Consejos, o sugerencias, para el uso de contraseñas (passwords). Creo que estoy a salvo si me arriesgo a decir que todos tenemos problemas con el uso de contraseñas (o palabras clave o passwords). Por una parte, queremos que cumplan con ciertas reglas de seguridad; es decir, que no sean demasiado cortas, que sean alfanuméricas, si es posible que incluyan algún carácter especial. Y también, por supuesto, queremos que sean fáciles de recordar para nosotros.
Muchas veces, esas reglas para agregar alguna seguridad nos las imponen cuando nos dicen que la palabra clave a utilizar deberá tener por lo menos 8 caracteres, entre los cuales tendrá que incluirse alguna letra, número y carácter especial (@#$%&/()= etc., etc.).. La solución para este problema puede encararse desde distintos puntos de vista. A continuación uno que personalmente encuentro muy útil y luego un par de referencias relacionadas con soluciones que emplean software. 1. Algoritmo propio: Elegir una palabra - o mejor un conjunto de caracteres extraídos de las primeras letras de una frase o línea o expresión que recordemos bien - como base y una regla, o conjunto
de reglas, simples y que podamos recordar siempre (o que anotemos en algún lugar). 1.1. Por ejemplo, elegimos la palabra (nombre) CERVANTES (o mejor, como se dice antes, elegir las primeras letras de cada palabra de “El ingenioso hidalgo don Quijote de la Mancha”, es decir “EihdQdlM”, que serviría como una base de contraseña más “fuerte. Para sitios en que se deba usar sólo minúsculas será “cervantes“ (o “eihdqdlm”). Si el sitio requiere una combinación alfanumérica, será 1.2. 1CERVANTES (o 1cervantes). 1.3. Si queremos (o tenemos que…) emplear distintas contraseñas en distintos sitios podremos usar 2CERVANTES, 3CERVANTES, etc., o 1234CERVANTES. Etc., etc. De hecho, es recomendable usar distintas contraseñas para aquellas cosas que son realmente importantes (ejemplo, transacciones bancarias). 1.4. Si algún sitio requiere el uso no sólo de una combinación alfanumérica sino, además, el uso de algún carácter especial, podríamos decidir usar siempre un asterisco (*) al final, por ejemplo, 1CERVANTES*. 1.5. Si nos olvidamos la combinación exacta podremos siempre intentar 1CERVANTES*, 2CERVANTES*, 3CERVANTES*, etc. y podremos finalmente tener acceso a lo buscado.
1.6.
Como alternativa simple para lo anterior, podríamos usar una palabra base (o conjuntos de iniciales de una frase – proverbio o refrán - base, o verso), más una fecha y/o número de dirección o teléfono que nos sea, o haya sido, muy familiar y que – ¡esto es fundamental! – nos resulte muy f ácil recordar (o que tengamos la precaución de anotar en un lugar seguro y/o en clave, recurriendo por ejemplo a una referencia personal).
1.7.
Como verificación final, usar el “password checker” de Microsoft para verificar la fortaleza de la contraseña elegida (http://www.microsoft.com/protect/yourself/password/checker.msp x). Y que verifica razonablemente la bondad de la contraseña (aunque parecería que este verificador, por lo l o menos para pasar la calificación de “Strong” “Strong” a “Best”, se basa basa fundamentalmente en que la longitud de la contraseña sea de 14 caracteres o más, lo que es por cierto recomendable para resguardar la información más “delicada”). En ese sitio se encontrará también un enlace a un documento con consejos para desarrollar contraseñas “fuertes”, donde se menciona justamente el método de usar frases o iniciales de frases.
El problema es en general el utilizar contraseñas demasiado cortas, no demasiado largas. Cuanto menor la cantidad de tipos ti pos de caracteres utilizados mayor debería ser la longitud de la contraseña. Una contraseña ideal combina todos los posibles tipos de caracteres (letras, dígitos, caracteres especiales) y una longitud de 14 caracteres o más. La idea sería entonces definir UNA palabra o conjunto de caracteres y definir también un conjunto de reglas simples. Como ya se ha indicado, una alternativa al uso de UNA palabra o nombre como base – y que mejora la seguridad seguridad - es la de usar las iniciales de una una frase u oración. Por ejemplo, una línea de un poema de Espronceda como “Con diez cañones por banda” se transformaría en Cdcpb. Por supuesto, convendría que la palabra clave fuese un poco más larga y que fuese fácil recordarla, por ejemplo, los DOS primeros versos en lugar de UNO solo: “Con diez cañones por banda / viento en popa, a toda vela”, y en este caso mi palabra clave sería i nglés, portugués, alemán, Cdcpbvepatv (por supuesto, con las variantes en inglés, etc., según las líneas que recordemos más claramente de alguna historia o poema o canción leída o cantada en el colegio… salvo que estemos SIEMPRE recitando en voz alta ese poema, o cantando ESA canción, y todo el mundo sepa que es nuestra preferida y candidata lógica para una contraseña…).
En el caso anterior, esa contraseña será más fuerte si le agregamos las iniciales de un tercer verso de la poesía en cuestión, de manera de llegar a los 14 caracteres o más. al guna complejidad EJEMPLO: Repitiendo, resumiendo y agregando todavía alguna más, si lo creen necesario, el procedimiento a seguir podría ser el siguiente (a ser modificado por cada uno en los detalles específicos relacionados con la palabra, o conjunto de iniciales, y mayúsculas, dígitos y caracteres especiales a utilizar. La regla sería entonces la siguiente: Usaré – hasta que deba cambiarla - la palabra clave básica CERVANTES (Mejor aun las letras iniciales de las dos primeras líneas del poema XXX o de la canción YYY, o del proverbio ZZZ, y mejor aun si usamos no menos de 14 caracteres para esta combinación, por lo menos para las contraseñas que pretenden proteger información realmente confidencial). A partir de allí, y según uno mismo lo considere necesario, definiré – para este caso hipotético - que a) La usaré con minúsculas, salvo los nombres propios y/u otra única letra que irá con mayúscula que, por ejemplo para este caso, será siempre la ÚLTIMA: CervanteS b) Si se requiere emplear dígitos, el que utilizaré será siempre el mismo, digamos mi número preferido que es un 5 y que irá siempre al comienzo: 5CervanteS (o si se requiere más de uno será, por ejemplo, “57” c) Si se requieren r equieren caracteres especiales, el carácter especial que usaré será un asterisco (*), que irá siempre al final: 5cervanteS*. d) Si es necesario – y SÍ, es recomendable – usar usar distintas distintas contraseñas contraseñas en distintos sitios (decididamente sí para aquellos accesos con información “delicada”), puedo, por ejemplo, agregar al comienzo las primeras, o últimas, dos letras del nombre del sitio en cuestión, para diferenciar esas contraseñas. En realidad, podría utilizar una contraseña básica para aquellos sitios en que es necesaria para el simple acceso y no hay intercambio de información “sensible”, y emplear una contraseña distinta y lo más “fuerte” posible para, por ejemplo, mis transacciones bancarias. De manera que si mi contraseña de uso general se ve comprometida, eso NO afectará a mis contraseñas realmente importantes. im portantes.
Todo lo anterior daría una razonable seguridad (mayor cuanto mayor es la cantidad y diversidad de caracteres utilizados) haciendo fácil recordar la palabra clave en cuestión.
2. Software (hay software disponible que facilita las cosas):
2.1 Simple y gratis: https://lastpass.com/ 2.2 "Password Corral" de Cygnus Productions http://www.cygnusproductions.com/freeware/pc.asp0 Es freeware (aunque agradecen donaciones…) y aparece recomendado en muchos lugares. 2.3 Roboform es otro soft muy recomendado (free to try, US$30 to buy) http://www.roboform.com/es/ 2.4 Sticky password manager: http://www.stickypassword.com/googledesktop-gadget.html
Comentarios adicionales: Evitar el uso de contraseña de las que se denominan “débiles”, es decir que sean fáciles de adivinar o descubrir. En general, evitar el siguiente tipo de palabras clave: - Secuencia de caracteres o caracteres repetidos: “abcdefg”, “12345678”, o “qwertyuiop” (caracteres adyacentes en el teclado). - El uso de substituciones más o menos evidentes: por ejemplo, reemplazo de una “i” con un “1”, o una “a” con un “@”. - El uso como contraseña de la misma identificación (ID) empleada para ingresar (login) a un sitio. - Una parte del propio nombre, fecha de nacimiento, número de documento, o similar información de hijos o cónyuge. - Palabras extraídas de un diccionario en cualquier idioma, incluidas esas mismas palabras deletreadas de atrás para adelante o con errores ortográficos comunes, o “malas” palabras. - Las ya utilizadas por uno mismo en otros sitios u otros computadores. Otros consejos útiles:
Nunca incluir contraseñas propias en texto enviado en un e-mail (y por supuesto no responder a pedidos por e-mail de una palabra clave). Cambiar periódicamente las contraseñas utilizadas (especialmente las empleadas para transacciones bancarias). Una palabra clave con una longitud menor a 8 caracteres debería ser cambiada mucho más frecuentemente (cada pocas semanas) que una de 14 caracteres o más (que podría utilizarse por meses o años). Sí, ya sé, ¡éste es justamente el problema!: el tener que cambiar las palabras clave cada tanto…
NO utilizar sus contraseñas en un una PC de uso público (existen ( existen programas que se instalan muy fácilmente y que permiten registrar todo lo que se digita en un teclado). Si conviene recordar algo, ese algo es que es fácil olvidar… y olvidarse de una contraseña puede ser trágico si se trata de un documento con información importante. Por lo tanto, en última instancia, y a pesar de que la mayoría de los especialistas aconseja jamás anotar las contraseñas en un papel (¡sobre todo si lo colocamos debajo debajo del teclado o en un “postit” pegado a la pantalla!), la solución práctica puede ser justamente ésa: tener algún lugar SEGURO (y mi billetera o un archivo digital en mi PALM o en mi propia PC pueden ser bastante seguros) para registrar las contraseñas que usamos (si somos muy rebuscados, y no queremos que otros ojos puedan leer esa contraseña - especialmente si está en un documento en nuestra PC -, podríamos anotarnos sólo un recordatorio para la solución. Por ejemplo, para eihdQdlM anotar algo así como “Cervantes *ih*****”, aunque en este caso podría ser bastante evidente lo que quisimos hacer). Y – por supuesto y lo repito - NO es lo mismo la contraseña que tengo que usar porque me lo exige tal o cual sitio de información general que las contraseñas para mis transacciones bancarias. Para mayor información:
http://www.us-cert.gov/cas/tips/ST04-002.html http://www.microsoft.com/protect/yourself/password/create.mspx http://www.microsoft.com/spain/protect/yourself/password/create.mspx (lo mismo que la anterior, pero en castellano) https://www.google.com/accounts/PasswordHelp http://psynch.com/docs/choosing-good-passwords.html http://www.wired.com/politics/security/commentary/securitymatters/2006/12/723 00?currentPage=2 http://www.schneier.com/blog/archives/2007/01/choosing_secure.html -----Referencias interesantes o curiosas sobre Contraseñas: Common sources of passwords for people in England Study: Compaq Password Survey Date: January 2 1997 Sources of passwords for 82% of the survey respondents: 30% A sexual position or an abusive name for the boss •
16% 15% 13% 8%
• • • •
Their partner's name or nickname The name of their favorite holiday destination Sports team or player Whatever they saw first on their desk
Favorite types of passwords for European users Study : Visa EU Password Selection Survey (2004) Date: August 2004 Favourite user choices for passwords: 21% Nicknames 15% Birthdays and anniversaries 15% Pet names 14% Family members' names Memorable dates (such as the Battle of Hastings 7% and England's World Cup victory) 3% Cash machine (ATM) PIN 2% "password" 22% Random letters and characters • • • •
•
• • •
It's the silver surfers who are leading the way with almost a third of over60s using random letters and numbers, compared to the under-30s who prefer nicknames.
Ranked information on the most commonly used passwords and password types Study: Deloitte & Touche Most Popular Passwords Date: June 1997 Most commonly used passwords: Your first, last, or kid's name "Secret" Stress-related words ("deadline", "work") Sports teams or terms ("bulls", "golfer") "Payday" "Bonkers" The current season ("Winter", "Spring") Your ethnic group Repeated characters ("AAAAA", "BBBBB") Obscenities, sexual terms • • • • • • • • • •
Around 82% of people have forgotten a password used on a Web site Study: Attitudes and Behavior Towards Password Use on the World Wide Web Date: October 11 2000 Have you ever forgotten a password used on a web site (n=122)? 81.6% Yes 16.0% No • •
Forty percent of online banking customers use the same password multiple times Study: 2nd Annual Financial Institution Online Fraud Survey Date: November 2004 44% of online bank users utilize the same password for multiple online banking services. Over 30% of online bank users use three or more online banking services. 37% of online bank users use their online banking password at other, less secure sites, such as online merchants and subscription services.
Four classifications of people based on their password choice Study: CentralNic Password Survey Date: June 2001 Classifications of people surveyed based on their password choice: Use own name, nickname, names of 47.5% Family partners, names of children, or names of pets Use sports stars, cartoon characters, pop 32% Fan stars, favourite teams, or film stars "Self-obsessed people" who use 11% Fantasist passwords like "Sexy", "Stud", "Goddess", and "Slapper" Use passwords that mix lower and upper case letters, numbers, and 9.5% Cryptics punctuation to create intricate, 'cryptic' passwords •
•
•
•
Breakdown of Family based passwords: 55.3% User's name or variation thereof 20.5% Child's name 15.4% Partner/spouse's name 6.1% Pet's name 2.6% Date of birth • • • • •
Breakdown of Fan based passwords: 33.0% Sports stars 28.4% Cartoon/fictitious ch characters 11.5% Pop stars 11.2% Sports teams 10.2% Movie/TV stars 5.5% Other celebrities • • • • • •
Breakdown of Fantasist passwords: 28% "Sexy" 21% "Stud" 15% "Goddess" 8.3% "Slapper" 5.3% "Bitch" • • • • •
How people remember passwords Study: 2nd Annual Consumer Security Confidence Survey Date: March 2004 How do you remember your passwords? Do you: 76% Keep them all in your head 8% Keep with you in wallet/purse 5% Write them down next to your desktop computer 4% Keep them in a file on your desktop computer 3% Forget and call for help 13% Don’t know/none of these • • • • • •
Number of people who know the password of a colleague
Study : Infosecurity Europe 2004 Information Security Survey Date: April 2004 4 out of 10 (40%) [of the office workers surveyed] knew their
colleagues' passwords.
Number of people who use short and simple passwords Study: Digital Marketing Services Internet Security Survey Date: December 2001 Users who are at risk due to the following practices: 44% Use passwords without letters and numbers 21% Use password with less than 6 characters • •