El 90% de las contraseñas que consideramos seguras no son fiables
Según un estudio de la empresa Panda Security publicado con motivo del Día Mundial de las Contraseñas, aproximadamente nueve de cada diez contraseñas que los usuarios consideran seguras no son robustas.
Los tiempos en los que era suficiente con alternar mayúsculas, minúsculas y alternar dígitos pasaron hace tiempo. No es recomendable usar palabras que aparezcan en un diccionario o combinaciones lógicas ni claves que se puedan sacar por la fuerza de una computadora potente.
Por poner un ejemplo, un código de cuatro números necesitará como máximo 10.000 intentos para ser descifrado. Si bien a mano puede llevar tiempo, los programas que utilizan los atacantes son capaces de probar combinaciones a gran velocidad.
Otro de los problemas que ha encontrado este estudio -realizado entre más de 1.500 personas en España- es que uno de cada dos usuarios no cambia nunca las contraseñas que utiliza en Internet (o lo hace con tan poca frecuencia que es posible que sus credenciales aparezcan en algún directorio).
En este sentido, en opinión de la empresa de seguridad también resulta "preocupante" que se utilicen las mismas contraseñas -o una variación mínima y vulnerable- para correo, banco o redes sociales, algo que hacen la mitad de los internautas españoles.
Por último, el estudio destaca otro problema relacionado con esto: cómo se almacenan las contraseñas. Si bien utilizar la memoria (la opción del 60%) es seguro, no parece especialmente compatible con las claves generadas aleatoriamente ni con la recomendación de cambiar las credenciales una vez al mes. Al menos, eso sí, es mejor que la opción elegida por un 20% de las personas: apuntarlas en un papel.
Para crear una "cerradura" difícil de forzar hay que combinar caracteres alfanuméricos, mayúsculas y minúsculas y, a ser posible, símbolos. No debe tener relación con las claves de otros servicios y siempre es un punto a favor que sea completamente aleatoria, no una combinación de palabras o conceptos (si bien estos, cuando se incluyen otros caracteres, son difíciles de sacar por fuerza bruta).
A la hora de defenderse de un ataque de alguien cercano o de ingeniería social la mejor protección es 'huir' de nombres, fechas relevantes y, por supuesto, de claves sencillas como sucesiones de números (123456) o letras (abcde, qwerty). En lo que respecta al almacenamiento, servicios como Chrome, el navegador de Google, ya proporcionan y guardan las contraseñas cifradas.