¿Podría adivinar tu contraseña?

Texto: Luis Villalobos // Twitter: @luisenricke // Instagram: @luisenricke

Una contraseña segura es aquella que no se usa más de una vez, no contenga datos personales o de tu personalidad que todos conozcan y sea lo más larga posible.


¿No te has preguntado por que en algunos servicios de internet para crear una cuenta te piden que tenga tu contraseña al menos una mayúscula, minúscula, número, un carácter especial y mínimo que sea de 8? Esto es con finalidad de que sea más robusta tu contraseña, esto es con el objetivo de que el porcentaje de éxito para cualquier persona maliciosa sea lo menor posible.



Es necesario entender un poco de cómo una persona puede adivinar u obtener una contraseña, cabe resaltar que la siguiente explicación es la manera más rudimentaria. La persona maliciosa puede crear un programa y/o script que le ayude a recorrer por todos los caracteres y agregándolos unos a otros, una vez generado comprobar si es la contraseña, por ejemplo algo así:


0, 1, 2, ... 9, a, b, ... z, A, B, ... Z, ., -, ... , 00, ... 0a, ...

Un dato muy importante es la longitud, ya que dependiendo de que tan grande o que tan pequeña sea la cadena será la rapidez de encontrar la solución. Para demostrar esto vamos a analizar varios escenarios, imagina que la contraseña que sean puros números, conocemos que son 10 caracteres los números y la supuesta contraseña tiene de longitud 4, entonces sería básicamente una operación matemática para conocer los intentos necesarios, en este caso sería 10 x 10 x 10 x 10 ó 10^4, se podrán hacer 10,000 intentos y en la ejecución, una de estas combinaciones será la correcta. El tiempo que se tome para resolverlo dependerá mucho del poder de procesamiento de la máquina a utilizar y que tan complejo sea la verificación de la contraseña. Esto se le conoce como ataque de fuerza bruta.


Si se usan nada más las letras minúsculas sería 27^n, en donde n sería la representación de la longitud, y si se le agregan las mayúsculas serían 54^n. Suponiendo que una contraseña de 8 caracteres que tenga mayúsculas y minúsculas se tardaría 72,301,961,339,136 intentos. Suponiendo que en la maquina en donde se va a encontrar puede recorrer 100,000 intentos por segundo, entonces se tardaría alrededor de 22 años.


En caso de respetar la validación de al menos una mayúscula, minúscula, número, un carácter especial y mínimo que sea de 8, se estimaría que son 95^8, dando como resultado 6,634,204,312,890,625‬ con el recorrido por segundo como en el ejemplo anterior daría aproximadamente 2,102 años.


Lo expuesto anteriormente es con motivo de dar más importancia a las contraseñas, ellas son la puerta a nuestra información personal. Es abrumador tener que aprenderse varias de ellas para distintas cuentas, gracias al gran desarrollo del humano y tecnológica ya hay distintas implementaciones que nos resuelven esta problemática. Algunas de estas opciones son más sofisticadas que las otras, a continuación presentaré algunas de ellas:


  • Gestores de contraseñas: Son aplicaciones encargadas de almacenar de una forma segura todas las contraseñas, y solamente recordando una sola se tendrá acceso a todas las demás. La ventaja interesante es que existen extensiones para los navegadores que detectan automáticamente el sitio y te retorna la contraseña correspondiente a ella. Otra ventaja importante es la centralización de toda la información para la fácil consulta. La desventaja que se tiene es que si por ejemplo se pierde la contraseña de este servicio puede generar un proceso largo y tedioso para recuperar todas las cuentas. Además, alguien malicioso tiene acceso podrá tener acceso total a todos los servicios que alojes ahí.

  • Patrones asociativos: Esta técnica es útil a la hora de que estamos indecisos a la hora de poner nuevas contraseñas de nuevos servicios porque se establece un patrón que nosotros entendamos, por ejemplo, dividir el nombre del servicio e invertir las palabras además anexándole un carácter especial y poniendo en mayúsculas las primera y la última letra, en el caso del servicio de Facebook se podría interpretar algo así Book$facE. La ventaja es que puede ser manipulable al gusto, se puede ocupar palabras clave que a completen, sufijos, prefijos, el nombre de servicio en sí, patrones por ubicación del teclado, anagramas, entre otros. Al crear un solo patrón solo se tiene que preocupar por acordarse del patrón establecido y su cerebro inmediatamente se acordará de la contraseña conforme al servicio. La desventaja con esta técnica es si se quiere actualizar el patrón se tendría que implementar a todos los servicios utilizados para no perder el proceso cognitivo que se tiene. Lo preocupante es que si estableces un patrón muy fácil de entender estarán en peligro tus demás cuentas.

  • Papel: No es muy recomendable está técnica pero la comodidad de ella es tan grande que se ha ocupado por muchos años. Pero la recomendación es que no pongas directamente el nombre de la aplicación o servicio, en dado caso, crea una estrategia para identificar cada una de ellas. La ventaja es el fácil acceso de las cuentas sin estarse preocupando de si nos olvida. La gran desventaja es si se extravía la hoja y/o libreta en donde se encuentra estaremos con una incertidumbre si alguien más la tiene o si se perdió realmente.

Cada empresa implementa distintos tipos de autentificación pero lo que no cambiará será el método de contraseñas por ello es necesario protegerse generando contraseñas largas y difícil de adivinar o encontrar. Otro consejo muy importante es que lo relacionen con algo personal con cierta excepción, la cual sea que lo que pongas sea muy personal y solo tu gente de confianza lo puede llegar a conocer, a claro no es para que se la den a esas personas sino que sea muy difícil de relacionar esa palabra u oración a la contraseña.


En conclusión, matemáticamente hablando se puede adivinar cualquier contraseña pero depende de ti que tan dispuesto/a estas de que no la encuentren. La información está acotada como mencione a procesos rudimentarios pero también te servirán para ataques más sofisticados. Recuerda siempre conocer los métodos de recuperación por cualquier cosa, la verdad nunca se sabe.


#password #security #passwordmanager