, nos llaman y lo dejamos ahí a la vista de todo el mundo. Más allá del peligro de que otro pueda acceder a él, imaginemos que entre tantos papeles se pierde. Si es la clave del cajero automático, tendremos que ir al banco en horario de atención al público y pedir que reseteen la clave. Si es un servicio de Internet, típicamente disponen de mecanismos como para recuperarla, como puede ser alguna pregunta secreta de la que sólo nosotros sepamos la respuesta correcta, o que nos envíen una nueva clave a una dirección de correo electrónico previamente especificada.

Del mismo modo, dada la proliferación de los teléfonos celulares, todo el mundo tiene uno en donde guarda los números telefónicos de todos sus contactos. Y, por qué no, podrían esconderse las claves como si fueran contactos. Por ejemplo, al contacto ficticio “José Perez” se le puede asignar como número el 4569 2364 donde 4569 es la clave del cajero automático y 2364 es la clave de la computadora de la oficina. Sin embargo, nos encontramos ante el mismo inconveniente que al anotarla en un papel: perdemos el teléfono celular, lo olvidamos, nos quedamos sin batería y no podremos acceder a nuestras contraseñas.

Si se tratan de claves que utilizamos al navegar por Internet (contraseñas de webmail, foros, home bankig, etc.), los programas que utilizamos para ver esas páginas pueden ayudarnos. Por ejemplo, el navegador Opera incluye desde hace mucho tiempo una utilidad llamada “varita mágica” (wand es su título en inglés) que lo que hace, básicamente, es recordar los nombres de usuario y contraseñas y los sitios en donde se van ingresando.

También existen programas específicamente diseñados para ayudarnos a gestionar nuestras múltiples contraseñas. Uno de los más populares es el KeePass Password Safe (http://keepass.info/) gratuito y, además, de código abierto (esto significa que podemos descargar el código fuente del mismo y ver, realmente, qué es lo que hace). Entre sus opciones incluye la de un potente generador de claves al azar, donde como usuarios podremos configurar al detalle cómo deseamos que sea la nueva clave. Desde luego, todo esto funciona gracias a tener una clave maestra que es la que da acceso al programa. De otro modo, imaginen que cualquiera podría acceder al programa instalado en nuestra computadora y allí acceder a todas nuestras claves. Un dato a tener en cuenta es que si bien esta llave maestra no deja de ser una palabra clave que sí debemos recordar, el programa tiene la opción de generar un archivo encriptado conteniendo la misma de tal manera que podemos tenerlo en un pendrive y utilizarlo como si fuera una llave física para abrir el programa.

Ahora bien, ¿es recomendable utilizar algún programa de este tipo? En lo personal, el hecho de saber que de una u otra manera mis contraseñas están almacenadas me provoca un cierto rechazo, por más que aseguren de una y mil maneras que la información se guarda de tal manera que es imposible que alguien pueda acceder a la misma sin estar autorizado.

Desde luego, todo dependerá, en un principio, de dónde utilicemos el programa. En mi hogar, donde sé perfectamente quién tiene acceso a la computadora es una situación totalmente distinta al caso de utilizarlo en la oficina. También, habrá que evaluar qué tipo de contraseñas son. Sin desmerecer el servicio, no considero que tenga la misma importancia la clave para entrar a un foro de fotografía que para ingresar al sitio web de nuestro banco para hacer una transferencia de dinero.

Otro consejo para tener en cuenta es el de cambiar las palabras clave periódicamente. Muchas veces nos comunicamos con el servicio de atención telefónica de nuestro banco y, luego de verificar nuestra identidad, nos obliga a cambiar la contraseña. Si bien puede parecer una molestia, es importante que se tomen el trabajo de hacerlo para seguir sumando seguridad.

En definitiva, no existe una contraseña que nos brinde 100% de seguridad, pero siguiendo estos consejos intentaremos acercarnos lo más posible a eso.

Encontrá más artículos de Luis Altamiranda en DattaMagazine.com!