Casi todos los sitios web que visitas quieren que crees una cuenta, ya sea para transacciones financieras altamente seguras o juegos de animales ridículos. No puede evitar usar la misma contraseña para todos ellos, porque violar en cualquier lugar los pondría en riesgo a todos. Y no puede recordar fácilmente una contraseña diferente para cada sitio. La única solución sensata es instalar un administrador de contraseñas y usarlo para almacenar y mejorar las contraseñas. Cada vez que reemplace una contraseña demasiado simple con una larga, fuerte y aleatoria, mejorará su seguridad general. Pero, ¿de dónde sacas esas contraseñas largas, seguras y aleatorias?
Casi todos los administradores de contraseñas incluyen un componente generador de contraseñas, por lo que no tiene que inventar estas contraseñas aleatorias usted mismo. (Pero si tu desear Solución de bricolaje, le mostraremos cómo crear su propio generador de contraseñas aleatorias). Sin embargo, no todos los generadores de contraseñas son iguales. Cuando sepas cómo funcionan, puedes elegir el que mejor te funcione y utilizar el que tienes de forma inteligente.
Resumen
Generadores de contraseñas: ¿al azar o no?
Cuando lanzas un par de dados, obtienes un resultado realmente aleatorio. Nadie puede predecir si obtendrá ojos de serpiente, vagones o un siete de la suerte. Pero en el mundo de la informática, los aleatorizadores físicos no están disponibles como dados. Sí, existen varias fuentes de números aleatorios basados en la descomposición radiactiva, pero no los encontrará en un administrador de contraseñas común del lado del consumidor.
Los administradores de contraseñas y otros programas informáticos utilizan el denominado algoritmo pseudoaleatorio. Este algoritmo comienza con un número llamado semilla. El algoritmo procesa la semilla y obtiene un nuevo número sin una conexión rastreable con el anterior, y el nuevo número se convierte en la siguiente semilla. La semilla original nunca aparecerá hasta que aparezcan todos los demás números. Si la semilla fuera un número entero de 32 bits, significa que el algoritmo pasaría 4 294 967 295 números adicionales antes de repetirse.
Esto está bien para el uso diario y para las necesidades de la mayoría de las personas al generar contraseñas. Sin embargo, para un hacker experimentado, teóricamente es posible determinar el algoritmo pseudoaleatorio utilizado. Dada esta información y la semilla, un hacker podría repetir la secuencia de números aleatorios (aunque fuera difícil).
Este tipo de piratería controlada es extremadamente improbable, a excepción de un ataque dirigido a un estado nacional o espionaje corporativo. Si usted es objeto de un ataque de este tipo, es probable que su equipo de seguridad no pueda protegerlo. Afortunadamente, es casi seguro que usted no es el objetivo de este tipo de espionaje cibernético.
Sin embargo, algunos administradores de contraseñas están tratando activamente de eliminar la posibilidad remota de un ataque dirigido de este tipo. Al incorporar sus propios movimientos de mouse o caracteres aleatorios en un algoritmo aleatorio, obtienen un resultado verdaderamente aleatorio. Los que ofrecen esta aleatorización del mundo real incluyen AceBIT Password Depot, KeePass y Steganos Password Manager. La captura de pantalla anterior muestra el aleatorizador de estilo matricial Password Depot; eso sí, los personajes caen cuando mueves el ratón.
¿Realmente necesita agregar aleatorización del mundo real? Probablemente no. Pero si te hace feliz, ¡adelante!
Los administradores de contraseñas reducen la aleatoriedad
Por supuesto, los generadores de contraseñas no devuelven números literalmente aleatorios. Más bien, devuelven una cadena de caracteres, utilizando números aleatorios para elegir entre los conjuntos de caracteres disponibles. Siempre debe permitir el uso de todos los juegos de caracteres disponibles a menos que genere una contraseña para un sitio que no permita caracteres especiales, por ejemplo.
El grupo de caracteres disponibles contiene 26 letras mayúsculas, 26 letras minúsculas y 10 dígitos. También contiene una colección de caracteres especiales que pueden variar de un producto a otro. Para simplificar, digamos que hay 18 caracteres especiales disponibles. Esto hace un buen total redondo de 80 caracteres para elegir. En una contraseña completamente aleatoria, hay 80 opciones para cada carácter. Si elige una contraseña de ocho dígitos, la cantidad de opciones es 80 por cuadrado, o 1,677,721,600,000,000, más de un cuatrillón. Es duro para un ataque de fuerza bruta, y adivinar la fuerza bruta es realmente la única forma de descifrar una contraseña verdaderamente aleatoria.
Por supuesto, un generador completamente aleatorio eventualmente creará «aaaaaaaa» y «¡Covfefe!» y «12345678» porque son tan probables como cualquier otra secuencia de ocho caracteres. Algunos generadores de contraseñas filtran activamente su salida para evitar tales contraseñas. Eso está bien, pero si un pirata informático conoce estos filtros, en realidad reduce la cantidad de opciones y facilita el descifrado.
Aquí hay un ejemplo extremo. Hay 40.960.000 contraseñas posibles de cuatro caracteres basadas en una colección de 80 caracteres. Sin embargo, algunos generadores de contraseñas fuerzan la selección de al menos uno de cada tipo de carácter, lo que limita drásticamente las opciones. Todavía hay 80 opciones para el primer carácter. Supongamos que es una letra mayúscula; el grupo para el segundo carácter es 54 (80 menos 26 caracteres en mayúscula). A continuación, suponga que el segundo carácter es una letra minúscula. Solo quedan números y caracteres especiales para el tercer carácter, para 28 opciones. Y si el tercer carácter es puntuación, el último debe ser un número, 10 opciones. Nuestras 40 millones de opciones se reducen a 1.209.600.
El uso de todos los conjuntos de caracteres es imprescindible para muchos sitios web. Para evitar que este requisito reduzca su conjunto de contraseñas, establezca la longitud de la contraseña en un valor alto. Cuando la contraseña es lo suficientemente larga, el efecto de imponer todos los tipos de caracteres se vuelve insignificante.
Los límites adicionales aplicados por los administradores de contraseñas reducen innecesariamente la cantidad de contraseñas posibles. Por ejemplo, RememBear Premium especifica el número exacto de caracteres de cada conjunto de cuatro caracteres, lo que reduce drásticamente el grupo. Por defecto, requiere dos letras mayúsculas, dos números, 14 letras minúsculas y ningún símbolo, para un total de 18 caracteres. El resultado es un grupo de contraseñas que es cientos de millones de veces más pequeño que simplemente requerir uno o más de cada tipo de carácter. Una vez más, puede compensar este problema configurando una contraseña más larga.
LastPass y varios otros evitan los pares de caracteres ambiguos de forma predeterminada, como el número 0 y la letra O. Si no tiene que recordar una contraseña, no es necesario; desactivar esta opción. Del mismo modo, no elija generar una contraseña pronunciable como «bogafewazepa». Esta opción solo es importante si se trata de una contraseña que debe recordar. Usar esta opción no solo te restringe a las minúsculas, sino que rechaza una gran cantidad de opciones que el generador de contraseñas considera impronunciables.
Recomendado por nuestros editores
Genera contraseñas largas
Como hemos visto, los generadores de contraseñas no seleccionan necesariamente de un grupo de todas las contraseñas posibles que coincidan con la longitud y los conjuntos de caracteres que ha seleccionado. En el ejemplo extremo de una contraseña de cuatro caracteres que usa todos los juegos de caracteres, alrededor del 97 por ciento de las posibles contraseñas de cuatro caracteres nunca aparecen. La solución es simple; corre largo! No tiene que recordar estas contraseñas, por lo que pueden ser enormes. Al menos tan grande como acepte el sitio en cuestión; unos límites establecidos.
Cuanto más grande sea el espacio de búsqueda (como llamé al conjunto de contraseñas disponibles), más tardaría un ataque de fuerza bruta en su contraseña. Puedes jugar con la calculadora de contraseñas de pajar (como una aguja en un pajar) en Gibson Research para tener una idea del valor de la longitud.
Simplemente ingrese la contraseña para ver cuánto durará el crack. (El sitio promete «Nada de lo que haga aquí dejará su navegador. Lo que sucede aquí se queda aquí». Pero tenga cuidado y le aconseja que evite usar sus contraseñas reales). Descifrar una contraseña de cuatro dígitos como $ 9 kM tomaría menos de un día si un pirata informático tuviera que presentar quejas en línea. Pero en un escenario fuera de línea, donde un pirata informático puede probar estimaciones a alta velocidad, el tiempo de avance es una fracción de segundo.
En mi artículo sobre la creación de contraseñas fuertes memorables (para cosas como el administrador de contraseñas maestras), sugiero una técnica mnemotécnica que convierte una línea de un poema o un juego en una contraseña de apariencia aleatoria. Por ejemplo, la línea de Romeo y Julieta, Acto 2, Escena 2, se convirtió en «bS, wLtYdWdB? A2S2». Esta no es una contraseña aleatoria, pero el cracker no la conoce. Si lo arrojamos a la calculadora de Gibson, encontramos que incluso usando un campo masivo, se necesitarían 1.410 millones de siglos para que se aplicara brutalmente.
Seleccione un administrador de contraseñas informado
Así que ya lo sabe: el factor más importante para generar contraseñas seguras y aleatorias es que sean largas. Algunos generadores de contraseñas rechazan las contraseñas que no contienen todos los juegos de caracteres, algunos rechazan las contraseñas con palabras incrustadas del diccionario, algunos excluyen las contraseñas que contienen un carácter ambiguo, como la minúscula la y el número 1. Todas estas restricciones limitan el rango de posibles contraseñas, pero cuando la longitud es suficientemente alta, esta limitación simplemente no importa.
Por supuesto, es teóricamente (si no prácticamente) posible que un villano pueda romper el esquema de generación de contraseñas de su administrador de contraseñas favorito, obteniendo la capacidad de predecir las contraseñas pseudoaleatorias que le ofrece. Un mal programa de gestión de contraseñas podría enviar sus contraseñas aleatorias a la sede de la empresa. Esto está realmente al nivel del papel de aluminio y la paranoia del sombrero. Pero si realmente no quiere confiar en otra persona en sus contraseñas aleatorias, puede crear su propio generador de contraseñas aleatorias en Excel.
